Partager via

Type complexe SystemPropertiesType

  • Article

Définit les informations qui identifient le fournisseur et la façon dont il a été activé, l’événement, le canal sur lequel l’événement a été écrit et les informations système telles que les ID de processus et de thread.

<xs:complexType name="SystemPropertiesType">
    <xs:sequence>
        <xs:element name="Provider">
            <xs:complexType>
                <xs:attribute name="Name"
                    type="anyURI"
                    use="optional"
                 />
                <xs:attribute name="Guid"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="EventSourceName"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="EventID">
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedShort"
                    >
                        <xs:attribute name="Qualifiers"
                            type="unsignedShort"
                            use="optional"
                         />
                    </xs:extension>
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Version"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Level"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Task"
            type="unsignedShort"
            minOccurs="0"
         />
        <xs:element name="Opcode"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Keywords"
            type="HexInt64Type"
            minOccurs="0"
         />
        <xs:element name="TimeCreated"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="SystemTime"
                    type="dateTime"
                    use="optional"
                 />
                <xs:attribute name="RawTime"
                    type="unsignedLong"
                    use="optional"
                 />
            </xs:complexType>
            <xs:key name="uniqueAtt">
                <xs:selector
                    xpath="."
                 />
                <xs:field
                    xpath="@SystemTime|@RawTime"
                 />
            </xs:key>
        </xs:element>
        <xs:element name="EventRecordID"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedLong"
                     />
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Correlation"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ActivityID"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="RelatedActivityID"
                    type="GUIDType"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Execution"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ProcessID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ThreadID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ProcessorID"
                    type="unsignedByte"
                    use="optional"
                 />
                <xs:attribute name="SessionID"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="KernelTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="UserTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="ProcessorTime"
                    type="unsignedInt"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Channel"
            type="anyURI"
            minOccurs="0"
         />
        <xs:element name="Computer"
            type="string"
         />
        <xs:element name="Security"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="UserID"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:any
            processContents="lax"
            minOccurs="0"
            maxOccurs="unbounded"
            namespace="##other"
         />
    </xs:sequence>
    <xs:anyAttribute
        processContents="lax"
        namespace="##other"
     />
</xs:complexType>

Éléments enfants

Élément Type Description
Channel anyURI Canal dans lequel l’événement a été journalisé.
Computer string nom de l'ordinateur sur lequel l'événement s'est produit.
Corrélation Identificateurs d’activité que les consommateurs peuvent utiliser pour regrouper les événements associés.
Eventid Identificateur utilisé par le fournisseur pour identifier l’événement.
EventRecordID Numéro d’enregistrement attribué à l’événement lors de son journalisation.
Exécution Contient des informations sur le processus et le thread qui ont journalisé l’événement.
Mots clés HexInt64Type Masque de bits des mots clés définis dans l’événement. Les mots clés sont utilisés pour classifier les types d’événements (par exemple, les événements associés à la lecture des données).
Level unsignedByte Niveau de gravité défini dans l’événement.
Opcode unsignedByte Opcode défini dans l’événement. La tâche et l’opcode sont utilisés de manière typciale pour identifier l’emplacement dans l’application à partir duquel l’événement a été journalisé.
Fournisseur Identifie le fournisseur qui a enregistré l’événement. Les attributs Name et GUID sont inclus si le fournisseur a utilisé un manifeste d’instrumentation pour définir ses événements ; sinon, l’attribut EventSourceName est inclus si un fournisseur d’événements hérité (à l’aide de l’API Journalisation des événements) a enregistré l’événement.
Sécurité Identifie l’utilisateur qui a enregistré l’événement.
Tâche unsignedShort Tâche définie dans l’événement. La tâche et l’opcode sont généralement utilisés pour identifier l’emplacement dans l’application à partir duquel l’événement a été enregistré.
TimeCreated Horodatage qui identifie le moment où l’événement a été journalisé. L’horodatage inclut l’attribut SystemTime ou l’attribut RawTime .
Version unsignedByte Numéro de version de la définition de l’événement.

Attributs

Nom Type Description
ActivityID GUIDType Identificateur global unique qui identifie l’activité actuelle. Les événements publiés avec cet identificateur font partie de la même activité.
EventSourceName string Nom de la source d’événement qui a publié l’événement (si la source d’événement provient de l’API de journalisation des événements héritée).
Guid GUIDType Identificateur global unique qui identifie de manière unique le fournisseur.
KernelTime unsignedInt Temps d’exécution écoulé pour les instructions en mode noyau, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez plutôt la valeur dans le membre ProcessorTime. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl).
Nom anyURI Nom du fournisseur.
ProcessID unsignedInt Identifie le processus qui a généré l’événement.
ProcessorID unsignedByte Numéro d’identification du processeur qui a traité l’événement. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl).
ProcessorTime unsignedInt Pour les sessions privées ETW, le temps d’exécution écoulé pour les instructions en mode utilisateur, dans les graduations du processeur. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl).
Qualificateurs unsignedShort Un fournisseur hérité utilise un nombre 32 bits pour identifier ses événements. Si l’événement est journalisé par un fournisseur hérité, la valeur de l’élément EventID contient les 16 bits d’ordre inférieur de l’identificateur d’événement et l’attribut Qualifier contient les 16 bits d’ordre élevé de l’identificateur d’événement.
RawTime unsignedLong Valeur d’horodatage brut ; le format de l’horodatage dépend de la source d’heure utilisée pour collecter la trace. L’horodatage brut offre une précision supérieure à l’heure système. La sortie de l’événement rendu contient uniquement le temps brut si vous utilisez TraceRpt.exe avec le commutateur -rts.
RelatedActivityID GUIDType Identificateur global unique qui identifie l’activité vers laquelle le contrôle a été transféré. Les événements associés ont alors cet identificateur comme identificateur ActivityID.
SessionID unsignedInt Numéro d’identification de la session terminal server dans laquelle l’événement s’est produit. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl).
SystemTime dateTime Heure système de la journalisation de l’événement.
ThreadID unsignedInt Identifie le thread qui a généré l’événement.
UserID string Identificateur de sécurité (SID) de l’utilisateur sous forme de chaîne.
UserTime unsignedInt Temps d’exécution écoulé pour les instructions en mode utilisateur, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez plutôt la valeur dans le membre ProcessorTime. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl).

Notes

Par défaut, l’événement contient le nom de domaine complet (FQDN) d’un ordinateur. Pour utiliser le nom NETBIOS plutôt que le nom de domaine complet, vous devez créer une valeur de Registre DWORD nommée CompatFlags sous la clé de Registre suivante et définir la valeur de CompatFlags sur 0x2.

HKEY_LOCAL_MACHINE
   SOFTWARE
      Microsoft
         Windows
            CurrentVersion
               WINEVT

Spécifications

Condition requise Valeur
Client minimal pris en charge
 Windows Vista [applications de bureau uniquement]
Serveur minimal pris en charge
 Windows Server 2008 [applications de bureau uniquement]