事件跟踪

事件跟踪技术概述。

若要开发事件跟踪,需要以下标头:

有关此技术的编程指南,请参阅:

枚举

 
_TDH_IN_TYPE

定义跟踪数据帮助程序 (TDH) 支持的 [in] 类型。
_TDH_OUT_TYPE

定义跟踪数据帮助程序 (TDH) 支持的 [out] 类型。
DECODING_SOURCE

定义事件数据的源。
ETW_CONTEXT_REGISTER_TYPES

指定在启用上下文寄存器跟踪时要收集的寄存器集。
ETW_PROCESS_HANDLE_INFO_TYPE

指定将在跟踪处理会话上执行的操作。
ETW_PROCESS_TRACE_MODES

指定支持的进程跟踪模式。
ETW_PROVIDER_TRAIT_TYPE

指定 Windows (ETW) 事件跟踪支持的提供程序特征类型。
EVENT_FIELD_TYPE

定义要检索的提供程序信息。
EVENT_INFO_CLASS

EVENT_INFO_CLASS 枚举类型与 EventSetInformation 函数一起使用,以指定要对 ETW 事件提供程序注册执行的配置操作。
EVENTSECURITYOPERATION

定义 EventAccessControl 函数修改的安全描述符的组件。
MAP_FLAGS

定义常量值,该值指示映射是值映射、位图还是模式映射。
MAP_VALUETYPE

定义值映射值是 ULONG 数据类型还是字符串。
PAYLOAD_OPERATOR

定义跟踪数据帮助程序 (TDH) 支持的有效负载运算符。
PROPERTY_FLAGS

定义属性是否包含在结构或数组中。
TDH_CONTEXT_TYPE

定义上下文类型。
TEMPLATE_FLAGS

定义指示事件数据的布局的常量值。
TRACE_QUERY_INFO_CLASS

与 EnumerateTraceGuidsEx 和 TraceSetInformation 一起使用,以指定跟踪信息的类型。

函数

 
AddLogfileTraceStream

将基于日志文件的新 ETW 跟踪流添加到重新记录器。
AddRealtimeTraceStream

将新的实时 ETW 跟踪流添加到重新记录器。
取消

终止重新记录进程。
克隆

创建事件的重复副本。
CloseTrace

CloseTrace 函数关闭使用 OpenTrace 创建的跟踪处理会话。
ControlTraceA

ControlTraceA (ANSI) 函数 (evntrace.h) 刷新、查询、更新或停止指定的事件跟踪会话。
ControlTraceW

ControlTraceW (Unicode) 函数 (evntrace.h) 刷新、查询、更新或停止指定的事件跟踪会话。
CreateEventInstance

生成新事件。
CreateTraceInstanceId

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 CreateTraceInstanceId 函数创建唯一事务标识符并将其映射到注册句柄。 然后,提供程序可以在调用 TraceEventInstance 函数时使用事务标识符。
CveEventWrite

一个跟踪函数,用于在用户模式应用程序中检测到安全漏洞攻击尝试时发布事件。
DECLSPEC_XFGVIRT

EMI_MAP_FORMAT

检索事件映射格式的宏。
EMI_MAP_INPUT

检索事件映射输入的宏。
EMI_MAP_NAME

检索事件映射名称的宏。
EMI_MAP_OUTPUT

检索事件映射输出的宏。
EnableTrace

跟踪会话控制器调用 EnableTrace 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。 EnableTraceEx2 函数取代此函数。
EnableTraceEx

跟踪会话控制器调用 EnableTraceEx 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。 EnableTraceEx2 函数取代此函数。
EnableTraceEx2

