EVENT_FILTER_HEADER 结构 (evntprov.h)
定义必须在检测清单中定义的筛选器数据之前的标头数据。
语法
typedef struct _EVENT_FILTER_HEADER {
USHORT Id;
UCHAR Version;
UCHAR Reserved[5];
ULONGLONG InstanceId;
ULONG Size;
ULONG NextOffset;
} EVENT_FILTER_HEADER, *PEVENT_FILTER_HEADER;
成员
Id
标识清单中架构化筛选器的筛选器的标识符。 筛选器元素的值属性包含标识符。
Version
架构化筛选器的筛选器的版本号。 filter 元素的 version 属性包含版本号。
Reserved[5]
预留
InstanceId
标识通过筛选器的会话的标识符。 ETW 设置此值;会话必须将此成员设置为零。
提供程序使用此值设置 EventWriteEx 的 Filter 参数,以防止在事件数据与筛选条件不匹配时将事件写入会话 (提供程序确定在确定事件是否写入会话) 时如何使用筛选器数据的语义。
Size
此标头的大小(以字节为单位)以及追加到此标头末尾的筛选器数据。
NextOffset
从此筛选器对象的开头到下一个筛选器对象的偏移量。 如果没有更多的筛选器块,则值为零。 ETW 设置此值;会话必须将此成员设置为零。
注解
传递给提供程序的筛选器数据还包括 标头。 以下示例演示如何定义包含三个整数的筛选器:
struct _MY_FILTER {
EVENT_FILTER_HEADER FilterHeader;
ULONG Int1;
ULONG Int2;
ULONG Int3;
} MY_FILTER, *MY_FILTER;
MY_FILTER FilterData;
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows 7 [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 R2 [仅限桌面应用] |
| 标头 | evntprov.h |