事件跟踪
事件跟踪技术概述。
若要开发事件跟踪,需要以下标头:
有关此技术的编程指南,请参阅:
枚举
_TDH_IN_TYPE 定义跟踪数据帮助程序 (TDH) 支持的 [in] 类型。 |
_TDH_OUT_TYPE 定义跟踪数据帮助程序 (TDH) 支持的 [out] 类型。 |
DECODING_SOURCE 定义事件数据的源。 |
ETW_CONTEXT_REGISTER_TYPES 指定在启用上下文寄存器跟踪时要收集的寄存器集。 |
ETW_PROCESS_HANDLE_INFO_TYPE 指定将在跟踪处理会话上执行的操作。 |
ETW_PROCESS_TRACE_MODES 指定支持的进程跟踪模式。 |
ETW_PROVIDER_TRAIT_TYPE 指定 Windows (ETW) 事件跟踪支持的提供程序特征类型。 |
EVENT_FIELD_TYPE 定义要检索的提供程序信息。 |
EVENT_INFO_CLASS EVENT_INFO_CLASS 枚举类型与 EventSetInformation 函数一起使用,以指定要对 ETW 事件提供程序注册执行的配置操作。 |
EVENTSECURITYOPERATION 定义 EventAccessControl 函数修改的安全描述符的组件。 |
MAP_FLAGS 定义常量值,该值指示映射是值映射、位图还是模式映射。 |
MAP_VALUETYPE 定义值映射值是 ULONG 数据类型还是字符串。 |
PAYLOAD_OPERATOR 定义跟踪数据帮助程序 (TDH) 支持的有效负载运算符。 |
PROPERTY_FLAGS 定义属性是否包含在结构或数组中。 |
TDH_CONTEXT_TYPE 定义上下文类型。 |
TEMPLATE_FLAGS 定义指示事件数据的布局的常量值。 |
TRACE_QUERY_INFO_CLASS 与 EnumerateTraceGuidsEx 和 TraceSetInformation 一起使用,以指定跟踪信息的类型。 |
函数
AddLogfileTraceStream 将基于日志文件的新 ETW 跟踪流添加到重新记录器。 |
AddRealtimeTraceStream 将新的实时 ETW 跟踪流添加到重新记录器。 |
取消 终止重新记录进程。 |
克隆 创建事件的重复副本。 |
CloseTrace CloseTrace 函数关闭使用 OpenTrace 创建的跟踪处理会话。 |
ControlTraceA ControlTraceA (ANSI) 函数 (evntrace.h) 刷新、查询、更新或停止指定的事件跟踪会话。 |
ControlTraceW ControlTraceW (Unicode) 函数 (evntrace.h) 刷新、查询、更新或停止指定的事件跟踪会话。 |
CreateEventInstance 生成新事件。 |
CreateTraceInstanceId 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 CreateTraceInstanceId 函数创建唯一事务标识符并将其映射到注册句柄。 然后,提供程序可以在调用 TraceEventInstance 函数时使用事务标识符。 |
CveEventWrite 一个跟踪函数,用于在用户模式应用程序中检测到安全漏洞攻击尝试时发布事件。 |
DECLSPEC_XFGVIRT |
EMI_MAP_FORMAT 检索事件映射格式的宏。 |
EMI_MAP_INPUT 检索事件映射输入的宏。 |
EMI_MAP_NAME 检索事件映射名称的宏。 |
EMI_MAP_OUTPUT 检索事件映射输出的宏。 |
EnableTrace 跟踪会话控制器调用 EnableTrace 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。 EnableTraceEx2 函数取代此函数。 |
EnableTraceEx 跟踪会话控制器调用 EnableTraceEx 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。 EnableTraceEx2 函数取代此函数。 |
EnableTraceEx2 跟踪会话控制器调用 EnableTraceEx2 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。 |
EnumerateTraceGuids 检索有关计算机上当前运行的事件跟踪提供程序的信息。 EnumerateTraceGuidsEx 函数取代此函数。 |
