NT 内核记录器跟踪会话

NT 内核记录器跟踪会话生成 Windows 内核事件的跟踪。 它是内置于 Windows 中的保留跟踪会话。 可以单独运行此跟踪会话，也可以在跟踪驱动程序时运行它，以在驱动程序运行时显示 Windows 的操作。 跟踪提供程序（如内核模式驱动程序或用户模式应用程序）无法直接登录到此跟踪会话。

此跟踪会话使用保留的会话名称“NT 内核记录器”，提供程序 GUID 由常量 SystemTraceControlGuid 表示。

若要创建 NT 内核记录器会话，请使用 Tracelog 或 TraceView。

NT 内核记录器跟踪会话期间跟踪的事件类型由 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员 的值控制。 Microsoft Windows SDK文档中介绍了此结构。

默认情况下，当 Tracelog 启动 NT 内核记录器会话时，它将启用进程、线程、物理磁盘 I/O 和 TCP/IP 事件的跟踪。 但是，可以通过以下方式启用或禁用特定事件的跟踪：

• 使用 Tracelog 命令行参数。 有关详细信息，请参阅 Tracelog 命令语法。

• 通过在 TraceView GUI 中设置检查框。

NT 内核记录器提供程序无法记录到其他跟踪会话，其他 跟踪提供程序 无法记录到 NT 内核记录器跟踪会话。 在启动 NT 内核记录器跟踪会话时不能使用 -guid 参数，并且不能在标准跟踪会话的 -guid 参数中使用 NT 内核记录器跟踪会话的 GUID。

若要格式化来自 NT 内核记录器跟踪会话的跟踪消息，请将 Tracefmt 与 system.tmf 文件配合使用。 此文件包含在 WDK 中。

若要在系统启动期间跟踪内核事件，请将在系统启动期间跟踪的全局记录器跟踪会话转换为 NT 内核记录器跟踪会话。 有关信息，请参阅 启动时全局记录器会话