EVENT_RECORD 结构 (evntcons.h)
定义 Windows (ETW 事件跟踪) 传递的事件布局。
语法
typedef struct _EVENT_RECORD {
EVENT_HEADER EventHeader;
ETW_BUFFER_CONTEXT BufferContext;
USHORT ExtendedDataCount;
USHORT UserDataLength;
PEVENT_HEADER_EXTENDED_DATA_ITEM ExtendedData;
PVOID UserData;
PVOID UserContext;
} EVENT_RECORD, *PEVENT_RECORD;
成员
EventHeader
有关事件的信息,例如写入事件的时间戳。 有关详细信息,请参阅 EVENT_HEADER 结构。
BufferContext
定义记录事件的会话等信息。 有关详细信息,请参阅 ETW_BUFFER_CONTEXT 结构。
ExtendedDataCount
ExtendedData 成员中的扩展数据结构数。
UserDataLength
UserData 成员中数据的大小(以字节为单位)。
ExtendedData
ETW 收集的一个或多个扩展数据项。 仅当控制器设置传递给 EnableTraceEx 或 EnableTraceEx2 函数的 EnableProperty 参数时,扩展数据包括某些项,例如记录事件的用户的 SID (SID) 。 无论控制器是设置传递给 EnableTraceEx 还是 EnableTraceEx2的 EnableProperty 参数,扩展数据都包含其他项,例如相关活动标识符和跟踪日志记录的解码信息。 有关详细信息,请参阅 EVENT_HEADER_EXTENDED_DATA_ITEM 结构 。
UserData
事件特定数据。 若要分析此数据,请参阅 使用 TDH 检索事件数据。 如果 EVENT_HEADER 的 Flags 成员包含EVENT_HEADER_FLAG_STRING_ONLY,则数据是一个以 null 结尾的 Unicode 字符串,不需要 TDH 进行分析。
UserContext
在传递给 OpenTrace 函数的 EVENT_TRACE_LOGFILE 结构的 Context 成员中指定的上下文。
注解
EVENT_RECORD 结构将传递给使用者的 EventRecordCallback 回调实现。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 标头 | evntcons.h (包括 Evntcons.h) |