EnumerateTraceGuidsEx 检索有关计算机上当前运行的事件跟踪提供程序的信息。 |
EtwGetTraitFromProviderTraits |
EventAccessControl 添加或修改指定提供程序或会话的权限。 |
EventAccessQuery 检索指定控制器或提供程序的权限。 |
EventAccessRemove 删除在注册表中为指定的提供程序或会话定义的权限。 |
EventActivityIdControl 创建、查询和设置用于 ETW 事件的活动标识符。 |
EventDataDescCreate 设置EVENT_DATA_DESCRIPTOR的值。 |
EventDescCreate 设置事件描述符的值。 |
EventDescGetChannel 从事件描述符检索通道。 |
EventDescGetId 从事件描述符检索事件标识符。 |
EventDescGetKeyword 从事件描述符检索 关键字。 |
EventDescGetLevel 从事件描述符检索严重性级别。 |
EventDescGetOpcode 从事件描述符检索操作代码。 |
EventDescGetTask 从事件描述符检索任务。 |
EventDescGetVersion 从事件描述符检索版本。 |
EventDescOrKeyword 将另一个关键字添加到事件描述符。 |
EventDescSetChannel 设置事件描述符的 Channel 成员。 |
EventDescSetId 设置事件描述符的 Id 成员。 |
EventDescSetKeyword 设置事件描述符的 Keyword 成员。 |
EventDescSetLevel 设置事件描述符的 Level 成员。 |
EventDescSetOpcode 设置事件描述符的 Opcode 成员。 |
EventDescSetTask 设置事件描述符的 Task 成员。 |
EventDescSetVersion 设置事件描述符的 Version 成员。 |
EventDescZero 将事件描述符初始化为零。 |
EventEnabled 确定事件提供程序是否应根据事件的EVENT_DESCRIPTOR生成特定事件。 |
EventProviderEnabled 确定事件提供程序是否应基于事件的 Level 和 Keyword 生成特定事件。 |
EventRegister 注册 ETW 事件提供程序,创建可用于写入 ETW 事件的句柄。 |
EventSetInformation 配置 ETW 事件提供程序。 |
EventUnregister 取消注册 ETW 事件提供程序。 |
EventWrite 写入使用当前线程的活动 ID 的 ETW 事件。 |
EventWriteEx 写入具有活动 ID、可选相关活动 ID、会话筛选器和特殊选项的 ETW 事件。 |
EventWriteString 写入包含字符串作为其数据的 ETW 事件。 不应使用此函数。 |
EventWriteTransfer 编写具有活动 ID 和可选相关活动 ID 的 ETW 事件。 |
FlushTraceA FlushTraceA (ANSI) 函数 (evntrace.h) 会导致事件跟踪会话立即为指定会话传递缓冲事件。 |
FlushTraceW FlushTraceW (Unicode) 函数 (evntrace.h) 会导致事件跟踪会话立即为指定会话传递缓冲事件。 |
GetEventProcessorIndex |
GetEventRecord 检索描述事件的事件记录。 |
GetTraceEnableFlags 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceEnableFlags 函数检索跟踪控制器指定的启用标志,以指示要跟踪的事件类别。 提供程序从其 ControlCallback 函数调用此函数。 |
GetTraceEnableLevel 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceEnableLevel 函数检索跟踪控制器指定的启用级别,以指示要跟踪的事件级别。 提供程序从其 ControlCallback 函数调用此函数。 |
GetTraceLoggerHandle 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceLoggerHandle 函数检索它应向其写入事件的事件跟踪会话的句柄。 提供程序从其 ControlCallback 函数调用此函数。 |
GetUserContext 检索与事件所属的流关联的用户上下文。 |
