グローバルロガートレースセッション

2024-04-01

グローバルロガートレースセッションは、デバイスドライバーによって生成されたイベントなど、システムが完全に動作する前にブートプロセス中に発生したイベントを記録します。これは、Windows に組み込まれている予約済みトレースセッションです。

グローバルロガートレースセッションは、常にトレースログにメッセージを書き込みます。グローバルロガーは、リアルタイムトレースセッションまたはバッファートレースセッションをサポートしていません。

グローバルロガーはオペレーティングシステムのブートプロセスの早い段階で使用できる必要があるため、関数呼び出しの代わりにレジストリエントリ ( HKLM\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger サブキー) を使用して開始および構成されます。開始後、グローバルロガーは通常のイベントトレースセッションのように動作します。

グローバルロガートレースセッションでは、予約済みセッション名 "GlobalLogger" を使用します。コントロール GUID は、定数 GlobalLoggerGuid で表されます。グローバルロガートレースセッションを作成し、コンピューターを再起動してトレースセッションを開始します。一度に実行できるグローバルロガートレースセッションは 1 つだけです。

グローバルロガートレースセッションを作成するには、 Tracelog を使用します。レジストリサブキーと、トレースセッションオプションを格納するエントリが自動的に作成されます。コンピューターを再起動すると、グローバルロガートレースセッションが開始されます。詳細については、「Tracelog コマンド構文」を参照してください。

グローバルロガートレースセッションからトレースメッセージを書式設定するには、System.tmf、WDK に含まれるトレースメッセージ形式ファイルで Tracefmt を使用します。

グローバルロガーセッションはレジストリエントリによってトリガーされるため、エントリがレジストリに表示されるたびに実行されます。システムが起動するたびにグローバルロガーセッションが開始されないようにするには、 Start エントリの値を 0 に設定するか、レジストリエントリをすべて削除します。

グローバルロガートレースセッションを NT カーネルロガートレースセッションに変換して、ブートプロセス中にカーネルをトレースすることができます。詳細については、「ブート時グローバルロガーセッション」を参照してください。

カーネルモードドライバーやユーザーモードアプリケーションなどのトレースプロバイダーは、グローバルロガートレースセッションにログを記録できます。これにより、システムの起動時にドライバーまたはその他のトレースプロバイダーをトレースできます。詳細については、「グローバルロガーセッションへのログ記録」を参照してください。

グローバルロガートレースセッションの制限事項

グローバルロガートレースセッションは非常に便利ですが、その制限事項に注意することが重要です。

一度に実行できるグローバルロガーセッションは 1 つだけです。

グローバルロガーセッションでは、有効化通知はプロバイダーに送信されません。

グローバルロガーレジストリエントリはレジストリに残り、手動でリセットまたは削除するか、 tracelog -remove コマンドを使用するまで有効です。リセットするまでは、システムを起動するたびにグローバルロガーセッションが開始されます。

Windows ACPI ロガーは、グローバルロガートレースセッションに対して永続的に有効になっています。このロガーからのトレースメッセージは、トレースログに表示されます。

ドライバーがグローバルロガーセッションへのログ記録中に標準トレースセッションが開始された場合、ドライバーは切り替えて、標準トレースセッションへのログ記録を開始します。

グローバルロガーレジストリエントリ

次の表に、グローバルロガーセッションを構成するレジストリエントリを示します。これらのエントリは HKLM\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger サブキーにあります。開始エントリのみが必要です。

このテーブルのレジストリエントリに加えて、GlobalLogger サブキーの下に ControlGUID サブキーを追加して、グローバルロガートレースセッションにログを記録するトレースプロバイダー (ドライバーなど) を表すこともできます。詳細については、「グローバルロガーセッションへのログ記録」を参照してください。

エントリー	データの種類	説明
Start	REG_DWORD	1 (オン) に設定すると、次にシステムが起動したときにグローバルロガーセッションが開始されます。 0 = off、 1= on
BufferSize	REG_DWORD	各バッファーのサイズを KB 単位で指定します。既定値は 0x40 (64 KB) です。
時計タイプ	REG_DWORD	トレースメッセージのタイムスタンプに使用されるタイマーを指定します。 Windows Vista 以降の既定値は 1 です。 Windows Vista より前のオペレーティングシステムでは、既定値は 2 です。 1 = パフォーマンスカウンター値 (高解像度) 2 = システムタイマー 3 = CPU サイクルクロック
EnableKernelFlags	REG_BINARY（レジストリバイナリ）	グローバルロガーセッションを NT カーネルロガートレースセッションに変換し、カーネルトレースに含まれるイベントを指定します。詳細については、「ブート時グローバルロガーセッション」を参照してください。
FileCounter	REG_DWORD	グローバルロガーセッションによって生成されたイベントトレースログファイルの数を格納します。システムは、 FileMax の値に達するまでこの値をインクリメントします。次に、値を 0 にリセットします。このカウンターにより、システムはグローバルロガートレースログファイルを上書きできなくなります。
FileMax	REG_DWORD	システムで許可されるイベントトレースログファイルの最大数を指定します。トレースログの数が指定した最大値に達すると、最も古いログから始まるログの上書きが開始されます。既定値は 0 です。つまり、最大値はありません。
ファイル名	REG_SZ	イベントトレースログファイルのパス (省略可能) とファイル名。既定値は \System32\LogFiles\WMI\trace.log %SystemRoot%です。
FlushTimer	REG_DWORD	トレースバッファーを強制的にフラッシュする頻度 (秒単位) を指定します。この強制フラッシュは、バッファーがいっぱいになったときやトレースセッションが停止するたびに発生する自動フラッシュに加えて行われます。既定値は 0 です。既定では、バッファーは満杯になった場合にのみフラッシュされます。最小フラッシュ時間は 1 秒です。
LogFileMode	REG_DWORD	ログセッションオプションを指定します。 Windows Vista 以降のバージョンの Windows でのみサポートされます。
MaximumBuffers	REG_DWORD	セッションに割り当てることができるバッファーの最大数を指定します。既定値は 0x19 (25) です。
MaximumFileSize	REG_DWORD	イベントトレースログファイルの最大サイズを指定します。既定では、ファイルの最大サイズはありません。
MinimumBuffers	REG_DWORD	セッションの開始時に割り当てられるバッファーの数を指定します。既定値は 0x3 です。
Status	REG_DWORD	グローバルロガートレースセッションの開始の試行からのリターンコードを格納します。セッションの開始に失敗した場合、このエントリの値は Win32 エラーコードです。セッションが開始された場合、このエントリの値はERROR_SUCCESS。

