Bagikan melalui

Sesi Jejak Pencatat Kernel NT

  • Artikel

Sesi jejak NT Kernel Logger menghasilkan jejak peristiwa kernel Windows. Ini adalah sesi pelacakan yang dipesan yang dibangun ke dalam Windows. Anda dapat menjalankan sesi pelacakan ini secara terpisah, atau menjalankannya saat melacak driver untuk mengungkapkan tindakan Windows saat driver sedang berjalan. Penyedia pelacakan, seperti driver mode kernel atau aplikasi mode pengguna, tidak dapat masuk langsung ke sesi pelacakan ini.

Sesi pelacakan ini menggunakan nama sesi yang dipesan, "NT Kernel Logger," dan GUID penyedia diwakili oleh konstanta, SystemTraceControlGuid.

Untuk membuat sesi NT Kernel Logger, gunakan Tracelog atau TraceView.

Jenis peristiwa yang dilacak selama sesi jejak NT Kernel Logger dikendalikan oleh nilai anggota EnableFlags dari struktur EVENT_TRACE_PROPERTIES. Struktur ini dijelaskan dalam dokumentasi Microsoft Windows SDK.

Secara default, ketika Tracelog memulai sesi NT Kernel Logger, Tracelog memungkinkan pelacakan proses, utas, I/O disk fisik, dan peristiwa TCP/IP. Namun, Anda dapat mengaktifkan atau menonaktifkan pelacakan peristiwa tertentu dengan cara berikut:

Penyedia NT Kernel Logger tidak dapat masuk ke sesi pelacakan lain, dan penyedia pelacakan lainnya tidak dapat masuk ke sesi pelacakan NT Kernel Logger. Anda tidak dapat menggunakan parameter -guid saat memulai sesi pelacakan NT Kernel Logger, dan Anda tidak dapat menggunakan GUID sesi pelacakan NT Kernel Logger dalam parameter -guid untuk sesi pelacakan standar.

Untuk memformat pesan pelacakan dari sesi pelacakan NT Kernel Logger, gunakan Tracefmt dengan file system.tmf. File ini disertakan dalam WDK.

Untuk melacak peristiwa kernel selama boot sistem, konversikan sesi jejak Global Logger, yang melacak selama boot sistem, ke sesi pelacakan NT Kernel Logger. Untuk informasi, lihat Sesi Pencatat Global Boot-time