注入 将非系统生成的事件注入要写入到输出跟踪日志文件的事件流中。 |
OnBeginProcessTrace 指示跟踪即将开始,以便可以开始重新记录。 |
OnEvent 指示已在与重新记录器关联的跟踪流上收到事件。 |
OnFinalizeProcessTrace 指示跟踪即将结束,以便可以完成重新记录。 |
OpenTraceA OpenTraceA (ANSI) 函数 (evntrace.h) 打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。 |
OpenTraceFromBufferStream 创建不直接附加到任何文件或活动会话的跟踪处理会话。 |
OpenTraceFromFile 创建跟踪处理会话以处理 Tracelog .etl 文件。 |
OpenTraceFromRealTimeLogger 打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。 |
OpenTraceFromRealTimeLoggerWithAllocationOptions 创建附加到活动实时 ETW 会话的跟踪处理会话。 |
OpenTraceW OpenTraceW (Unicode) 函数 (evntrace.h) 打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。 |
PEI_PROVIDER_NAME 检索提供程序事件信息 (PEI) 名称的宏。 |
PENABLECALLBACK ETW 事件提供程序(可选)定义 EnableCallback 函数以接收配置更改通知。 PENABLECALLBACK 类型定义指向此回调函数的指针。 EnableCallback 是应用程序定义的函数名称的占位符。 |
PETW_BUFFER_CALLBACK 将由 ProcessTrace 调用的 BufferCallback 的函数定义。 |
PETW_BUFFER_COMPLETION_CALLBACK 使用缓冲区完成 ProcessTraceAddBufferToBufferStream 时将触发的回调的函数定义。 此回调通常应根据需要释放缓冲区 |
PEVENT_CALLBACK ETW 事件使用者实现此回调以接收来自跟踪处理会话的事件。 EventRecordCallback 回调取代此回调。 |
PEVENT_RECORD_CALLBACK ETW 事件使用者实现此回调以接收来自跟踪处理会话的事件。 PEVENT_RECORD_CALLBACK类型定义指向此回调函数的指针。 EventRecordCallback 是应用程序定义的函数名称的占位符。 |
PEVENT_TRACE_BUFFER_CALLBACKA PEVENT_TRACE_BUFFER_CALLBACKA (ANSI) (evntrace.h) 函数获取有关 ETW 在跟踪处理会话期间发送的每个事件缓冲区的统计信息。 |
PEVENT_TRACE_BUFFER_CALLBACKW PEVENT_TRACE_BUFFER_CALLBACKW (Unicode) (evntrace.h) 函数获取有关 ETW 在跟踪处理会话期间发送的每个事件缓冲区的统计信息。 |
PFI_FIELD_MESSAGE 检索提供程序字段信息 (PFI) 字段消息的宏。 |
PFI_FIELD_NAME 检索提供程序字段信息的宏 (PFI) 字段名称。 |
PFI_FILTER_MESSAGE 筛选提供程序字段信息 (PFI) 字段消息的宏。 |
PFI_PROPERTY_NAME 检索提供程序字段信息的宏 (PFI) 属性名称。 |
ProcessTrace 将事件从一个或多个跟踪处理会话传送给使用者。 |
ProcessTrace 将关联的跟踪流中的事件传送给使用者。 |
ProcessTraceAddBufferToBufferStream 为 OpenTraceFromBufferStream 创建的处理会话提供 ETW 跟踪缓冲区。 |
ProcessTraceBufferDecrementReference 释放对由 ProcessTraceBufferIncrementReference 添加的 Buffer 的引用。 |
ProcessTraceBufferIncrementReference 在提供的缓冲区上的 BufferCallback 期间调用,以防止释放它,直到调用方使用它。 |
QueryAllTracesA QueryAllTracesA (ANSI) 函数 (evntrace.h) 函数检索调用方可以查询的所有事件跟踪会话的属性和统计信息。 |
