Настройка и запуск сеанса личного ведения журнала
Сеанс трассировки частных событий — это сеанс трассировки событий в режиме пользователя, который выполняется в том же процессе, что и поставщики трассировки событий, частный сеанс и поставщики, которые он включает, должны находиться в одном процессе. Преимущество использования частного сеанса заключается в том, что частный сеанс не относится к числу максимального количества 64 сеансов трассировки событий, выполняемых одновременно.
Настройка и запуск частного сеанса аналогична запуску обычного сеанса трассировки событий. Разница заключается в том, что Wnode.Guid член структуры EVENT_TRACE_PROPERTIES должен содержать GUID поставщика, а не сеанс, а поставщик должен уже зарегистрировать GUID. Обратите внимание, что, если вы также задали режим ведения журнала EVENT_TRACE_PRIVATE_IN_PROC, вы можете использовать другой GUID для сеанса и поставщика. Дополнительные сведения о запуске обычного сеанса трассировки событий см. в разделе Настройка и запуск сеанса трассировки событий.
Обратите внимание, что вы не можете запускать, останавливать или удалять частный сеанс трассировки из DllMain; Это необходимо сделать в подпрограммах инициализации и завершения библиотеки DLL.
С Windows 8.1 до Windows 10 версии 1607 для фильтрации по определенным условиям в сеансе ведения журнала могут использоваться полезные данные событий, область и фильтры обхода стека с помощью функции EnableTraceEx2 и структур ENABLE_TRACE_PARAMETERS и EVENT_FILTER_DESCRIPTOR. Дополнительные сведения о фильтрах полезных данных событий см. в функциях TdhCreatePayloadFilterи TdhAggregatePayloadFilters, а также в структурах ENABLE_TRACE_PARAMETERS, EVENT_FILTER_DESCRIPTORи PAYLOAD_FILTER_PREDICATE.
Начиная с Windows 10 версии 1703, пользователи с низкими привилегиями теперь могут запускать сеанс частного ведения журнала в процессах, которые они начали. Поставщик больше не должен быть зарегистрирован до включения или запуска частного сеанса, что означает, что поставщик "предварительно включен" так же, как и поставщики нечастных сеансов. Существует ограничение: максимум 8 системных частных диспетчеров журналов на один процесс. Для повышения производительности в сценариях межпроцессного взаимодействия рекомендуется использовать фильтрацию для API сеансов (включая ControlTrace, QueryTrace, StartTraceи StopTrace) при запуске системного глобального частного регистратора. Обратите внимание, что один и тот же фильтр должен передаваться всем API сеанса. Дополнительные сведения о фильтрах см. в EVENT_TRACE_PROPERTIES_V2.
Для получения подробной информации о запуске сеанса трассировки событий см. разделы Настройка иЗапуск сеанса трассировки событий.
Для получения подробной информации о запуске сеанса ведения журнала ядра NT см. Настройка и запуск сеанса ведения журнала ядра NT.
Дополнительные сведения о запуске сеанса глобального ведения журнала см. в разделе Настройка и запуск сеанса глобального ведения журнала.
Дополнительные сведения о запуске сеанса AutoLogger см. в разделе Настройка и запуск сеанса AutoLogger.
Связанные разделы
-
Конфигурация и запуск сеанса журнала ядра NT