Guide pratique pour créer une session d’enregistreur d’événements Boot-Time global
Le moyen le plus simple de créer une session de trace Global Logger qui journalise les événements du noyau consiste à utiliser Tracelog pour créer une session de trace d’enregistreur d’événements global standard, puis à ajouter l’entrée EnableKernelFlags et ses valeurs. Cette rubrique décrit la procédure.
Utilisez Tracelog pour créer une session de suivi De l’enregistreur d’événements global. La commande la plus simple est la suivante :
tracelog -start GlobalLoggerPour obtenir des instructions et plus d’informations, consultez Syntaxe de la commande Tracelog et Global Logger Trace Session. Pour obtenir un exemple, consultez Exemple 13 : Création d’une session d’enregistreur d’événements global.
Ajoutez une entrée REG_BINARY nommée EnableKernelFlags à la sous-clé HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger . Tracelog crée la sous-clé de Registre GlobalLogger lorsque vous utilisez la commande tracelog -start . Les valeurs que vous pouvez utiliser pour EnableKernelFlags proviennent des valeurs du membre EnableFlags de la structure EVENT_TRACE_PROPERTIES . Pour obtenir une description des valeurs EnableFlags , consultez EVENT_TRACE_PROPERTIES.
Redémarrez le système.
Une fois votre test terminé, utilisez la commande tracelog -remove GlobalLogger pour réinitialiser les entrées dans la sous-clé GlobalLogger . Sinon, la session de suivi Global Logger démarre chaque fois que vous démarrez le système.
Commentaires
La présence de l’entrée EnableKernelFlags , avec une valeur valide, convertit la session de trace de l’enregistreur d’événements global en session de suivi de l’enregistreur d’événements du noyau NT. La valeur d’EnableKernelFlags, ainsi que les autres entrées de Registre Global Logger, est utilisée pour configurer la session. La session de suivi démarre lorsque vous redémarrez le système.
Les entrées de Registre sont utilisées pour configurer la session de trace Global Logger, car les valeurs de configuration doivent être disponibles pour que le système soit entièrement opérationnel.
Vous pouvez configurer une session de suivi Global Logger en modifiant le Registre ou en utilisant Tracelog, un outil inclus dans le Kit de pilotes Windows (WDK). Pour plus d’informations sur les entrées de Registre qui configurent la session de suivi De l’enregistreur d’événements globaux, consultez Session de suivi de l’enregistreur d’événements global.
Après avoir exécuté cette session de suivi, utilisez la commande tracelog -remove pour définir la valeur de l’entrée Start sur 0 afin de supprimer les sous-clés de Registre que vous avez ajoutées. Si ce n’est pas le cas, la session s’exécutera chaque fois que vous démarrez le système et le journal peut devenir très volumineux.
Pour plus d’informations sur les commandes Tracelog, consultez Syntaxe des commandes Tracelog.
Rubriques connexes
Exemple 13 : Création d’une session d’enregistreur d’événements global
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour