ETW_TRACE_PARTITION_INFORMATION 结构 (evntrace.h)
包含从 ETW 跟踪拉取的分区信息。 最常用作 QueryTraceProcessingHandle 的返回结构。
语法
typedef struct _ETW_TRACE_PARTITION_INFORMATION {
GUID PartitionId;
GUID ParentId;
LONG64 QpcOffsetFromRoot;
ULONG PartitionType;
} ETW_TRACE_PARTITION_INFORMATION, *PETW_TRACE_PARTITION_INFORMATION;
成员
PartitionId
用于标识计算机的 GUID。
ParentId
标识包含跟踪分区的分区实例的 GUID。 如果跟踪的分区是主机,则 ParentId 将为 0。
QpcOffsetFromRoot
保留供将来使用。
PartitionType
容器类型的枚举值。 值可以是以下值之一:
进程 (1) :对于源自“Windows Server 容器”内部的事件。
VmHost (2) :适用于源自“Hyper-V 容器”内的事件。
VmHostedUvm (3) :适用于源自“Hyper-V 容器”模板虚拟机的事件。
VmDirectUvm (4) :对于源自使用 Microsoft Defender 应用程序防护 (MDAG) 运行的应用程序的事件。
要求
| 最低受支持的客户端 | Windows 10版本 1709 [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2016 [仅限桌面应用] |
| 标头 | evntrace.h |