Configuration et démarrage d’une session de journalisation privée
Une session de suivi d’événements privée est une session de suivi d’événements en mode utilisateur qui s’exécute dans le même processus que ses fournisseurs de suivi d’événements : la session privée et les fournisseurs qu’elle active doivent tous être dans le même processus. L’avantage de l’utilisation d’une session privée est que la session privée ne compte pas au maximum de 64 sessions de suivi d’événements s’exécutant simultanément.
La configuration et le démarrage d’une session privée sont similaires au démarrage d’une session de suivi d’événements normale. La différence réside dans le fait que le membre Wnode. Guid de la structure des _ _ Propriétés de trace d’événements doit contenir le GUID du fournisseur, et non la session, et que le fournisseur doit déjà avoir inscrit le GUID. Notez que si vous définissez également le _ suivi _ d’événement privé _ en mode de _ journalisation de procédure, vous pouvez utiliser un GUID différent pour la session et le fournisseur. Pour plus d’informations sur le démarrage d’une session de suivi d’événements normale, consultez configuration et démarrage d’une session de suivi d’événements.
Notez que vous ne pouvez pas démarrer, arrêter ou vider une session de trace privée à partir de DllMain ; vous devez le faire dans les routines d’initialisation et de finalisation de la DLL.
de Windows 8.1 à Windows 10, la version 1607, la charge utile d’événement, la portée et les filtres de parcours de pile peuvent être utilisés par la fonction EnableTraceEx2 et les structures de _ _ descripteur de filtre d’événement et de _ _ paramètres de TRACE pour filtrer sur des conditions spécifiques dans une session de journalisation. Pour plus d’informations sur les filtres de charge utile d’événement, consultez les fonctions TdhCreatePayloadFilteret TdhAggregatePayloadFilters , ainsi que les structures de prédicat activer les _ _ paramètres de trace, _ _ descripteur de filtre d’événement et de _ filtre _ de charge utile .
à partir de Windows 10, la version 1703, les utilisateurs à faibles privilèges peuvent désormais démarrer une session d’enregistreur d’événements privée dans les processus qu’ils ont démarré. Le fournisseur n’a plus besoin d’être inscrit avant l’activation ou le démarrage de la session privée, ce qui signifie que le fournisseur est « pré-activé », de la même façon que les fournisseurs de session non privés. Il existe une limite de 8 enregistreurs d’événements privés au niveau du système pour un processus individuel. Pour des performances accrues dans les scénarios inter-processus, il est recommandé d’utiliser le filtrage pour les API de session (notamment ControlTrace, QueryTrace, StartTraceet StopTrace) lors du démarrage d’un enregistreur d’événements privés du système. Notez que les mêmes filtres doivent être passés à toutes les API de session. Pour plus d’informations sur les filtres, consultez Event _ trace _ Properties _ v2.
Pour plus d’informations sur le démarrage d’une session de suivi d’événements, consultez configuration et démarrage d’une session de suivi d’événements.
Pour plus d’informations sur le démarrage d’une session de journal de noyau NT, consultez configuration et démarrage de la session de journalisation du noyau NT.
Pour plus d’informations sur le démarrage d’une session de journalisation globale, consultez configuration et démarrage d’une session de journalisation globale.
Pour plus d’informations sur le démarrage d’une session de journalisation automatique, consultez configuration et démarrage d’une session de journalisationautomatique.