QueryAllTracesW QueryAllTracesW (Unicode) 函数 (evntrace.h) 函数检索调用方可以查询的所有事件跟踪会话的属性和统计信息。 |
QueryTraceA QueryTraceA (ANSI) 函数 (evntrace.h) 检索指定事件跟踪会话的属性设置和会话统计信息。 |
QueryTraceProcessingHandle 检索有关 OpenTrace 打开的 ETW 跟踪处理会话的信息。 |
QueryTraceW QueryTraceW (Unicode) 函数 (evntrace.h) 检索指定事件跟踪会话的属性设置和会话统计信息。 |
RegisterCallback 向重新记录程序注册 IEventCallback 的实现,以便向跟踪活动发出信号, (启动、停止和记录新事件) 。 |
RegisterTraceGuidsA RegisterTraceGuidsA (ANSI) 函数 (evntrace.h) 是一个过时的函数,新代码应使用提供的替代方法。 |
RegisterTraceGuidsW RegisterTraceGuidsW (Unicode) 函数 (evntrace.h) 已过时,新代码应使用提供的替代方法。 |
RemoveTraceCallback RemoveTraceCallback 函数阻止 EventCallback 函数接收事件跟踪类的事件。 此函数已过时。 |
SetActivityId 设置当前线程中的活动 ID。 |
SetCompressionMode 启用或禁用重新记录的跟踪上的压缩。 |
SetEventDescriptor 设置事件的事件描述符。 |
SetOutputFilename 指示 ETW 应向其写入重新记录的新跟踪的文件。 |
SetPayload 设置事件的有效负载。 |
SetProcessId 将事件分配给特定进程。 |
SetProcessorIndex 设置当前线程中的处理器索引。 |
SetProviderId 设置跟踪事件的提供程序的 GUID。 |
SetThreadId 设置生成事件的线程的标识符。 |
SetThreadTimes 设置当前线程中的线程时间。 |
SetTimeStamp 设置事件发生的时间。 |
SetTraceCallback SetTraceCallback 函数指定用于处理指定事件跟踪类的事件的 EventCallback 函数。 此函数已过时。 |
StartTraceA StartTrace 函数启动事件跟踪会话。 (ANSI) |
StartTraceW StartTrace 函数启动事件跟踪会话。 (Unicode) |
StopTraceA StopTraceA (ANSI) 函数 (evntrace.h) 停止指定的事件跟踪会话。 ControlTrace 函数取代此函数。 |
StopTraceW StopTraceW (Unicode) 函数 (evntrace.h) 停止指定的事件跟踪会话。 ControlTrace 函数取代此函数。 |
TdhAggregatePayloadFilters 将单个提供程序的多个有效负载筛选器聚合为单个数据结构,以便与 EnableTraceEx2 函数一起使用。 |
TdhCleanupPayloadEventFilterDescriptor 释放使用 TdhAggregatePayloadFilters 函数创建的有效负载筛选器的聚合结构。 |
TdhCloseDecodingHandle 释放与输入解码句柄关联的任何资源。 |
TdhCreatePayloadFilter 为要与 EnableTraceEx2 函数一起使用的单个有效负载创建单个筛选器。 |
TdhDeletePayloadFilter 释放 TdhCreatePayloadFilter 函数为单个有效负载筛选器分配的内存。 |
TdhEnumerateManifestProviderEvents 检索提供程序清单中存在的事件列表。 |
TdhEnumerateProviderFieldInformation 检索给定提供程序的指定字段元数据。 |
TdhEnumerateProviderFilters 枚举清单中定义的指定提供程序的筛选器。 |
TdhEnumerateProviders 检索计算机上已注册 MOF 类或清单文件的提供程序的列表。 |
TdhEnumerateProvidersForDecodingSource 检索计算机上已注册 MOF 类或清单文件的提供程序的列表。 |
TdhFormatProperty 设置用于显示的属性值的格式。 |
TdhGetDecodingParameter 检索解码参数的值。 |
