Boot-Time 전역 로거 세션을 만드는 방법
커널 이벤트를 기록하는 전역 로거 추적 세션을 만드는 가장 쉬운 방법은 Tracelog 를 사용하여 표준 전역 로거 추적 세션을 만든 다음 EnableKernelFlags 항목 및 해당 값을 추가하는 것입니다. 이 항목에서는 절차에 대해 설명합니다.
Tracelog를 사용하여 전역 로거 추적 세션을 만듭니다. 가장 간단한 명령은 다음과 같습니다.
tracelog -start GlobalLogger지침 및 자세한 내용은 Tracelog 명령 구문 및 전역 로거 추적 세션을 참조하세요. 예제는 예제 13: 전역 로거 세션 만들기를 참조하세요.
EnableKernelFlags라는 REG_BINARY 항목을 HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger 하위 키에 추가합니다. Tracelog -start 명령을 사용할 때 Tracelog는 GlobalLogger 레지스트리 하위 키를 만듭니다. EnableKernelFlags에 사용할 수 있는 값은 EVENT_TRACE_PROPERTIES 구조체의 EnableFlags 멤버 값에서 가져옵니다. EnableFlags 값에 대한 설명은 EVENT_TRACE_PROPERTIES 참조하세요.
시스템을 다시 시작합니다.
테스트가 완료되면 tracelog -remove GlobalLogger 명령을 사용하여 GlobalLogger 하위 키의 항목을 다시 초기화합니다. 그렇지 않으면 시스템을 시작할 때마다 전역 로거 추적 세션이 시작됩니다.
코멘트
유효한 값이 있는 EnableKernelFlags 항목이 있으면 전역 로거 추적 세션이 NT 커널 로거 추적 세션으로 변환됩니다. EnableKernelFlags 값과 다른 전역 로거 레지스트리 항목은 세션을 구성하는 데 사용됩니다. 시스템을 다시 시작하면 추적 세션이 시작됩니다.
시스템이 완전히 작동하기 전에 구성 값을 사용할 수 있어야 하므로 레지스트리 항목은 전역 로거 추적 세션을 구성하는 데 사용됩니다.
레지스트리를 편집하거나 WDK(Windows 드라이버 키트)에 포함된 도구인 Tracelog를 사용하여 전역 로거 추적 세션을 구성할 수 있습니다. 전역 로거 추적 세션을 구성하는 레지스트리 항목에 대한 자세한 내용은 전역 로거 추적 세션을 참조하세요.
이 추적 세션을 실행한 후 tracelog -remove 명령을 사용하여 시작 항목의 값을 0으로 설정하여 추가한 레지스트리 하위 키를 삭제합니다. 그렇지 않으면 시스템을 시작할 때마다 세션이 실행되고 로그가 매우 커질 수 있습니다.
Tracelog 명령에 대한 자세한 내용은 Tracelog 명령 구문을 참조하세요.