Поделиться через

Пример 13. Создание сеанса глобального средства ведения журнала

  • Статья

Сеанс трассировки глобального средства ведения журнала отличается от других сеансов трассировки тем, что он считывает параметры конфигурации из записей реестра. Так как tracelog обрабатывает эти различия, команды, используемые для запуска и остановки сеансов трассировки глобального средства ведения журнала, не сильно отличаются от команд для других сеансов. Однако вы не можете обновить сеанс глобального средства ведения журнала, и после остановки сеанса необходимо использовать команду tracelog -remove для сброса записей реестра, созданных для сеанса.

Кроме того, команда tracelog -start не запускает сеанс трассировки. он просто создает и настраивает его. Сеанс запускается при перезагрузке системы.

Следующая команда является самой простой, которая настраивает сеанс глобального средства ведения журнала. Она использует команду tracelog -start с зарезервированным именем GlobalLogger . Tracelog использует значения по умолчанию для всех остальных параметров.

tracelog -start GlobalLogger

В ответ Tracelog создает подраздел GlobalLogger в HKLM\SYSTEM\CurrentControlSet\Control\WMI с записью реестра для каждого параметра. Он создает запись Start в подразделе и задает для нее значение '1.

Так как команда не включала параметр -f , журнал трассировки для этого сеанса хранится в расположении по умолчанию для сеансов трассировки глобального средства ведения журнала: %SystemRoot%\System32\LogFiles\WMI\trace.log. Чтобы просмотреть журнал, используйте Tracefmt или TraceView сфайлом формата сообщения трассировки System.tmf.

После настройки сеанса перезагрузите систему, чтобы запустить сеанс трассировки.

Следующая команда останавливает сеанс трассировки, но не влияет на записи реестра.

tracelog -stop GlobalLogger

Затем, чтобы сбросить записи реестра, используйте следующую команду.

tracelog -remove GlobalLogger

Эта команда удаляет все записи реестра для необязательных параметров (в данном случае нет). Он оставляет подраздел GlobalLogger и запись Start , но устанавливает значение Start равным 0 (не запускать).

Команда tracelog -remove не требуется. Вы можете оставить записи в реестре и использовать их при следующем запуске сеанса трассировки глобального средства ведения журнала. Если вы запускаете сеанс с разными параметрами, Tracelog заменяет значения записей реестра значениями, указанными в команде tracelog -start .