EVENT_DESCRIPTOR 结构 (relogger.h)
EVENT_DESCRIPTOR 结构包含定义事件的元数据。
语法
typedef struct _EVENT_DESCRIPTOR {
USHORT Id;
UCHAR Version;
UCHAR Channel;
UCHAR Level;
UCHAR Opcode;
USHORT Task;
ULONGLONG Keyword;
} EVENT_DESCRIPTOR, *PEVENT_DESCRIPTOR;
成员
Id
事件标识符。
Version
事件的版本。 版本指示对事件定义的修订。 可以使用此成员和 Id 成员来唯一标识提供程序范围内的事件。
Channel
活动的受众 (例如管理员或开发人员) 。
Level
事件中包含的严重性或详细信息级别 (,例如信息性或致命) 。
Opcode
任务中正在执行的一系列操作中的步骤。
Task
应用程序或组件 (中更大的工作单元比 Opcode) 更广。
Keyword
指定相关事件的逻辑组的位掩码。 每个位对应于一个组。 事件可能属于一个或多个组。 关键字可以包含一个或多个提供程序定义的关键字和/或标准关键字。
注解
此结构表示清单中定义的事件。 不声明和填充此结构,而是使用 消息编译器 (MC.exe) 生成头文件,该文件声明并填充清单中的每个事件。 有关编写清单和生成头文件的详细信息,请参阅 编写检测清单 和 编译检测清单。
有关此结构的成员的详细信息,请参阅 EventDefinitionType 复杂类型的属性。
调用 EventWrite 或 EventWriteTransfer 以写入事件时,可以指定此结构。 还可以在调用 EventEnabled 时使用它来确定是否应编写事件。
此结构还包含在使用 EventRecordCallback 回调使用事件时随事件记录一起返回的 EVENT_HEADER 结构中。 对于 MOF 定义的事件, Opcode 成员包含事件类型值。 Version 和 Level 成员包含预期信息。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 标头 | relogger.h (包括 Evntprov.h) |