TdhGetEventInformation 检索有关事件的元数据。 |
TdhGetEventMapInformation 检索事件中包含的事件映射的相关信息。 |
TdhGetManifestEventInformation 检索清单中有关事件的元数据。 |
TdhGetProperty 从事件数据中检索属性值。 |
TdhGetPropertySize 检索事件数据中一个或多个属性值的大小。 |
TdhGetWppMessage 检索嵌入到EVENT_RECORD结构的格式化 WPP 消息。 |
TdhGetWppProperty 检索与 WPP 消息关联的特定属性。 |
TdhLoadManifest 加载用于解码日志文件的清单。 |
TdhLoadManifestFromBinary 获取二进制文件以 NULL 结尾的路径,该文件包含解码特定事件提供程序所需的元数据资源。 |
TdhLoadManifestFromMemory 从内存加载清单。 |
TdhOpenDecodingHandle 打开解码句柄。 |
TdhQueryProviderFieldInformation 从与给定值匹配的字段值的事件说明中检索指定字段的信息。 |
TdhSetDecodingParameter 设置解码参数的值。 |
TdhUnloadManifest 卸载由 TdhLoadManifest 函数加载的清单。 |
TdhUnloadManifestFromMemory 从内存中卸载清单。 |
TEI_ACTIVITYID_NAME 检索跟踪事件信息的宏 (TEI) 活动 ID 名称。 |
TEI_CHANNEL_NAME 检索跟踪事件信息的宏 (TEI) 通道名称。 |
TEI_EVENT_MESSAGE 检索跟踪事件信息的宏 (TEI) 消息。 |
TEI_KEYWORDS_NAME 检索跟踪事件信息的宏 (TEI) 关键字名称。 |
TEI_LEVEL_NAME 检索跟踪事件信息的宏 (TEI) 级别名称。 |
TEI_MAP_NAME 检索跟踪事件信息的宏 (TEI) 映射名称。 |
TEI_OPCODE_NAME 检索跟踪事件信息的宏 (TEI) 操作代码名称。 |
TEI_PROPERTY_NAME 检索跟踪事件信息的宏 (TEI) 属性名称。 |
TEI_PROVIDER_MESSAGE 检索跟踪事件信息的宏 (TEI) 提供程序消息。 |
TEI_PROVIDER_NAME 检索跟踪事件信息的宏 (TEI) 提供程序名称。 |
TEI_RELATEDACTIVITYID_NAME 检索跟踪事件信息的宏 (TEI) 相关的活动 ID 名称。 |
TEI_TASK_NAME 检索跟踪事件信息的宏 (TEI) 任务名称。 |
TraceEvent 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceEvent 函数将结构化事件发送到事件跟踪会话。 |
TraceEventInstance 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceEventInstance 函数将结构化事件发送到具有实例标识符的事件跟踪会话。 |
TraceMessage 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceMessage 函数将基于消息 (基于 TMF 的 WPP) 事件发送到事件跟踪会话。 |
TraceMessageVa 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceMessageVa 函数将基于消息 (TMF 的 WPP) 事件发送到使用va_list参数的事件跟踪会话。 |
TraceQueryInformation 提供有关事件跟踪会话的信息。 |
TraceSetInformation 配置事件跟踪会话设置。 |
UnregisterTraceGuids 注销使用 RegisterTraceGuids 注册 (的 Windows 2000 样式) ETW 事件跟踪提供程序的“经典”。 |
UpdateTraceA UpdateTraceA (ANSI) 函数 (evntrace.h) 更新指定事件跟踪会话的属性设置。 |
UpdateTraceW UpdateTraceW (Unicode) 函数 (evntrace.h) 更新指定事件跟踪会话的属性设置。 |
WMIDPREQUEST 基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序实现此函数以接收来自控制器的通知。 WMIDPREQUEST 类型定义指向此回调函数的指针。 ControlCallback 是应用程序定义的函数名称的占位符。 |
