SystemPropertiesType 복합 형식
이 문서의 내용
공급자를 식별하는 정보 및 사용 방법, 이벤트, 이벤트가 작성된 채널 및 프로세스 및 스레드 ID와 같은 시스템 정보를 정의합니다.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
자식 요소
요소
Type
Description
채널
anyURI
이벤트가 기록된 채널입니다.
Computer
문자열
이벤트가 발생한 컴퓨터의 이름입니다.
상관 관계
소비자가 관련 이벤트를 그룹화하기 위해 사용할 수 있는 활동 식별자입니다.
Eventid
공급자가 이벤트를 식별하는 데 사용한 식별자입니다.
EventRecordID
기록될 때 이벤트에 할당된 레코드 번호입니다.
실행
이벤트를 기록한 프로세스 및 스레드에 대한 정보를 포함합니다.
키워드
HexInt64Type
이벤트에 정의된 키워드의 비트 마스크입니다. 키워드는 이벤트 유형(예: 데이터 읽기와 관련된 이벤트)을 분류하는 데 사용됩니다.
Level
unsignedByte
이벤트에 정의된 심각도 수준입니다.
Opcode
unsignedByte
이벤트에 정의된 opcode입니다. 작업 및 opcode는 이벤트가 기록된 위치에서 애플리케이션의 위치를 식별하는 데 형식적으로 사용됩니다.
공급자
이벤트를 기록한 공급자를 식별합니다. 공급자가 계측 매니페스트를 사용하여 이벤트를 정의하는 경우 Name 및 Guid 특성이 포함됩니다. 그렇지 않으면 레거시 이벤트 공급자(이벤트 로깅 API 사용)가 이벤트를 기록하면 EventSourceName 특성이 포함됩니다.
보안
이벤트를 기록한 사용자를 식별합니다.
Task
unsignedShort
이벤트에 정의된 작업입니다. 작업 및 opcode는 일반적으로 이벤트가 기록된 애플리케이션의 위치를 식별하는 데 사용됩니다.
TimeCreated
이벤트가 기록된 시기를 식별하는 타임스탬프를 반환합니다. 타임스탬프는 SystemTime 특성 또는 RawTime 특성을 포함합니다.
버전
unsignedByte
이벤트 정의의 버전 번호입니다.
특성
이름
형식
Description
ActivityID
GUIDType
현재 활동을 식별하는 전역적으로 고유한 식별자입니다. 이 식별자와 함께 게시되는 이벤트는 동일한 작업의 일부입니다.
EventSourceName
문자열
이벤트를 게시한 이벤트 원본의 이름입니다(이벤트 원본이 레거시 이벤트 로깅 API에서 온 경우).
Guid
GUIDType
공급자를 고유하게 식별하는 전역적으로 고유한 식별자입니다.
KernelTime
unsignedInt
커널 모드 명령의 실행 시간이 CPU 시간 단위로 경과되었습니다. ETW 프라이빗 세션을 사용하는 경우 ProcessorTime 멤버의 값을 대신 사용합니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다.
속성
anyURI
공급자의 이름입니다.
ProcessID
unsignedInt
이벤트를 생성한 프로세스를 식별합니다.
ProcessorID
unsignedByte
이벤트를 처리한 프로세서의 ID 번호입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다.
ProcessorTime
unsignedInt
ETW 프라이빗 세션의 경우 CPU 틱에서 사용자 모드 지침에 대한 경과된 실행 시간입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다.
한정자
unsignedShort
레거시 공급자는 32비트 숫자를 사용하여 이벤트를 식별합니다. 이벤트가 레거시 공급자에 의해 기록되는 경우 EventID 요소의 값은 이벤트 식별자의 하위 16비트 및 한정자 특성에 이벤트 식별자의 상위 16비트 가 포함됩니다.
RawTime
unsignedLong
원시 타임스탬프를 반환합니다. 타임스탬프는 추적을 수집하는 데 사용되는 시간 원본에 따라 달라집니다. 원시 타임스탬프는 시스템 시간보다 높은 정밀도를 제공합니다. 렌더링된 이벤트 출력은 -rts 스위치와 함께 TraceRpt.exe 사용하는 경우에만 원시 시간을 포함합니다.
RelatedActivityID
GUIDType
컨트롤이 전송된 활동을 식별하는 전역적으로 고유한 식별자입니다. 그런 다음 관련 이벤트에는 이 식별자가 해당 ActivityID 식별자로 사용됩니다.
SessionID
unsignedInt
이벤트가 발생한 터미널 서버 세션의 ID 번호입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다.
SystemTime
dateTime
이벤트가 기록된 시간 시스템 시간입니다.
ThreadID
unsignedInt
이벤트를 생성한 스레드를 식별합니다.
UserID
문자열
문자열 형식의 사용자의 SID(보안 식별자)입니다.
UserTime
unsignedInt
CPU 시간 단위의 사용자 모드 지침에 대한 실행 시간이 경과되었습니다. ETW 프라이빗 세션을 사용하는 경우 ProcessorTime 멤버의 값을 대신 사용합니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다.
기본적으로 이벤트에는 컴퓨터의 FQDN(정규화된 도메인 이름)이 포함됩니다. FQDN이 아닌 NETBIOS 이름을 사용하려면 다음 레지스트리 키 아래에 CompatFlags라는 DWORD 레지스트리 값을 만들고 CompatFlags 값을 0x2 설정해야 합니다.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
요구 사항
요구 사항
값
지원되는 최소 클라이언트
Windows Vista [데스크톱 앱만 해당]
지원되는 최소 서버
Windows Server 2008 [데스크톱 앱만 해당]