NT カーネル ロガー トレース セッション
NT カーネル ロガー トレース セッションは、Windows カーネル イベントのトレースを生成します。 これは、Windows に組み込まれている予約済みトレース セッションです。 このトレース セッションは、個別に実行することも、ドライバーのトレース中に実行して、ドライバーの実行中に Windows のアクションを表示することもできます。 カーネル モード ドライバーやユーザー モード アプリケーションなどのトレース プロバイダーは、このトレース セッションに直接ログを記録できません。
このトレース セッションでは、予約済みセッション名 "NT Kernel Logger" が使用され、プロバイダー GUID は定数 SystemTraceControlGuid で表されます。
NT カーネル ロガー セッションを作成するには、Tracelog または TraceView を使用します。
NT カーネル ロガー トレース セッション中にトレースされるイベントの種類は、EVENT_TRACE_PROPERTIES 構造体の EnableFlags メンバーの値によって制御されます。 この構造体については、Microsoft Windows SDK のドキュメントを参照してください。
既定では、Tracelog は、NT カーネル ロガー セッションを開始すると、プロセス、スレッド、物理ディスク I/O、TCP/IP イベントのトレースを有効にします。 ただし、次の方法で特定のイベントのトレースを有効または無効にすることができます。
Tracelog コマンド ライン パラメーターを使用します。 詳細については、「Tracelog コマンド構文」を参照してください。
TraceView GUI でチェック ボックスを設定します。
NT カーネル ロガー プロバイダーは他のトレース セッションにログを記録できません。また、他のトレース プロバイダーは NT カーネル ロガー トレース セッションにログを記録できません。 NT カーネル ロガー トレース セッションを開始するときに -guid パラメーターを使用することはできません。また、標準トレース セッションの -guid パラメーターで NT カーネル ロガー トレース セッションの GUID を使用することはできません。
NT カーネル ロガー トレース セッションからトレース メッセージを書式設定するには、system.tmf ファイルで Tracefmt を使用します。 このファイルは WDK に含まれています。
システムの起動時にカーネル イベントをトレースするには、システムの起動時にトレースするグローバル ロガー トレース セッションを NT カーネル ロガー トレース セッションに変換します。 詳細については、「ブート時グローバル ロガー セッション」を参照してください 。