接口
ITraceEvent 提供对与特定事件相关的数据的访问。 |
ITraceEventCallback ETW 用于在跟踪进程开始、结束和记录事件时向重新记录程序提供信息。 |
ITraceRelogger 提供对重新记录功能的访问权限,使你能够操作和重新记录 ETW 跟踪流中的事件。 |
结构
CLASSIC_EVENT_ID 标识要为其启用调用堆栈跟踪的内核事件。 |
ENABLE_TRACE_PARAMETERS 包含用于通过 EnableTraceEx2 启用提供程序的信息。 |
ENABLE_TRACE_PARAMETERS_V1 包含用于通过 EnableTraceEx2 启用提供程序的信息。 此结构已过时。 |
ETW_BUFFER_CALLBACK_INFORMATION 作为 ConsumerInfo 参数提供给 BufferCallback,并提供有关当前处理会话的详细信息。 |
ETW_BUFFER_CONTEXT 提供有关事件的上下文信息。 |
ETW_BUFFER_CONTEXT 提供有关事件的上下文信息。 (ETW_BUFFER_CONTEXT) |
ETW_BUFFER_HEADER ETW 缓冲区的标头结构。 |
ETW_OPEN_TRACE_OPTIONS 为 OpenTraceFromBufferStream、OpenTraceFromFile、OpenTraceFromRealTimeLogger、OpenTraceFromRealTimeLoggerWithAllocationOptions 函数提供配置参数。 |
ETW_TRACE_PARTITION_INFORMATION 包含从 ETW 跟踪拉取的分区信息。 |
EVENT_DATA_DESCRIPTOR EVENT_DATA_DESCRIPTOR结构定义将在 ETW 事件中使用的数据块。 |
EVENT_DESCRIPTOR EVENT_DESCRIPTOR结构包含有关 ETW 事件的信息 (元数据) 。 |
EVENT_DESCRIPTOR 包含定义事件的元数据。 |
EVENT_EXTENDED_ITEM_EVENT_KEY |
EVENT_EXTENDED_ITEM_INSTANCE 如果 TraceEventInstance 用于记录相关事件,则定义事件之间的关系。 |
EVENT_EXTENDED_ITEM_PEBS_INDEX |
EVENT_EXTENDED_ITEM_PMC_COUNTERS |
EVENT_EXTENDED_ITEM_PROCESS_START_KEY |
EVENT_EXTENDED_ITEM_RELATED_ACTIVITYID 定义此事件的父事件。 |
EVENT_EXTENDED_ITEM_STACK_KEY32 |
EVENT_EXTENDED_ITEM_STACK_KEY64 |
EVENT_EXTENDED_ITEM_STACK_TRACE32 定义 32 位计算机上的调用堆栈。 |
EVENT_EXTENDED_ITEM_STACK_TRACE64 定义 64 位计算机上的调用堆栈。 |
EVENT_EXTENDED_ITEM_TS_ID 定义记录事件的终端会话。 |
EVENT_FILTER_DESCRIPTOR 定义会话传递给提供程序的 enable 回调函数的筛选器数据。 |
EVENT_FILTER_EVENT_ID 定义EVENT_FILTER_DESCRIPTOR结构中用于事件 ID 或堆栈演练筛选器的事件 ID。 |
EVENT_FILTER_EVENT_NAME 定义EVENT_FILTER_DESCRIPTOR结构中用于事件名称或跟踪跟踪名称筛选器的事件 ID。 |
EVENT_FILTER_HEADER 定义必须在检测清单中定义的筛选器数据之前的标头数据。 |
EVENT_FILTER_LEVEL_KW 定义堆栈 walk level-keyword 筛选器的 EVENT_FILTER_DESCRIPTOR 结构中使用的事件 ID。 |
EVENT_HEADER EVENT_HEADER 结构 (evntcons.h) 定义有关事件的信息。 |
EVENT_HEADER relogger.h) (EVENT_HEADER 结构定义有关事件的信息。 |
EVENT_HEADER_EXTENDED_DATA_ITEM EVENT_HEADER_EXTENDED_DATA_ITEM 结构 (evntcons.h) 定义 ETW 收集的扩展数据作为事件数据的一部分。 |