跟踪会话控制器调用 EnableTraceEx2 来配置 ETW 事件提供程序将事件记录到跟踪会话的方式。
EnumerateTraceGuids

检索有关计算机上当前运行的事件跟踪提供程序的信息。 EnumerateTraceGuidsEx 函数取代此函数。
EnumerateTraceGuidsEx

检索有关计算机上当前运行的事件跟踪提供程序的信息。
EtwGetTraitFromProviderTraits

EventAccessControl

添加或修改指定提供程序或会话的权限。
EventAccessQuery

检索指定控制器或提供程序的权限。
EventAccessRemove

删除在注册表中为指定的提供程序或会话定义的权限。
EventActivityIdControl

创建、查询和设置用于 ETW 事件的活动标识符。
EventDataDescCreate

设置EVENT_DATA_DESCRIPTOR的值。
EventDescCreate

设置事件描述符的值。
EventDescGetChannel

从事件描述符检索通道。
EventDescGetId

从事件描述符检索事件标识符。
EventDescGetKeyword

从事件描述符检索 关键字。
EventDescGetLevel

从事件描述符检索严重性级别。
EventDescGetOpcode

从事件描述符检索操作代码。
EventDescGetTask

从事件描述符检索任务。
EventDescGetVersion

从事件描述符检索版本。
EventDescOrKeyword

将另一个关键字添加到事件描述符。
EventDescSetChannel

设置事件描述符的 Channel 成员。
EventDescSetId

设置事件描述符的 Id 成员。
EventDescSetKeyword

设置事件描述符的 Keyword 成员。
EventDescSetLevel

设置事件描述符的 Level 成员。
EventDescSetOpcode

设置事件描述符的 Opcode 成员。
EventDescSetTask

设置事件描述符的 Task 成员。
EventDescSetVersion

设置事件描述符的 Version 成员。
EventDescZero

将事件描述符初始化为零。
EventEnabled

确定事件提供程序是否应根据事件的EVENT_DESCRIPTOR生成特定事件。
EventProviderEnabled

确定事件提供程序是否应基于事件的 Level 和 Keyword 生成特定事件。
EventRegister

注册 ETW 事件提供程序,创建可用于写入 ETW 事件的句柄。
EventSetInformation

配置 ETW 事件提供程序。
EventUnregister

取消注册 ETW 事件提供程序。
EventWrite

写入使用当前线程的活动 ID 的 ETW 事件。
EventWriteEx

写入具有活动 ID、可选相关活动 ID、会话筛选器和特殊选项的 ETW 事件。
EventWriteString

写入包含字符串作为其数据的 ETW 事件。 不应使用此函数。
EventWriteTransfer

编写具有活动 ID 和可选相关活动 ID 的 ETW 事件。
FlushTraceA

FlushTraceA (ANSI) 函数 (evntrace.h) 会导致事件跟踪会话立即为指定会话传递缓冲事件。
FlushTraceW

FlushTraceW (Unicode) 函数 (evntrace.h) 会导致事件跟踪会话立即为指定会话传递缓冲事件。
GetEventProcessorIndex

GetEventRecord

检索描述事件的事件记录。
GetTraceEnableFlags

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceEnableFlags 函数检索跟踪控制器指定的启用标志,以指示要跟踪的事件类别。 提供程序从其 ControlCallback 函数调用此函数。
GetTraceEnableLevel

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceEnableLevel 函数检索跟踪控制器指定的启用级别,以指示要跟踪的事件级别。 提供程序从其 ControlCallback 函数调用此函数。
GetTraceLoggerHandle

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 GetTraceLoggerHandle 函数检索它应向其写入事件的事件跟踪会话的句柄。 提供程序从其 ControlCallback 函数调用此函数。
GetUserContext

检索与事件所属的流关联的用户上下文。
注入

将非系统生成的事件注入要写入到输出跟踪日志文件的事件流中。
OnBeginProcessTrace

指示跟踪即将开始,以便可以开始重新记录。
OnEvent

指示已在与重新记录器关联的跟踪流上收到事件。
OnFinalizeProcessTrace

指示跟踪即将结束,以便可以完成重新记录。
OpenTraceA

OpenTraceA (ANSI) 函数 (evntrace.h) 打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。
OpenTraceFromBufferStream

