Partager via

Session de trace de l’enregistreur d’événements du noyau NT

  • Article

La session de suivi de l’enregistreur d’événements du noyau NT génère une trace des événements du noyau Windows. Il s’agit d’une session de trace réservée intégrée à Windows. Vous pouvez exécuter cette session de suivi séparément ou l’exécuter lors du suivi d’un pilote pour révéler les actions de Windows pendant l’exécution du pilote. Les fournisseurs de traces, tels que les pilotes en mode noyau ou les applications en mode utilisateur, ne peuvent pas se connecter directement à cette session de suivi.

Cette session de trace utilise un nom de session réservé, « NT Kernel Logger », et le GUID du fournisseur est représenté par la constante SystemTraceControlGuid.

Pour créer une session d’enregistreur d’événements du noyau NT, utilisez Tracelog ou TraceView.

Les types d’événements suivis pendant une session de suivi de l’enregistreur d’événements du noyau NT sont contrôlés par la valeur du membre EnableFlags de la structure EVENT_TRACE_PROPERTIES. Cette structure est décrite dans la documentation Microsoft Windows SDK.

Par défaut, lorsque Tracelog démarre une session d’enregistreur d’événements du noyau NT, il active le suivi des événements de processus, de threads, d’E/S de disque physique et TCP/IP. Toutefois, vous pouvez activer ou désactiver le suivi d’événements spécifiques des manières suivantes :

Le fournisseur d’enregistreurs d’événements du noyau NT ne peut pas se connecter à d’autres sessions de suivi, et d’autres fournisseurs de traces ne peuvent pas se connecter à la session de suivi de l’enregistreur d’événements du noyau NT. Vous ne pouvez pas utiliser le paramètre -guid lors du démarrage d’une session de suivi de l’enregistreur d’événements du noyau NT, et vous ne pouvez pas utiliser le GUID de la session de suivi de l’enregistreur d’événements du noyau NT dans le paramètre -guid pour une session de suivi standard.

Pour mettre en forme les messages de trace à partir de la session de suivi de l’enregistreur d’événements du noyau NT, utilisez Tracefmt avec le fichier system.tmf. Ce fichier est inclus dans le WDK.

Pour suivre les événements du noyau pendant le démarrage du système, convertissez une session de suivi de l’enregistreur d’événements global, qui effectue les suivis pendant le démarrage du système, en session de suivi de l’enregistreur d’événements du noyau NT. Pour plus d’informations, consultez Session d’enregistreur d’événements global au moment du démarrage.