Como criar uma sessão de agente global Boot-Time
A maneira mais fácil de criar uma sessão de rastreamento do Agente Global que registra eventos de kernel é usar Tracelog para criar uma sessão de rastreamento de Agente Global padrão e, em seguida, adicionar a entrada EnableKernelFlags e seus valores. Este tópico descreve o procedimento .
Use Tracelog para criar uma sessão de rastreamento do Agente Global. O comando mais simples é o seguinte:
tracelog -start GlobalLoggerPara obter instruções e mais informações, consulte Sintaxe de comando tracelog e Sessão de rastreamento de agente global. Para obter um exemplo, consulte Exemplo 13: criando uma sessão de agente global.
Adicione uma entrada de REG_BINARY chamada EnableKernelFlags à subchave HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger . O Tracelog cria a subchave do registro GlobalLogger quando você usa o comando tracelog -start . Os valores que você pode usar para EnableKernelFlags são obtidos dos valores do membro EnableFlags da estrutura EVENT_TRACE_PROPERTIES . Para obter uma descrição dos valores enableFlags , consulte EVENT_TRACE_PROPERTIES.
Reinicie o sistema.
Quando o teste for concluído, use o comando tracelog -remove GlobalLogger para reinicializar as entradas na subchave GlobalLogger . Caso contrário, a sessão de rastreamento do Agente Global será iniciada sempre que você iniciar o sistema.
Comentários
A presença da entrada EnableKernelFlags , com um valor válido, converte a sessão de rastreamento do Agente Global em uma sessão de rastreamento do Agente de Kernel NT. O valor de EnableKernelFlags, juntamente com as outras entradas do Registro de Agente Global, é usado para configurar a sessão. A sessão de rastreamento é iniciada quando você reinicia o sistema.
As entradas do Registro são usadas para configurar a sessão de rastreamento do Agente Global, pois os valores de configuração devem estar disponíveis antes que o sistema esteja totalmente operacional.
Você pode configurar uma sessão de rastreamento do Agente Global editando o registro ou usando o Tracelog, uma ferramenta incluída no WDK (Kit de Driver do Windows). Para obter mais informações sobre as entradas do Registro que configuram a sessão de rastreamento do Agente Global, consulte Sessão de rastreamento do Agente Global.
Depois de executar essa sessão de rastreamento, use o comando tracelog -remove para definir o valor da entrada Iniciar como 0 para excluir as subchaves do Registro que você adicionou. Se você não fizer isso, a sessão será executada sempre que você iniciar o sistema e o log poderá ficar muito grande.
Para obter mais informações sobre os comandos Tracelog, consulte Sintaxe de comando tracelog
Tópicos relacionados
Exemplo 13: Criando uma sessão de agente global
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de