创建不直接附加到任何文件或活动会话的跟踪处理会话。
OpenTraceFromFile

创建跟踪处理会话以处理 Tracelog .etl 文件。
OpenTraceFromRealTimeLogger

打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。
OpenTraceFromRealTimeLoggerWithAllocationOptions

创建附加到活动实时 ETW 会话的跟踪处理会话。
OpenTraceW

OpenTraceW (Unicode) 函数 (evntrace.h) 打开 ETW 跟踪处理句柄,以使用 ETW 实时跟踪会话或 ETW 日志文件中的事件。
PEI_PROVIDER_NAME

检索提供程序事件信息 (PEI) 名称的宏。
PENABLECALLBACK

ETW 事件提供程序(可选)定义 EnableCallback 函数以接收配置更改通知。 PENABLECALLBACK 类型定义指向此回调函数的指针。 EnableCallback 是应用程序定义的函数名称的占位符。
PETW_BUFFER_CALLBACK

将由 ProcessTrace 调用的 BufferCallback 的函数定义。
PETW_BUFFER_COMPLETION_CALLBACK

使用缓冲区完成 ProcessTraceAddBufferToBufferStream 时将触发的回调的函数定义。 此回调通常应根据需要释放缓冲区
PEVENT_CALLBACK

ETW 事件使用者实现此回调以接收来自跟踪处理会话的事件。 EventRecordCallback 回调取代此回调。
PEVENT_RECORD_CALLBACK

ETW 事件使用者实现此回调以接收来自跟踪处理会话的事件。 PEVENT_RECORD_CALLBACK类型定义指向此回调函数的指针。 EventRecordCallback 是应用程序定义的函数名称的占位符。
PEVENT_TRACE_BUFFER_CALLBACKA

PEVENT_TRACE_BUFFER_CALLBACKA (ANSI) (evntrace.h) 函数获取有关 ETW 在跟踪处理会话期间发送的每个事件缓冲区的统计信息。
PEVENT_TRACE_BUFFER_CALLBACKW

PEVENT_TRACE_BUFFER_CALLBACKW (Unicode) (evntrace.h) 函数获取有关 ETW 在跟踪处理会话期间发送的每个事件缓冲区的统计信息。
PFI_FIELD_MESSAGE

检索提供程序字段信息 (PFI) 字段消息的宏。
PFI_FIELD_NAME

检索提供程序字段信息的宏 (PFI) 字段名称。
PFI_FILTER_MESSAGE

筛选提供程序字段信息 (PFI) 字段消息的宏。
PFI_PROPERTY_NAME

检索提供程序字段信息的宏 (PFI) 属性名称。
ProcessTrace

将事件从一个或多个跟踪处理会话传送给使用者。
ProcessTrace

将关联的跟踪流中的事件传送给使用者。
ProcessTraceAddBufferToBufferStream

为 OpenTraceFromBufferStream 创建的处理会话提供 ETW 跟踪缓冲区。
ProcessTraceBufferDecrementReference

释放对由 ProcessTraceBufferIncrementReference 添加的 Buffer 的引用。
ProcessTraceBufferIncrementReference

在提供的缓冲区上的 BufferCallback 期间调用,以防止释放它,直到调用方使用它。
QueryAllTracesA

QueryAllTracesA (ANSI) 函数 (evntrace.h) 函数检索调用方可以查询的所有事件跟踪会话的属性和统计信息。
QueryAllTracesW

QueryAllTracesW (Unicode) 函数 (evntrace.h) 函数检索调用方可以查询的所有事件跟踪会话的属性和统计信息。
QueryTraceA

QueryTraceA (ANSI) 函数 (evntrace.h) 检索指定事件跟踪会话的属性设置和会话统计信息。
QueryTraceProcessingHandle

