NT 커널 로거 추적 세션
NT 커널 로거 추적 세션은 Windows 커널 이벤트의 추적을 생성합니다. Windows에 기본 제공되는 예약된 추적 세션입니다. 이 추적 세션을 별도로 실행하거나 드라이버를 추적하는 동안 실행하여 드라이버가 실행되는 동안 Windows의 작업을 표시할 수 있습니다. 커널 모드 드라이버 또는 사용자 모드 애플리케이션과 같은 추적 공급자는 이 추적 세션에 직접 로그할 수 없습니다.
이 추적 세션은 예약된 세션 이름인 "NT 커널 로거"를 사용하며 공급자 GUID는 상수 SystemTraceControlGuid로 표시됩니다.
NT 커널 로거 세션을 만들려면 Tracelog 또는 TraceView를 사용합니다.
NT 커널 로거 추적 세션 중에 추적되는 이벤트 유형은 EVENT_TRACE_PROPERTIES 구조체의 EnableFlags 멤버 값에 의해 제어됩니다. 이 구조체는 Microsoft Windows SDK 설명서에 설명되어 있습니다.
기본적으로 Tracelog는 NT 커널 로거 세션을 시작할 때 프로세스, 스레드, 실제 디스크 I/O 및 TCP/IP 이벤트를 추적할 수 있습니다. 그러나 다음과 같은 방법으로 특정 이벤트의 추적을 사용하거나 사용하지 않도록 설정할 수 있습니다.
Tracelog 명령줄 매개 변수를 사용합니다. 자세한 내용은 Tracelog 명령 구문을 참조하세요.
TraceView GUI에서 검사 상자를 설정합니다.
NT 커널 로거 공급자는 다른 추적 세션에 로그할 수 없으며 다른 추적 공급자는 NT 커널 로거 추적 세션에 로그할 수 없습니다. NT 커널 로거 추적 세션을 시작할 때 는 -guid 매개 변수를 사용할 수 없으며 표준 추적 세션의 -guid 매개 변수에서 NT 커널 로거 추적 세션의 GUID를 사용할 수 없습니다.
NT 커널 로거 추적 세션에서 추적 메시지의 서식을 지정하려면 system.tmf 파일과 함께 Tracefmt를 사용합니다. 이 파일은 WDK에 포함되어 있습니다.
시스템 부팅 중에 커널 이벤트를 추적하려면 시스템 부팅 중에 추적되는 전역 로거 추적 세션을 NT 커널 로거 추적 세션으로 변환합니다. 자세한 내용은 부팅 시간 전역 로거 세션을 참조하세요.