起動時のグローバル ロガー セッションを作成する方法
カーネル イベントをログに記録するグローバル ロガー トレース セッションを作成する最も簡単な方法は、 Tracelog を使用して標準のグローバル ロガー トレース セッションを作成し、 EnableKernelFlags エントリとその値を追加することです。 このトピックでは、この手順について説明します。
Tracelog を使用して、グローバル ロガー トレース セッションを作成します。 もっとも簡単なコマンドは次のようになります。
tracelog -start GlobalLogger
手順と詳細については、「Tracelog コマンド構文 と グローバル ロガー トレース セッション」を参照してください。 例については、「例 13: グローバル ロガー セッションの作成」を参照してください。
EnableKernelFlags という名前のREG_BINARYエントリを HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger サブキーに追加します。 tracelog -start コマンドを 使用すると、Tracelog によって GlobalLogger レジストリ サブキーが 作成 されます。 EnableKernelFlags の有効な値は、 EVENT_TRACE_PROPERTIES 構造体の EnableFlags メンバーの値から取得されます。 EnableFlags 値の説明については、 EVENT_TRACE_PROPERTIESを参照してください。
システムを再起動します。
テストが完了したら、 tracelog -remove GlobalLogger コマンドを使用して、 GlobalLogger サブキーのエントリを再初期化します。 それ以外の場合は、システムを起動するたびにグローバル ロガー トレース セッションが開始されます。
コメント
有効な値を持つ EnableKernelFlags エントリが存在すると、グローバル ロガー トレース セッションが NT カーネル ロガー トレース セッションに変換されます。 EnableKernelFlags の値と他のグローバル ロガー レジストリ エントリは、セッションの構成に使用されます。 システムを再起動すると、トレース セッションが開始されます。
レジストリ エントリは、システムが完全に動作する前に構成値を使用できる必要があるため、グローバル ロガー トレース セッションを構成するために使用されます。
グローバル ロガー トレース セッションを構成するには、レジストリを編集するか、Windows Driver Kit (WDK) に含まれるツールである Tracelog を使用します。 グローバル ロガー トレース セッションを構成するレジストリ エントリの詳細については、 グローバル ロガー トレース セッションを参照してください。
このトレース セッションを実行した後、 tracelog -remove コマンドを使用して、追加したレジストリ サブキーを削除する 開始 エントリの値を 0 に設定します。 そうしないと、システムを起動するたびにセッションが実行され、ログが非常に大きくなる可能性があります。
Tracelog コマンドの詳細については、「Tracelog コマンドの構文」を参照してください 。