检索有关 OpenTrace 打开的 ETW 跟踪处理会话的信息。
QueryTraceW

QueryTraceW (Unicode) 函数 (evntrace.h) 检索指定事件跟踪会话的属性设置和会话统计信息。
RegisterCallback

向重新记录程序注册 IEventCallback 的实现,以便向跟踪活动发出信号, (启动、停止和记录新事件) 。
RegisterTraceGuidsA

RegisterTraceGuidsA (ANSI) 函数 (evntrace.h) 是一个过时的函数,新代码应使用提供的替代方法。
RegisterTraceGuidsW

RegisterTraceGuidsW (Unicode) 函数 (evntrace.h) 已过时,新代码应使用提供的替代方法。
RemoveTraceCallback

RemoveTraceCallback 函数阻止 EventCallback 函数接收事件跟踪类的事件。 此函数已过时。
SetActivityId

设置当前线程中的活动 ID。
SetCompressionMode

启用或禁用重新记录的跟踪上的压缩。
SetEventDescriptor

设置事件的事件描述符。
SetOutputFilename

指示 ETW 应向其写入重新记录的新跟踪的文件。
SetPayload

设置事件的有效负载。
SetProcessId

将事件分配给特定进程。
SetProcessorIndex

设置当前线程中的处理器索引。
SetProviderId

设置跟踪事件的提供程序的 GUID。
SetThreadId

设置生成事件的线程的标识符。
SetThreadTimes

设置当前线程中的线程时间。
SetTimeStamp

设置事件发生的时间。
SetTraceCallback

SetTraceCallback 函数指定用于处理指定事件跟踪类的事件的 EventCallback 函数。 此函数已过时。
StartTraceA

StartTrace 函数启动事件跟踪会话。 (ANSI)
StartTraceW

StartTrace 函数启动事件跟踪会话。 (Unicode)
StopTraceA

StopTraceA (ANSI) 函数 (evntrace.h) 停止指定的事件跟踪会话。 ControlTrace 函数取代此函数。
StopTraceW

StopTraceW (Unicode) 函数 (evntrace.h) 停止指定的事件跟踪会话。 ControlTrace 函数取代此函数。
TdhAggregatePayloadFilters

将单个提供程序的多个有效负载筛选器聚合为单个数据结构,以便与 EnableTraceEx2 函数一起使用。
TdhCleanupPayloadEventFilterDescriptor

