NT 内核记录器跟踪会话生成对 Windows 内核事件的跟踪。 它是内置于 Windows 中的保留跟踪会话。 可以单独运行此跟踪会话,或者在跟踪驱动程序时同时运行它,以便显示驱动程序运行时 Windows 的动作。 跟踪提供程序(如内核模式驱动程序或用户模式应用程序)无法直接登录到此跟踪会话。
此跟踪会话使用保留的会话名称“NT 内核记录器”,提供程序 GUID 由常量 SystemTraceControlGuid 表示。
若要创建 NT 内核记录器会话,请使用 Tracelog 或 TraceView。
在 NT 内核记录器跟踪会话期间,所跟踪的事件类型由 EVENT_TRACE_PROPERTIES 结构中 EnableFlags 成员 的值来控制。 Microsoft Windows SDK 文档中介绍了此结构。
默认情况下,当 Tracelog 启动 NT 内核记录器会话时,它将启用进程、线程、物理磁盘 I/O 和 TCP/IP 事件的跟踪。 但是,可以通过以下方式启用或禁用特定事件的跟踪:
使用 Tracelog 命令行参数。 有关详细信息,请参阅 Tracelog 命令语法。
通过在 TraceView GUI 中设置复选框。
NT 内核记录器提供程序无法记录到其他跟踪会话,其他 跟踪提供程序 无法登录到 NT 内核记录器跟踪会话。 在启动 NT 内核记录器跟踪会话时,不能使用 -guid 参数,也不能在标准跟踪会话的 -guid 参数中使用 NT 内核记录器跟踪会话的 GUID。
若要设置 NT 内核记录器跟踪会话中的跟踪消息的格式,请结合使用 Tracefmt 和 system.tmf 文件。 此文件包含在 WDK 中。
若要在系统启动期间跟踪内核事件,请将在系统启动期间跟踪的全局记录器跟踪会话转换为 NT 内核记录器跟踪会话。 有关信息,请参阅 启动时全局记录器会话