通过

DisplayToID

  • 项目

DisplayToID 表将系统监视器显示的用户友好字符串与其他表中存储的 GUID 相关联。

DisplayToID 表定义以下字段:

  • Guid: 为日志生成的唯一标识符。 此字段是此表的主键。
  • RunID: 保留供内部使用。
  • DisplayString: 系统监视器中显示的日志文件的名称。
  • LogStartTime: 日志记录过程以 yyyy-mm-dd hh:mm:ss:nnn 格式启动的时间。
  • LogStopTime: 日志记录进程以 yyyy-mm-dd hh:mm:ss:nnn 格式停止的时间。 可以使用 this 和 LogStartTime 字段中的值来区分具有相同 DisplayString 值的多个日志文件。 LogStartTimeLogStopTime 字段中的值还允许快速访问总收集时间。
  • NumberOfRecords: 表中存储的每个日志集合的样本数。
  • MinutesToUTC: 用于将 UTC 时间存储的行数据转换为本地时间的值。
  • TimeZoneName: 收集数据的时区的名称。 如果你正在收集或已重新记录数据,这些数据是在你自己的时区的系统上收集的,则此字段将说明位置。

注意 在 Windows Vista 之前,数据收集器集存储在 注册表中

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries

. 上面列出的字段与注册表中的值不对应。 对于 Windows Vista,数据收集器集不存储在注册表中。