释放使用 TdhAggregatePayloadFilters 函数创建的有效负载筛选器的聚合结构。
TdhCloseDecodingHandle

释放与输入解码句柄关联的任何资源。
TdhCreatePayloadFilter

为要与 EnableTraceEx2 函数一起使用的单个有效负载创建单个筛选器。
TdhDeletePayloadFilter

释放 TdhCreatePayloadFilter 函数为单个有效负载筛选器分配的内存。
TdhEnumerateManifestProviderEvents

检索提供程序清单中存在的事件列表。
TdhEnumerateProviderFieldInformation

检索给定提供程序的指定字段元数据。
TdhEnumerateProviderFilters

枚举清单中定义的指定提供程序的筛选器。
TdhEnumerateProviders

检索计算机上已注册 MOF 类或清单文件的提供程序的列表。
TdhEnumerateProvidersForDecodingSource

检索计算机上已注册 MOF 类或清单文件的提供程序的列表。
TdhFormatProperty

设置用于显示的属性值的格式。
TdhGetDecodingParameter

检索解码参数的值。
TdhGetEventInformation

检索有关事件的元数据。
TdhGetEventMapInformation

检索事件中包含的事件映射的相关信息。
TdhGetManifestEventInformation

检索清单中有关事件的元数据。
TdhGetProperty

从事件数据中检索属性值。
TdhGetPropertySize

检索事件数据中一个或多个属性值的大小。
TdhGetWppMessage

检索嵌入到EVENT_RECORD结构的格式化 WPP 消息。
TdhGetWppProperty

检索与 WPP 消息关联的特定属性。
TdhLoadManifest

加载用于解码日志文件的清单。
TdhLoadManifestFromBinary

获取二进制文件以 NULL 结尾的路径,该文件包含解码特定事件提供程序所需的元数据资源。
TdhLoadManifestFromMemory

从内存加载清单。
TdhOpenDecodingHandle

打开解码句柄。
TdhQueryProviderFieldInformation

从与给定值匹配的字段值的事件说明中检索指定字段的信息。
TdhSetDecodingParameter

设置解码参数的值。
TdhUnloadManifest

卸载由 TdhLoadManifest 函数加载的清单。
TdhUnloadManifestFromMemory

从内存中卸载清单。
TEI_ACTIVITYID_NAME

检索跟踪事件信息的宏 (TEI) 活动 ID 名称。
TEI_CHANNEL_NAME

检索跟踪事件信息的宏 (TEI) 通道名称。
TEI_EVENT_MESSAGE

检索跟踪事件信息的宏 (TEI) 消息。
TEI_KEYWORDS_NAME

检索跟踪事件信息的宏 (TEI) 关键字名称。
TEI_LEVEL_NAME

检索跟踪事件信息的宏 (TEI) 级别名称。
TEI_MAP_NAME

检索跟踪事件信息的宏 (TEI) 映射名称。
TEI_OPCODE_NAME

检索跟踪事件信息的宏 (TEI) 操作代码名称。
TEI_PROPERTY_NAME

检索跟踪事件信息的宏 (TEI) 属性名称。
TEI_PROVIDER_MESSAGE

检索跟踪事件信息的宏 (TEI) 提供程序消息。
TEI_PROVIDER_NAME

检索跟踪事件信息的宏 (TEI) 提供程序名称。
TEI_RELATEDACTIVITYID_NAME

检索跟踪事件信息的宏 (TEI) 相关的活动 ID 名称。
TEI_TASK_NAME

检索跟踪事件信息的宏 (TEI) 任务名称。
TraceEvent

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceEvent 函数将结构化事件发送到事件跟踪会话。
TraceEventInstance

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceEventInstance 函数将结构化事件发送到具有实例标识符的事件跟踪会话。
TraceMessage

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceMessage 函数将基于消息 (基于 TMF 的 WPP) 事件发送到事件跟踪会话。
TraceMessageVa

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序使用 TraceMessageVa 函数将基于消息 (TMF 的 WPP) 事件发送到使用va_list参数的事件跟踪会话。
TraceQueryInformation

提供有关事件跟踪会话的信息。
TraceSetInformation

配置事件跟踪会话设置。
UnregisterTraceGuids

注销使用 RegisterTraceGuids 注册 (的 Windows 2000 样式) ETW 事件跟踪提供程序的“经典”。
UpdateTraceA

UpdateTraceA (ANSI) 函数 (evntrace.h) 更新指定事件跟踪会话的属性设置。
UpdateTraceW

UpdateTraceW (Unicode) 函数 (evntrace.h) 更新指定事件跟踪会话的属性设置。
WMIDPREQUEST

基于 RegisterTraceGuids 的 (“Classic”) 事件提供程序实现此函数以接收来自控制器的通知。 WMIDPREQUEST 类型定义指向此回调函数的指针。 ControlCallback 是应用程序定义的函数名称的占位符。

