EventFilters
Das EventFilters-Element gibt Ereignis-IDs an, um Ereignisse von einem manifestbasierten Anbieter zu filtern.
Elementhierarchie
-
<
WindowsPerformanceRecorder>
-
<
Profile>
-
<
EventProvider>
- < EventFilters>
-
<
Profil>
-
<
Sammler>
-
<
EventCollectorId>
-
<
EventProviders>
-
<
EventProvider>
- < EventFilters>
-
<
EventProvider>
-
<
EventProviders>
-
<
EventCollectorId>
-
<
Sammler>
-
<
EventProvider>
-
<
Profile>
Syntax
<EventFilters FilterIn = "true" | "false" Operation = "Set" | "Add" | "Remove" >
<!-- Child elements -->
<EventId>
</EventFilters>
Attribute und Elemente
Attribute
| attribute | BESCHREIBUNG | Datentyp | Erforderlich | Standard |
|---|---|---|---|---|
| FilterIn | Gibt an, ob die angegebenen Ereignisse eingeschlossen oder ausgeschlossen werden sollen. | boolean | Ja | |
| Vorgang | Gibt an, ob Schlüsselwörter festgelegt oder hinzugefügt werden sollen. | Dieses Attribut kann einen der folgenden Werte annehmen:
|
Nein | Set |
Untergeordnete Elemente
| Element | BESCHREIBUNG | Anforderung |
|---|---|---|
| EventId | Die in einem Manifest definierte Ereignis-ID. | Erforderlich, mindestens 1. |
Übergeordnete Elemente
| Element | Beschreibung |
|---|---|
| EventProvider | Stellt einen Ereignisanbieter für das Profil dar. |
Anmerkung
Das EventFilters-Element ermöglicht die Ereignisfilterung über EVENT_FILTER_DESCRIPTOR, Type EVENT_FILTER_TYPE_EVENT_ID.
Obwohl ETW leistungsstarke Nutzlast- und Attributfilterung unterstützt, sollten Ereignisse in erster Linie basierend auf Bereichsfiltern oder über Ebene und Schlüsselwort (keyword) gefiltert werden, um weniger CPU-Mehraufwand zu ermöglichen.
Beispiel
<EventProvider Id="EP_Microsoft-Windows-Win32k" Name="8c416c79-d49b-4f01-a467-e56d3aa8234c" NonPagedMemory="true">
<EventFilters FilterIn="false">
<EventId Value="164" />
<EventId Value="166" />
<EventId Value="167" />
<EventId Value="169" />
</EventFilters>
<StackFilters FilterIn="true">
<EventId Value="88" />
<EventId Value="65" />
</StackFilters>
</EventProvider>