NT Kernel Logger-Ablaufverfolgungssitzung
Die NT Kernel Logger-Ablaufverfolgungssitzung generiert eine Ablaufverfolgung von Windows-Kernelereignissen. Es handelt sich um eine reservierte Ablaufverfolgungssitzung, die in Windows integriert ist. Sie können diese Ablaufverfolgungssitzung separat oder während der Ablaufverfolgung eines Treibers ausführen, um die Aktionen von Windows anzuzeigen, während der Treiber ausgeführt wird. Ablaufverfolgungsanbieter, z. B. Kernelmodustreiber oder Benutzermodusanwendungen, können sich nicht direkt bei dieser Ablaufverfolgungssitzung anmelden.
Diese Ablaufverfolgungssitzung verwendet einen reservierten Sitzungsnamen, "NT Kernel Logger", und die Anbieter-GUID wird durch die Konstante SystemTraceControlGuid dargestellt.
Verwenden Sie Tracelog oder TraceView, um eine NT Kernel Logger-Sitzung zu erstellen.
Die Typen von Ereignissen, die während einer NT Kernel Logger-Ablaufverfolgungssitzung nachverfolgt werden, werden durch den Wert des EnableFlags-Elements der EVENT_TRACE_PROPERTIES-Struktur gesteuert. Diese Struktur wird in der Microsoft Windows SDK-Dokumentation beschrieben.
Wenn Tracelog eine NT-Kernelprotokollierungssitzung startet, wird standardmäßig die Ablaufverfolgung von Prozess-, Thread-, E/A- und TCP/IP-Ereignissen aktiviert. Sie können jedoch die Ablaufverfolgung bestimmter Ereignisse auf folgende Weise aktivieren oder deaktivieren:
Mithilfe von Tracelog-Befehlszeilenparametern. Weitere Informationen finden Sie unter Ablaufverfolgungsbefehlssyntax.
Durch Festlegen von Kontrollkästchen in der TraceView-GUI .
Der NT-Kernelprotokollierungsanbieter kann sich nicht bei anderen Ablaufverfolgungssitzungen anmelden, und andere Ablaufverfolgungsanbieter können sich nicht bei der NT Kernel Logger-Ablaufverfolgungssitzung anmelden. Sie können den Parameter -guid nicht verwenden, wenn Sie eine NT Kernel Logger-Ablaufverfolgungssitzung starten, und Sie können die GUID der NT Kernel Logger-Ablaufverfolgungssitzung im Parameter -guid für eine Standardablaufverfolgungssitzung nicht verwenden.
Um Ablaufverfolgungsmeldungen aus der NT Kernel Logger-Ablaufverfolgungssitzung zu formatieren, verwenden Sie Tracefmt mit der Datei system.tmf. Diese Datei ist im WDK enthalten.
Um Kernelereignisse während des Systemstarts zu verfolgen, konvertieren Sie eine Ablaufverfolgungssitzung der globalen Protokollierung, die während des Systemstarts nachverfolgt wird, in eine NT Kernel Logger-Ablaufverfolgungssitzung. Weitere Informationen finden Sie unter Globale Protokollierungssitzung zur Startzeit.