接口

 
ITraceEvent

提供对与特定事件相关的数据的访问。
ITraceEventCallback

ETW 用于在跟踪进程开始、结束和记录事件时向重新记录程序提供信息。
ITraceRelogger

提供对重新记录功能的访问权限,使你能够操作和重新记录 ETW 跟踪流中的事件。

结构

 
CLASSIC_EVENT_ID

标识要为其启用调用堆栈跟踪的内核事件。
ENABLE_TRACE_PARAMETERS

包含用于通过 EnableTraceEx2 启用提供程序的信息。
ENABLE_TRACE_PARAMETERS_V1

包含用于通过 EnableTraceEx2 启用提供程序的信息。 此结构已过时。
ETW_BUFFER_CALLBACK_INFORMATION

作为 ConsumerInfo 参数提供给 BufferCallback,并提供有关当前处理会话的详细信息。
ETW_BUFFER_CONTEXT

提供有关事件的上下文信息。
ETW_BUFFER_CONTEXT

提供有关事件的上下文信息。 (ETW_BUFFER_CONTEXT)
ETW_BUFFER_HEADER

ETW 缓冲区的标头结构。
ETW_OPEN_TRACE_OPTIONS

为 OpenTraceFromBufferStream、OpenTraceFromFile、OpenTraceFromRealTimeLogger、OpenTraceFromRealTimeLoggerWithAllocationOptions 函数提供配置参数。
ETW_TRACE_PARTITION_INFORMATION

包含从 ETW 跟踪拉取的分区信息。
EVENT_DATA_DESCRIPTOR

EVENT_DATA_DESCRIPTOR结构定义将在 ETW 事件中使用的数据块。
EVENT_DESCRIPTOR

EVENT_DESCRIPTOR结构包含有关 ETW 事件的信息 (元数据) 。
EVENT_DESCRIPTOR

包含定义事件的元数据。
EVENT_EXTENDED_ITEM_EVENT_KEY

EVENT_EXTENDED_ITEM_INSTANCE

如果 TraceEventInstance 用于记录相关事件,则定义事件之间的关系。
EVENT_EXTENDED_ITEM_PEBS_INDEX

EVENT_EXTENDED_ITEM_PMC_COUNTERS

EVENT_EXTENDED_ITEM_PROCESS_START_KEY

EVENT_EXTENDED_ITEM_RELATED_ACTIVITYID

定义此事件的父事件。
EVENT_EXTENDED_ITEM_STACK_KEY32

EVENT_EXTENDED_ITEM_STACK_KEY64

EVENT_EXTENDED_ITEM_STACK_TRACE32

定义 32 位计算机上的调用堆栈。
EVENT_EXTENDED_ITEM_STACK_TRACE64

定义 64 位计算机上的调用堆栈。
EVENT_EXTENDED_ITEM_TS_ID

定义记录事件的终端会话。
EVENT_FILTER_DESCRIPTOR

定义会话传递给提供程序的 enable 回调函数的筛选器数据。
EVENT_FILTER_EVENT_ID

定义EVENT_FILTER_DESCRIPTOR结构中用于事件 ID 或堆栈演练筛选器的事件 ID。
EVENT_FILTER_EVENT_NAME

定义EVENT_FILTER_DESCRIPTOR结构中用于事件名称或跟踪跟踪名称筛选器的事件 ID。
EVENT_FILTER_HEADER

定义必须在检测清单中定义的筛选器数据之前的标头数据。
EVENT_FILTER_LEVEL_KW

定义堆栈 walk level-keyword 筛选器的 EVENT_FILTER_DESCRIPTOR 结构中使用的事件 ID。
EVENT_HEADER

EVENT_HEADER 结构 (evntcons.h) 定义有关事件的信息。
EVENT_HEADER

relogger.h) (EVENT_HEADER 结构定义有关事件的信息。
EVENT_HEADER_EXTENDED_DATA_ITEM

EVENT_HEADER_EXTENDED_DATA_ITEM 结构 (evntcons.h) 定义 ETW 收集的扩展数据作为事件数据的一部分。
EVENT_HEADER_EXTENDED_DATA_ITEM

EVENT_HEADER_EXTENDED_DATA_ITEM 结构 (relogger.h) 定义 ETW 收集的扩展数据作为事件数据的一部分。
EVENT_INSTANCE_HEADER

