Sessão de rastreamento do agente de kernel do NT
A sessão de rastreamento do Agente de Kernel do NT gera um rastreamento de eventos de kernel do Windows. É uma sessão de rastreamento reservada incorporada ao Windows. Você pode executar essa sessão de rastreamento separadamente ou executá-la durante o rastreamento de um driver para revelar as ações do Windows enquanto o driver está em execução. Os provedores de rastreamento, como drivers de modo kernel ou aplicativos de modo de usuário, não podem fazer logon diretamente nessa sessão de rastreamento.
Essa sessão de rastreamento usa um nome de sessão reservado, "Agente de Kernel NT", e o GUID do provedor é representado pela constante SystemTraceControlGuid.
Para criar uma sessão do Agente de Kernel do NT, use Tracelog ou TraceView.
Os tipos de eventos rastreados durante uma sessão de rastreamento do Agente de Kernel NT são controlados pelo valor do membro EnableFlags da estrutura EVENT_TRACE_PROPERTIES. Essa estrutura é descrita na documentação do SDK do Microsoft Windows.
Por padrão, quando o Tracelog inicia uma sessão do Agente de Kernel NT, ele habilita o rastreamento de eventos de processo, thread, E/S de disco físico e TCP/IP. No entanto, você pode habilitar ou desabilitar o rastreamento de eventos específicos das seguintes maneiras:
Usando parâmetros de linha de comando do Tracelog. Para obter mais informações, consulte Sintaxe de comando tracelog.
Definindo marcar caixas na GUI do TraceView.
O provedor do Agente de Kernel do NT não pode fazer logon em outras sessões de rastreamento e outros provedores de rastreamento não podem fazer logon na sessão de rastreamento do Agente de Kernel NT. Você não pode usar o parâmetro -guid ao iniciar uma sessão de rastreamento do Agente do Kernel NT e não pode usar o GUID da sessão de rastreamento do Agente de Kernel NT no parâmetro -guid para uma sessão de rastreamento padrão.
Para formatar mensagens de rastreamento da sessão de rastreamento do Agente de Kernel do NT, use Tracefmt com o arquivo system.tmf. Esse arquivo está incluído no WDK.
Para rastrear eventos de kernel durante a inicialização do sistema, converta uma sessão de rastreamento do Agente Global, que é rastreada durante a inicialização do sistema, em uma sessão de rastreamento do Agente de Kernel NT. Para obter informações, consulte Sessão global do agente de tempo de inicialização