如何建立Boot-Time全域記錄器會話
建立記錄核心事件的全域記錄器追蹤會話最簡單的方式,就是使用 Tracelog 來建立標準的全域記錄器追蹤會話,然後新增 EnableKernelFlags 專案及其值。 本主題描述程式。
使用 Tracelog 建立全域記錄器追蹤會話。 最簡單的命令如下所示:
tracelog -start GlobalLogger如需指示和詳細資訊,請參閱 Tracelog 命令語法 和 全域記錄器追蹤會話。 如需範例,請參閱 範例 13:建立全域記錄器會話。
將名為 EnableKernelFlags 的REG_BINARY專案新增至 HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger 子機碼。 當您使用tracelog -start命令時,Tracelog 會建立GlobalLogger登錄子機碼。 您可以用於EnableKernelFlags的值取自EVENT_TRACE_PROPERTIES結構的EnableFlags成員值。 如需 EnableFlags 值的描述,請參閱 EVENT_TRACE_PROPERTIES。
重新開機系統。
當您的測試完成時,請使用 tracelog -remove GlobalLogger 命令來重新初始化 GlobalLogger 子機碼中的專案。 否則,每次啟動系統時,全域記錄器追蹤會話都會啟動。
評論
EnableKernelFlags專案存在且具有有效值,會將全域記錄器追蹤會話轉換為 NT 核心記錄器追蹤會話。 EnableKernelFlags 和其他全域記錄器登錄專案的值是用來設定會話。 當您重新開機系統時,追蹤會話就會啟動。
登錄專案是用來設定全域記錄器追蹤會話,因為設定值必須可供使用,系統才能完全運作。
您可以編輯登錄或使用 Tracelog來設定全域記錄器追蹤會話,這是 Windows Driver Kit (WDK) 中包含的工具。 如需設定全域記錄器追蹤會話之登錄專案的詳細資訊,請參閱 全域記錄器追蹤會話。
執行此追蹤會話之後,請使用 tracelog -remove 命令,將 Start 專案的值設定為 0,以刪除您新增的登錄子機碼。 如果您沒有這麼做,會話會在每次啟動系統時執行,而記錄檔可能會成長非常大。
如需 Tracelog 命令的詳細資訊,請參閱Tracelog 命令語法