NT 核心記錄器追蹤會話
NT 核心記錄器追蹤會話會產生 Windows 核心事件的追蹤。 它是 Windows 內建的保留追蹤會話。 您可以個別執行此追蹤會話,或在追蹤驅動程式時執行它,以顯示驅動程式執行時 Windows 的動作。 追蹤提供者,例如核心模式驅動程式或使用者模式應用程式,無法直接登入此追蹤會話。
此追蹤會話會使用保留的會話名稱 「NT Kernel Logger」,而提供者 GUID 是以常數 SystemTraceControlGuid來表示。
若要建立 NT 核心記錄器會話,請使用 Tracelog 或 TraceView。
在 NT 核心記錄器追蹤會話期間追蹤的事件種類是由 EVENT_TRACE_PROPERTIES 結構的 EnableFlags 成員 值所控制。 此結構會在Microsoft Windows SDK檔中說明。
根據預設,當 Tracelog 啟動 NT 核心記錄器會話時,它會啟用進程、執行緒、實體磁片 I/O 和 TCP/IP 事件的追蹤。 不過,您可以透過下列方式啟用或停用特定事件的追蹤:
使用 Tracelog 命令列參數。 如需詳細資訊,請參閱 Tracelog 命令語法。
在 TraceView GUI 中設定核取方塊。
NT 核心記錄器提供者無法登入其他追蹤會話,而其他 追蹤提供者 無法記錄到 NT 核心記錄器追蹤會話。 您無法在啟動 NT 核心記錄器追蹤會話時使用 -guid 參數,也無法在標準追蹤會話的 -guid 參數中使用 NT 核心記錄器追蹤會話的 GUID。
若要格式化 NT 核心記錄器追蹤會話中的追蹤訊息,請使用 Tracefmt 搭配 system.tmf 檔案。 此檔案包含在 WDK 中。
若要在系統開機期間追蹤核心事件,請將在系統開機期間追蹤的全域記錄器追蹤會話轉換為 NT 核心記錄器追蹤會話。 如需詳細資訊,請參閱 開機時間全域記錄器會話