Поделиться через

Сеанс трассировки средства ведения журнала ядра NT

  • Статья

Сеанс трассировки nt kernel Logger создает трассировку событий ядра Windows. Это зарезервированный сеанс трассировки, встроенный в Windows. Этот сеанс трассировки можно запустить отдельно или во время трассировки драйвера, чтобы отобразить действия Windows во время работы драйвера. Поставщики трассировки, такие как драйверы в режиме ядра или приложения в пользовательском режиме, не могут выполнять вход непосредственно в этот сеанс трассировки.

Этот сеанс трассировки использует зарезервированное имя сеанса NT Kernel Logger, а GUID поставщика представлен константой SystemTraceControlGuid.

Чтобы создать сеанс средства ведения журнала ядра NT, используйте Tracelog или TraceView.

Типы событий, трассируемых во время сеанса трассировки средства ведения журнала ядра NT, управляются значением элемента EnableFlags структуры EVENT_TRACE_PROPERTIES. Эта структура описана в документации по Microsoft Windows SDK.

По умолчанию, когда Tracelog запускает сеанс средства ведения журнала ядра NT, он включает трассировку событий процессов, потоков, операций ввода-вывода на физическом диске и TCP/IP. Однако вы можете включить или отключить трассировку определенных событий следующими способами:

  • С помощью параметров командной строки Tracelog. Дополнительные сведения см. в разделе Синтаксис команды Tracelog.

  • Задав поля проверка в графическом интерфейсе TraceView.

Поставщик nt Kernel Logger не может записываться в другие сеансы трассировки, а другие поставщики трассировки не могут записываться в сеанс трассировки nt kernel Logger. Параметр -guid нельзя использовать при запуске сеанса трассировки nt kernel Logger, а guid сеанса трассировки nt kernel Logger нельзя использовать в параметре -guid для стандартного сеанса трассировки.

Чтобы отформатировать сообщения трассировки из сеанса трассировки nt Kernel Logger, используйте Tracefmt с файлом system.tmf. Этот файл включен в WDK.

Чтобы отследить события ядра во время загрузки системы, преобразуйте сеанс трассировки глобального средства ведения журнала, который выполняет трассировку во время загрузки системы, в сеанс трассировки nt kernel Logger. Дополнительные сведения см. в разделе Сеанс глобального средства ведения журнала во время загрузки.