Bagikan melalui

Mengonfigurasi dan Memulai Sesi SystemTraceProvider

  • Artikel

SystemTraceProvider adalah penyedia kernel dengan serangkaian peristiwa kernel yang telah ditentukan sebelumnya yang didukung pada Windows 7, Windows Server 2008 R2, dan yang lebih baru. Pada Windows 7 dan Windows Server 2008 R2, SystemTraceProvider hanya dapat digunakan untuk sesi NT Kernel Logger.

Pada Windows 8, Windows Server 2012, dan yang lebih baru, SystemTraceProvider dapat di-multipleks hingga 8 sesi pencatat. Dua slot pertama untuk sesi pencatat disediakan untuk Pencatat Kernel NT dan Pencatat Konteks Kernel Melingkar .

Untuk informasi selengkapnya tentang menggunakan sesi NT Kernel Logger sebagai penyedia pelacakan, lihat Mengonfigurasi dan Memulai Sesi Pencatat Kernel NT.

Pada Windows 10 SDK build 20348 dan yang lebih baru, SystemTraceProvider dapat dikonfigurasi melalui Penyedia Sistem terpisah, yang dapat dikontrol dengan EnableTraceEx2 seperti Pelacakan Peristiwa standar untuk penyedia peristiwa Windows. Untuk daftar lengkap penyedia sistem, kata kunci, dan bendera dan grup warisan terkait, lihat Penyedia Sistem

Mengaktifkan sesi SystemTraceProvider

Untuk mengaktifkan SystemTraceProvider untuk memulai sesi selain NT Kernel Logger, jalankan perintah berikut:

tracelog -start MySession -f c:\Kernel1.etl -eflag PROC_THREAD+LOADER+CSWITCH

Untuk mengaktifkan SystemTraceProvider secara terprogram untuk memulai sesi selain NT Kernel Logger, gunakan langkah-langkah berikut.

  • Tentukan nama pencatat privat.

    #define PRIVATE_LOGGER_NAME L"Beberapa Sesi Pelacakan Privat"

  • Di pengontrol, atur anggota struktur EVENT_TRACE_PROPERTIES berikut.

    Atur LogFileMode ke EVENT_TRACE_SYSTEM_LOGGER_MODE.

    Atur LoggerName ke pencatat privat, bukan KERNEL_LOGGER_NAME.

    Pastikan anggota Wnode.Guid dari struktur EVENT_TRACE_PROPERTIES tidak diatur ke SystemTraceControlGuid. Anda harus menetapkan GUID baru untuk anggota ini.

  • Pada konsumen, atur anggota LoggerName dari struktur EVENT_TRACE_LOGFILE ke pencatat privat ini.

Catatan

Jika Anda ingin non-administrator atau proses non-TCB dapat memulai sesi pelacakan pembuatan profil menggunakan SystemTraceProvider atas nama aplikasi pihak ketiga, maka Anda perlu memberikan hak istimewa profil pengguna dan kemudian menambahkan pengguna ini ke GUID sesi (dibuat untuk sesi pencatat) dan GUID penyedia pelacakan sistem untuk mengaktifkan penyedia pelacakan sistem. Untuk informasi selengkapnya, lihat fungsi EventAccessControl .

 

Mengonfigurasi dan Memulai Sesi Pencatat Privat

Mengonfigurasi dan Memulai Sesi AutoLogger

Mengonfigurasi dan Memulai Sesi Pelacakan Peristiwa

Mengonfigurasi dan Memulai Sesi Pencatat Kernel NT

Penyedia Sistem

Memperbarui Sesi Pelacakan Peristiwa