EVENT_HEADER_EXTENDED_DATA_ITEM 结构 (evntcons.h)
定义 Windows (ETW 事件跟踪) 作为事件数据的一部分收集的扩展数据。
语法
typedef struct _EVENT_HEADER_EXTENDED_DATA_ITEM {
USHORT Reserved1;
USHORT ExtType;
struct {
USHORT Linkage : 1;
USHORT Reserved2 : 15;
};
USHORT DataSize;
ULONGLONG DataPtr;
} EVENT_HEADER_EXTENDED_DATA_ITEM, *PEVENT_HEADER_EXTENDED_DATA_ITEM;
成员
Reserved1
保留。
ExtType
扩展数据的类型。 下面是可能的值。
| Value | 含义 |
|---|---|
|
如果调用 EventWriteTransfer 来写入事件,则 DataPtr 成员指向包含相关活动标识符的EVENT_EXTENDED_ITEM_RELATED_ACTIVITYID结构。 |
|
DataPtr 成员指向一个 SID 结构,该结构包含记录事件的用户的 SID) (安全标识符。 如果将 EnableTraceEx 的 EnableProperty 参数设置为 EVENT_ENABLE_PROPERTY_SID,ETW 将包含 SID。 |
|
DataPtr 成员指向包含终端会话标识符的EVENT_EXTENDED_ITEM_TS_ID结构。 如果将 EnableTraceEx 的 EnableProperty 参数设置为 EVENT_ENABLE_PROPERTY_TS_ID,则 ETW 包括终端会话标识符。 |
|
如果调用 TraceEventInstance 来写入事件,则 DataPtr 成员指向包含活动标识符的EVENT_EXTENDED_ITEM_INSTANCE结构。 |
|
如果事件是在 32 位计算机上捕获的, 则 DataPtr 成员指向包含调用堆栈的 EVENT_EXTENDED_ITEM_STACK_TRACE32 结构。 |
|
如果事件是在 64 位计算机上捕获的, 则 DataPtr 成员指向包含调用堆栈的 EVENT_EXTENDED_ITEM_STACK_TRACE64 结构。 |
|
DataPtr 成员指向包含 TraceLogging 事件元数据信息的扩展标头项。 |
|
DataPtr 成员指向包含提供程序特征数据的扩展标头项,例如通过 EventSetInformation (EventProviderSetTraits) 或通过EVENT_DATA_DESCRIPTOR_TYPE_PROVIDER_METADATA指定的特征。 |
|
DataPtr 成员指向包含 64 位标量的唯一事件标识符的 EVENT_EXTENDED_ITEM_EVENT_KEY 结构。
需要为给定提供程序的 EnableTrace 调用传递 EnableProperty EVENT_ENABLE_PROPERTY_EVENT_KEY才能启用此功能。 |
|
DataPtr 成员指向一个EVENT_EXTENDED_ITEM_PROCESS_START_KEY结构,该结构包含一个在启动会话) 中唯一 (唯一的进程标识符。 此标识符是 64 位标量。
需要为给定提供程序的 EnableTrace 调用传递 EnableProperty EVENT_ENABLE_PROPERTY_PROCESS_START_KEY才能启用此功能。 |
Linkage
保留。
Reserved2
保留。
DataSize
DataPtr 指向的扩展数据的大小(以字节为单位)。
DataPtr
指向扩展数据的指针。 ExtType 成员确定此成员指向的扩展数据的类型。
要求
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 标头 | evntcons.h (包括 Evntcons.h) |