EVENT_HEADER_EXTENDED_DATA_ITEM EVENT_HEADER_EXTENDED_DATA_ITEM 结构 (relogger.h) 定义 ETW 收集的扩展数据作为事件数据的一部分。 |
EVENT_INSTANCE_HEADER EVENT_INSTANCE_HEADER 结构包含由 TraceEventInstance 编写的所有事件通用的标准事件跟踪信息。 |
EVENT_INSTANCE_INFO EVENT_INSTANCE_INFO结构将唯一事务标识符映射到 TraceEventInstance 的已注册事件跟踪类。 |
EVENT_MAP_ENTRY 定义单个值映射条目。 |
EVENT_MAP_INFO 定义有关事件映射的元数据。 |
EVENT_PROPERTY_INFO 提供有关事件或筛选器的单个属性的信息。 |
EVENT_RECORD EVENT_RECORD结构 (evntcons.h) 定义 ETW 传递的事件的布局。 |
EVENT_RECORD (relogger.h) EVENT_RECORD 结构定义 ETW 提供的事件的布局。 |
EVENT_TRACE EVENT_TRACE结构用于将事件信息传递给事件跟踪使用者。 |
EVENT_TRACE_HEADER EVENT_TRACE_HEADER结构包含 TraceEvent 编写的所有事件通用的标准事件跟踪信息。 |
EVENT_TRACE_LOGFILEA EVENT_TRACE_LOGFILEA (ANSI) 结构 (evntrace.h) 存储有关跟踪数据源的信息。 |
EVENT_TRACE_LOGFILEW EVENT_TRACE_LOGFILEW (Unicode) 结构 (evntrace.h) 存储有关跟踪数据源的信息。 |
EVENT_TRACE_PROPERTIES EVENT_TRACE_PROPERTIES结构包含有关事件跟踪会话的信息,并与 StartTrace 和 ControlTrace 等 API 一起使用。 |
EVENT_TRACE_PROPERTIES_V2 EVENT_TRACE_PROPERTIES_V2 结构包含有关事件跟踪会话的信息,并与 StartTrace 和 ControlTrace 等 API 一起使用。 |
MOF_FIELD 可以使用MOF_FIELD结构将事件数据追加到EVENT_TRACE_HEADER或EVENT_INSTANCE_HEADER结构。 |
PAYLOAD_FILTER_PREDICATE 定义一个事件有效负载筛选器谓词,该谓词描述如何筛选跟踪会话中的单个字段。 |
PROPERTY_DATA_DESCRIPTOR 定义要检索的属性。 |
PROVIDER_ENUMERATION_INFO 定义在计算机上注册 MOF 或清单的提供程序数组。 |
PROVIDER_EVENT_INFO 定义提供程序清单中的事件数组。 |
PROVIDER_FIELD_INFO 定义字段信息。 |
PROVIDER_FIELD_INFOARRAY 定义有关所请求字段的元数据信息。 |
PROVIDER_FILTER_INFO 定义筛选器及其数据。 |
TDH_CONTEXT 定义分析事件所需的其他信息。 |
TRACE_CONTEXT_REGISTER_INFO 标识启用上下文寄存器跟踪时要记录的寄存器集。 |
TRACE_ENABLE_INFO 定义会话以及会话用于启用提供程序的信息。 |
TRACE_EVENT_INFO 定义有关事件的信息。 |
TRACE_GUID_INFO 由 EnumerateTraceGuidsEx 返回。 定义启用提供程序的会话列表的标头。 |
TRACE_GUID_PROPERTIES 由 EnumerateTraceGuids 返回。 包含有关事件跟踪提供程序的信息。 |
TRACE_GUID_REGISTRATION 与 RegisterTraceGuids 一起使用以注册事件跟踪类。 |
TRACE_LOGFILE_HEADER TRACE_LOGFILE_HEADER 结构包含有关事件跟踪会话及其事件的信息。 |
TRACE_PERIODIC_CAPTURE_STATE_INFO 与 TraceQueryInformation 和 TraceSetInformation 一起使用,以获取或设置与定期捕获状态相关的信息。 |
TRACE_PROVIDER_INFO 定义提供程序的 GUID 和名称。 |
TRACE_PROVIDER_INSTANCE_INFO 定义提供程序 GUID 的实例。 |
TRACE_VERSION_INFO 确定 TraceLogging 会话的版本信息。 |