作成したこれらのレジストリエントリはレジストリに残り、削除または値を変更するまで有効です。したがって、グローバルロガーセッションの実行後、 tracelog -remove GlobalLogger コマンドを使用して 、Start エントリの値を 0 に設定し、他のグローバルロガーレジストリエントリを削除します。それ以外の場合は、コンピューターを再起動するたびにグローバルロガーセッションが実行され、結果のログファイルは非常に大きくなる可能性があります。

ログモード定数

次の表に、HKLM\System\CurrentControlSet\Control\WMI\GlobalLogger サブキーの LogFileMode レジストリエントリの有効な値を示します。このエントリは、リアルタイムトレースセッション、プライベートトレースセッション、循環ログ記録、バッファリング (ログなし) など、グローバルロガートレースセッションのオプションを設定するために使用されます。このレジストリエントリは、Windows Vista 以降のバージョンの Windows でのみサポートされています。

このレジストリエントリは、EVENT_TRACE_PROPERTIES構造体の LogFileMode メンバーに対応します。その値は、ログモード定数に対応します。 EVENT_TRACE_PROPERTIES構造とログモード定数については、Microsoft Windows SDK のドキュメントを参照してください。

この表は、定数の 16 進値を示すためにここに表示されます。これらの値またはこれらの値の合計を使用して、 LogFileMode レジストリエントリの定数を表します。

価値	定数	説明
0x0	EVENT_TRACE_FILE_MODE_NONE	イベントトレースログファイルは作成されません。
0x1	EVENT_TRACE_FILE_MODE_SEQUENTIAL	イベントトレースログファイルはシーケンシャルです。
0x2	イベントトレースファイルモードサーキュラー	イベントトレースログファイルは循環です。
0x4	EVENT_TRACE_FILE_MODE_APPEND	トレースメッセージを既存のログファイルに追加します。このモードは、順次ファイルでのみ有効です。
0x8	EVENT_TRACE_FILE_MODE_NEWFILE	既存のファイルが MaximumFileSize エントリの値に達するたびに、新しいイベントトレースログファイルを作成します (上記の表を参照)。
0x20	EVENT_TRACE_FILE_MODE_PREALLOCATE	イベントトレースログファイルの領域を予約します。 EVENT_TRACE_FILE_MODE_SEQUENTIALまたはEVENT_TRACE_FILE_MODE_CIRCULARでのみ有効で、EVENT_TRACE_FILE_MODE_NEWFILEでは無効です。
0x40	イベントトレースノンストッパブルモード	StopTrace を呼び出しても、トレースセッションは停止されません。この機能により、ユーザーは、システムが診断とチューニングに必要なトレースセッションを停止できなくなります。
0x100	EVENT_TRACE_REAL_TIME_MODE	リアルタイムトレースセッションを指定します。
0x200	EVENT_TRACE_DELAY_OPEN_FILE_MODE	内部使用のみ。
0x400	EVENT_TRACE_BUFFERING_MODE	イベントはバッファーに保持されます。ログファイルに書き込まれたり、トレースコンシューマーに配信されたりすることはありません。
0x800	イベントトレースプライベートロガーモード	プライベートトレースセッションを指定します。このフラグは、グローバルロガートレースセッションでは無効です。
0x1000	EVENT_TRACE_ADD_HEADER_MODE	内部使用のみ。
0x2000	EVENT_TRACE_USE_KBYTES_FOR_SIZE	MaximumFileSize の値を MB ではなく KB 単位で解釈します。
0x4000	EVENT_TRACE_USE_GLOBAL_SEQUENCE	トレースメッセージのグローバルシーケンス番号を生成します。これらの数値は、コンピューター上のすべてのトレースセッションで一意です。既定では、トレースメッセージにはシーケンス番号はありません。
0x8000	EVENT_TRACE_USE_LOCAL_SEQUENCE	トレースメッセージのローカルシーケンス番号を生成します。これらの数値は、トレースセッション内で一意です。既定では、トレースメッセージにはシーケンス番号はありません。
0x10000	EVENT_TRACE_RELOG_MODE	内部使用のみ。
0x80000	イベントトレース_KDフィルターモード	トレースメッセージをカーネルデバッガーにリダイレクトし、トレースバッファーサイズをデバッガーの最大バッファーサイズである 3 KB に設定します。
0x1000000	EVENT_TRACE_MODE_RESERVED	グローバルロガートレースセッションでは無効です。
0x01000000	EVENT_TRACE_USE_PAGED_MEMORY	ページング可能なメモリからトレースセッションバッファーを割り当てます。デフォルトで、バッファーはページング不可能なメモリから割り当てられます。

次の方法で共有

グローバル ロガー トレース セッション

グローバル ロガー トレース セッションの制限事項

グローバル ロガー レジストリ エントリ

ログモード定数

フィードバック

その他のリソース

グローバルロガートレースセッション

グローバルロガートレースセッションの制限事項

グローバルロガーレジストリエントリ