EVENT_INSTANCE_HEADER 结构包含由 TraceEventInstance 编写的所有事件通用的标准事件跟踪信息。
EVENT_INSTANCE_INFO

EVENT_INSTANCE_INFO结构将唯一事务标识符映射到 TraceEventInstance 的已注册事件跟踪类。
EVENT_MAP_ENTRY

定义单个值映射条目。
EVENT_MAP_INFO

定义有关事件映射的元数据。
EVENT_PROPERTY_INFO

提供有关事件或筛选器的单个属性的信息。
EVENT_RECORD

EVENT_RECORD结构 (evntcons.h) 定义 ETW 传递的事件的布局。
EVENT_RECORD

(relogger.h) EVENT_RECORD 结构定义 ETW 提供的事件的布局。
EVENT_TRACE

EVENT_TRACE结构用于将事件信息传递给事件跟踪使用者。
EVENT_TRACE_HEADER

EVENT_TRACE_HEADER结构包含 TraceEvent 编写的所有事件通用的标准事件跟踪信息。
EVENT_TRACE_LOGFILEA

EVENT_TRACE_LOGFILEA (ANSI) 结构 (evntrace.h) 存储有关跟踪数据源的信息。
EVENT_TRACE_LOGFILEW

EVENT_TRACE_LOGFILEW (Unicode) 结构 (evntrace.h) 存储有关跟踪数据源的信息。
EVENT_TRACE_PROPERTIES

EVENT_TRACE_PROPERTIES结构包含有关事件跟踪会话的信息,并与 StartTrace 和 ControlTrace 等 API 一起使用。
EVENT_TRACE_PROPERTIES_V2

EVENT_TRACE_PROPERTIES_V2 结构包含有关事件跟踪会话的信息,并与 StartTrace 和 ControlTrace 等 API 一起使用。
MOF_FIELD

可以使用MOF_FIELD结构将事件数据追加到EVENT_TRACE_HEADER或EVENT_INSTANCE_HEADER结构。
PAYLOAD_FILTER_PREDICATE

定义一个事件有效负载筛选器谓词,该谓词描述如何筛选跟踪会话中的单个字段。
PROPERTY_DATA_DESCRIPTOR

定义要检索的属性。
PROVIDER_ENUMERATION_INFO

定义在计算机上注册 MOF 或清单的提供程序数组。
PROVIDER_EVENT_INFO

定义提供程序清单中的事件数组。
PROVIDER_FIELD_INFO

定义字段信息。
PROVIDER_FIELD_INFOARRAY

定义有关所请求字段的元数据信息。
PROVIDER_FILTER_INFO

定义筛选器及其数据。
TDH_CONTEXT

定义分析事件所需的其他信息。
TRACE_CONTEXT_REGISTER_INFO

标识启用上下文寄存器跟踪时要记录的寄存器集。
TRACE_ENABLE_INFO

定义会话以及会话用于启用提供程序的信息。
TRACE_EVENT_INFO

定义有关事件的信息。
TRACE_GUID_INFO

由 EnumerateTraceGuidsEx 返回。 定义启用提供程序的会话列表的标头。
TRACE_GUID_PROPERTIES

由 EnumerateTraceGuids 返回。 包含有关事件跟踪提供程序的信息。
TRACE_GUID_REGISTRATION

与 RegisterTraceGuids 一起使用以注册事件跟踪类。
TRACE_LOGFILE_HEADER

TRACE_LOGFILE_HEADER 结构包含有关事件跟踪会话及其事件的信息。
TRACE_PERIODIC_CAPTURE_STATE_INFO

与 TraceQueryInformation 和 TraceSetInformation 一起使用,以获取或设置与定期捕获状态相关的信息。
TRACE_PROVIDER_INFO

定义提供程序的 GUID 和名称。
TRACE_PROVIDER_INSTANCE_INFO

定义提供程序 GUID 的实例。
TRACE_VERSION_INFO

确定 TraceLogging 会话的版本信息。