Erstellen einer Boot-Time globalen Protokollierungssitzung

  • Artikel

Die einfachste Möglichkeit zum Erstellen einer Global Logger-Ablaufverfolgungssitzung, die Kernelereignisse protokolliert, besteht darin, tracelog zum Erstellen einer standardmäßigen Global Logger-Ablaufverfolgungssitzung zu verwenden und dann den EnableKernelFlags-Eintrag und die zugehörigen Werte hinzuzufügen. In diesem Thema wird das Verfahren beschrieben.

  1. Verwenden Sie Tracelog, um eine Globale Protokollierungsablaufverfolgungssitzung zu erstellen. Der einfachste Befehl lautet wie folgt:

    tracelog -start GlobalLogger

    Anweisungen und weitere Informationen finden Sie unter Ablaufverfolgungssyntax und Globale Protokollierungsablaufverfolgungssitzung. Ein Beispiel finden Sie unter Beispiel 13: Erstellen einer globalen Protokollierungssitzung.

  2. Fügen Sie dem Unterschlüssel HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger einen REG_BINARY Eintrag namens EnableKernelFlags hinzu. Tracelog erstellt den GlobalLogger-Registrierungsunterschlüssel , wenn Sie den Befehl tracelog -start verwenden. Die Werte, die Sie für EnableKernelFlags verwenden können, stammen aus den Werten des EnableFlags-Elements der EVENT_TRACE_PROPERTIES-Struktur . Eine Beschreibung der EnableFlags-Werte finden Sie unter EVENT_TRACE_PROPERTIES.

  3. Starten Sie das System neu.

  4. Wenn Die Tests abgeschlossen sind, verwenden Sie den Befehl tracelog -remove GlobalLogger, um die Einträge im GlobalLogger-Unterschlüssel erneut zu initialisieren. Andernfalls wird die Ablaufverfolgungssitzung der globalen Protokollierung jedes Mal gestartet, wenn Sie das System starten.

Kommentare

Das Vorhandensein des EnableKernelFlags-Eintrags mit einem gültigen Wert konvertiert die Ablaufverfolgungssitzung der globalen Protokollierung in eine NT Kernel Logger-Ablaufverfolgungssitzung. Der Wert von EnableKernelFlags wird zusammen mit den anderen Registrierungseinträgen der globalen Protokollierung zum Konfigurieren der Sitzung verwendet. Die Ablaufverfolgungssitzung beginnt, wenn Sie das System neu starten.

Registrierungseinträge werden verwendet, um die Ablaufverfolgungssitzung für die globale Protokollierung zu konfigurieren, da die Konfigurationswerte verfügbar sein müssen, bevor das System vollständig betriebsbereit ist.

Sie können eine Ablaufverfolgungssitzung für die globale Protokollierung konfigurieren, indem Sie die Registrierung bearbeiten oder tracelog verwenden, ein Tool, das im Windows Driver Kit (WDK) enthalten ist. Weitere Informationen zu den Registrierungseinträgen, die die Ablaufverfolgungssitzung für die globale Protokollierung konfigurieren, finden Sie unter Globale Protokollierungsablaufverfolgungssitzung.

Nachdem Sie diese Ablaufverfolgungssitzung ausgeführt haben, verwenden Sie den Befehl tracelog -remove , um den Wert des Starteintrags auf 0 festzulegen, um die hinzugefügten Registrierungsunterschlüssel zu löschen. Andernfalls wird die Sitzung jedes Mal ausgeführt, wenn Sie das System starten, und das Protokoll wird möglicherweise sehr groß.

Weitere Informationen zu den Tracelog-Befehlen finden Sie unter Ablaufverfolgungsbefehlssyntax.

EVENT_TRACE_PROPERTIES

Beispiel 13: Erstellen einer globalen Protokollierungssitzung

Globale Protokollierungsablaufverfolgungssitzung

Ablaufverfolgungsprotokoll

Ablaufverfolgungsbefehlssyntax