relogger.h) (EVENT_RECORD 结构
EVENT_RECORD 结构定义 ETW 传递的事件的布局。
语法
typedef struct _EVENT_RECORD {
EVENT_HEADER EventHeader;
ETW_BUFFER_CONTEXT BufferContext;
USHORT ExtendedDataCount;
USHORT UserDataLength;
PEVENT_HEADER_EXTENDED_DATA_ITEM ExtendedData;
PVOID UserData;
PVOID UserContext;
} EVENT_RECORD, *PEVENT_RECORD;
成员
EventHeader
有关事件的信息,例如写入事件的时间戳。 有关详细信息,请参阅 EVENT_HEADER 结构。
BufferContext
定义记录事件的会话等信息。 有关详细信息,请参阅 ETW_BUFFER_CONTEXT 结构。
ExtendedDataCount
ExtendedData 成员中的扩展数据结构的数目。
UserDataLength
UserData 成员中数据的大小(以字节为单位)。
ExtendedData
ETW 收集的一个或多个扩展数据项。 仅当控制器设置传递给 EnableTraceEx 或 EnableTraceEx2 函数的 EnableProperty 参数时,扩展数据才包括某些项,例如记录事件的用户的 SID) (SID 安全标识符。 无论控制器是设置传递给 EnableTraceEx 还是 EnableTraceEx2 的 EnableProperty 参数,扩展数据都包含其他项,例如相关活动标识符和跟踪日志记录的解码信息。 有关详细信息,请参阅 EVENT_HEADER_EXTENDED_DATA_ITEM 结构。
UserData
特定于事件的数据。 若要分析此数据,请参阅 使用 TDH 检索事件数据。 如果 EVENT_HEADER 的 Flags 成员包含EVENT_HEADER_FLAG_STRING_ONLY,则数据是不需要 TDH 分析的以 null 结尾的 Unicode 字符串。
UserContext
在传递给 OpenTrace 函数的 EVENT_TRACE_LOGFILE 结构的 Context 成员中指定的上下文。
注解
EVENT_RECORD 结构传递给使用者的 EventRecordCallback 回调的实现。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 标头 | relogger.h (包括 Evntcons.h) |