NT Kernel Logger トレース セッション

NT Kernel Logger トレース セッションでは、Windows カーネル イベントのトレースを生成します。これは、Windows に組み込まれている、予約されたトレース セッションです。このトレース セッションは、個別に実行することも、ドライバーの実行中に Windows のアクションを明らかにする目的でドライバーをトレースしているときに実行することもできます。カーネル モード ドライバー、ユーザー モード アプリケーションなどのトレース プロバイダーは、このトレース セッションにログを直接記録することはできません。

このトレース セッションでは、予約されたセッション名である "NT Kernel Logger" を使います。また、プロバイダー GUID は、定数 SystemTraceControlGuid で表されます。

NT Kernel Logger セッションを作成するには、Tracelog または TraceView を使います。

NT Kernel Logger トレース セッションでトレースされるイベントの種類は、EVENT_TRACE_PROPERTIES 構造体の EnableFlags member によって制御されます。この構造体については、Microsoft Windows SDK のドキュメントをご覧ください。

既定では、Tracelog が NT Kernel Logger セッションを開始するときに、プロセス イベント、スレッド イベント、物理ディスク I/O イベント、TCP/IP イベントのトレースが有効になります。ただし、特定のイベントのトレースはユーザーが次の方法で有効にすることも無効にすることもできます。

  • Tracelog コマンド ライン パラメーターを使う。詳しくは、「Tracelog Command Syntax」をご覧ください。

  • TraceView の GUI にチェック ボックスを設定する。

NT Kernel Logger プロバイダーは、他のトレース セッションにログを記録することができません。一方、その他のトレース プロバイダーは、NT Kernel Logger トレース セッションにログを記録することができません。NT Kernel Logger トレース セッションを開始するときは、-guid パラメーターを使うことができません。また、標準のトレース セッションの -guid パラメーターに NT Kernel Logger トレース セッションの GUID を使うことはできません。

NT Kernel Logger トレース セッションからのトレース メッセージを書式設定するには、Tracefmt と system.tmf ファイルを使います。このファイルは WDK に含まれています。

システムの起動中にカーネル イベントをトレースするには、システム起動中のトレースを実行する Global Logger トレース セッションを NT Kernel Logger トレース セッションに変換します。詳しくは、「起動時の Global Logger セッション」をご覧ください。

 

 

表示:
© 2014 Microsoft