Bagikan melalui

Sesi Pelacakan Pencatat Kernel NT

Sesi pelacakan NT Kernel Logger menghasilkan jejak peristiwa kernel Windows. Ini adalah sesi pelacakan yang dipesan yang tertanam ke dalam Windows. Anda dapat menjalankan sesi pelacakan ini secara terpisah, atau menjalankannya sambil melacak driver untuk melihat tindakan Windows saat driver tersebut berjalan. Penyedia pelacakan, seperti driver mode kernel atau aplikasi mode pengguna, tidak dapat log langsung ke sesi pelacakan ini.

Sesi pelacakan ini menggunakan nama sesi yang telah dicadangkan, "NT Kernel Logger," dan GUID penyedia ditunjukkan oleh konstanta, SystemTraceControlGuid.

Untuk membuat sesi NT Kernel Logger, gunakan Tracelog atau TraceView.

Jenis peristiwa yang ditelusuri selama sesi pelacakan NT Kernel Logger dikendalikan oleh nilai anggota EnableFlags dari struktur EVENT_TRACE_PROPERTIES. Struktur ini dijelaskan dalam dokumentasi Microsoft Windows SDK.

Secara bawaan, ketika Tracelog memulai sesi NT Kernel Logger, ia akan mengaktifkan pelacakan acara untuk proses, utas, I/O disk fisik, dan kejadian TCP/IP. Namun, Anda dapat mengaktifkan atau menonaktifkan pelacakan peristiwa tertentu dengan cara berikut:

Penyedia NT Kernel Logger tidak dapat masuk ke sesi pelacakan lain, dan penyedia pelacakan lainnya tidak dapat masuk ke sesi pelacakan NT Kernel Logger. Anda tidak dapat menggunakan parameter -guid saat memulai sesi jejak NT Kernel Logger, dan Anda tidak dapat menggunakan GUID sesi pelacakan NT Kernel Logger dalam parameter -guid untuk sesi pelacakan standar.

Untuk memformat pesan pelacakan dari sesi pelacakan NT Kernel Logger, gunakan Tracefmt dengan file system.tmf. File ini disertakan dalam WDK.

Untuk melacak peristiwa kernel selama boot sistem, konversikan sesi jejak Global Logger, yang melacak selama boot sistem, ke sesi pelacakan NT Kernel Logger. Untuk informasi, lihat Sesi Logger Global Saat Booting

  • Last updated on