如何创建启动时的全局记录器会话
创建记录内核事件的全局记录器跟踪会话的最简单方法是使用 Tracelog 创建标准全局记录器跟踪会话,然后添加 EnableKernelFlags 条目及其值。 本主题介绍该过程。
使用 Tracelog 创建全局记录器跟踪会话。 最简单的命令如下所示:
tracelog -start GlobalLogger有关说明和详细信息,请参阅 Tracelog 命令语法 和 全局记录器跟踪会话。 有关示例,请参阅 示例 13:创建全局记录器会话。
将名为 EnableKernelFlags 的 REG_BINARY项添加到 HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger 子项。 使用 tracelog -start 命令时,Tracelog 会创建 GlobalLogger 注册表子项。 可用于 EnableKernelFlags 的值取自 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员的值。 有关 EnableFlags 值的说明,请参阅 EVENT_TRACE_PROPERTIES。
重启系统。
测试完成后,使用 tracelog -remove GlobalLogger 命令重新初始化 GlobalLogger 子项中的条目。 否则,每次启动系统时都会启动全局记录器跟踪会话。
备注
如果存在具有有效值的 EnableKernelFlags 条目,则会将全局记录器跟踪会话转换为 NT 内核记录器跟踪会话。 EnableKernelFlags 的值以及其他全局记录器注册表项用于配置会话。 重新启动系统时,跟踪会话将启动。
注册表项用于配置全局记录器跟踪会话,因为在系统完全运行之前,配置值必须可用。
可以通过编辑注册表或使用 Tracelog(Windows 驱动程序工具包 (WDK) 中包含的工具)配置全局记录器跟踪会话。 有关配置全局记录器跟踪会话的注册表项的详细信息,请参阅 全局记录器跟踪会话。
运行此跟踪会话后,使用 tracelog -remove 命令将 Start 条目的值设置为 0 以删除添加的注册表子项。 如果不这样做,会话将在每次启动系统时运行,日志可能会变得非常大。
有关 Tracelog 命令的详细信息,请参阅 Tracelog 命令语法