Define as informações que identificam o provedor e como ele foi habilitado, o evento, o canal para o qual o evento foi gravado e as informações do sistema, como o processo e as IDs de thread.
Uma máscara de bits das palavras-chave definidas no evento. Palavras-chave são usadas para classificar tipos de eventos (por exemplo, eventos associados à leitura de dados).
Identifica o provedor que registrou o evento. Os atributos Name e Guid serão incluídos se o provedor usou um manifesto de instrumentação para definir seus eventos; caso contrário, o atributo EventSourceName será incluído se um provedor de eventos herdado (usando a API de Log de Eventos ) registrar o evento.
O identificador global exclusivo que identifica exclusivamente o provedor.
KernelTime
unsignedInt
Tempo de execução decorrido para instruções de modo kernel, em unidades de tempo de CPU. Se você estiver usando uma sessão privada ETW, use o valor no membro ProcessorTime. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl).
Nome
anyURI
O nome do provedor.
ProcessID
unsignedInt
Identifica o processo que gerou o evento.
ProcessorID
unsignedByte
O número de identificação do processador que processou o evento. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl).
ProcessorTime
unsignedInt
Para sessões privadas etw, o tempo de execução decorrido para instruções de modo de usuário, em tiques de CPU. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl).
Qualificadores
unsignedShort
Um provedor herdado usa um número de 32 bits para identificar seus eventos. Se o evento for registrado por um provedor herdado, o valor do elemento EventID conterá os 16 bits de ordem baixa do identificador de evento e o atributo Qualifier conterá os 16 bits de alta ordem do identificador de evento.
RawTime
unsignedLong
O valor bruto do carimbo de data/hora; o formato do carimbo de data/hora depende da fonte de tempo usada para coletar o rastreamento. O carimbo de data/hora bruto oferece precisão maior do que a hora do sistema. A saída do evento renderizado só conterá tempo bruto se você usar TraceRpt.exe com a opção -rts.
Um identificador global exclusivo que identifica a atividade para a qual o controle foi transferido. Os eventos relacionados teriam esse identificador como seu identificador ActivityID.
SessionID
unsignedInt
O número de identificação da sessão do servidor de terminal na qual o evento ocorreu. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl).
SystemTime
dateTime
A hora do sistema de quando o evento foi registrado.
ThreadID
unsignedInt
Identifica o thread que gerou o evento.
UserID
string
O SID (identificador de segurança) do usuário no formulário de cadeia de caracteres.
UserTime
unsignedInt
Tempo de execução decorrido para instruções de modo de usuário, em unidades de tempo de CPU. Se você estiver usando uma sessão privada ETW, use o valor no membro ProcessorTime. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl).
Comentários
Por padrão, o evento contém o FQDN (nome de domínio totalmente qualificado) de um computador. Para usar o nome NETBIOS em vez do FQDN, você deve criar um valor de registro DWORD chamado CompatFlags na chave do Registro a seguir e definir o valor de CompatFlags como 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Requisitos
Requisito
Valor
Cliente mínimo com suporte
Windows Vista [somente aplicativos da área de trabalho]
Servidor mínimo com suporte
Windows Server 2008 [somente aplicativos da área de trabalho]