Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Самый простой способ создать сеанс трассировки Global Logger, который регистрирует события ядра, — использовать Tracelog для создания стандартного сеанса трассировки Global Logger, а затем добавить запись EnableKernelFlags и ее значения. В этом разделе описывается процедура.
Используйте Tracelog для создания сеанса трассировки глобального логгера. Простейшая команда выглядит следующим образом:
tracelog -start GlobalLoggerИнструкции и дополнительные сведения см. в разделе «Синтаксис команды Tracelog» и «Глобальная сессия трассировки журнала». См. пример в разделе Пример 13: Создание сеанса глобального логирования.
Добавьте запись типа REG_BINARY с именем EnableKernelFlags в подраздел HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger. Tracelog создает подраздел реестра GlobalLogger, когда вы используете команду tracelog -start. Значения, которые можно использовать для EnableKernelFlags , взяты из значений элемента EnableFlags структуры EVENT_TRACE_PROPERTIES . Описание значений EnableFlags см. в EVENT_TRACE_PROPERTIES.
Перезапустите систему.
По завершении тестирования используйте команду tracelog -remove GlobalLogger, чтобы повторно инициализировать записи в подразделе GlobalLogger . В противном случае сеанс трассировки глобального средства ведения журнала запускается при каждом запуске системы.
Комментарии
Наличие записи EnableKernelFlags с допустимым значением преобразует сеанс трассировки Global Logger в сеанс трассировки ядра NT. Значение EnableKernelFlags вместе с другими записями реестра Глобального журнала используется для настройки сеанса. Сеанс трассировки начинается при перезапуске системы.
Записи реестра используются для настройки сеанса трассировки Глобального регистратора, поскольку значения конфигурации должны быть доступны до полной работы системы.
Вы можете настроить сеанс трассировки Global Logger, изменив реестр или с помощью Tracelog, инструмента, входящего в комплект драйверов Windows (WDK). Дополнительные сведения о записях реестра, которые настраивают сеанс трассировки глобального средства ведения журнала, см. в разделе "Сеанс трассировки глобального средства ведения журнала".
После выполнения этого сеанса трассировки используйте команду tracelog -remove, чтобы установить значение записи Start в 0 и удалить добавленные вами подразделы реестра. Если вы этого не сделаете, сеанс будет выполняться каждый раз при запуске системы, и журнал может стать очень большим.
Дополнительные сведения о командах Tracelog см. в разделе "Синтаксис команды Tracelog"
Связанные разделы
Пример 13. Создание сеанса глобального логгера