通过

DisplayToID

  • 项目

DisplayToID 表将系统监视器显示的用户友好字符串与其他表中存储的 GUID 相关联。

DisplayToID 表定义以下字段:

  • GUID:为日志生成的 唯一标识符。 此字段是此表的主键。
  • RunID: 保留供内部使用。
  • DisplayString:系统监视器中显示的日志文件 名称。
  • LogStartTime: yy-mm-dd hh:mm:ss:nnn 格式启动日志记录过程的时间。
  • LogStopTime: 日志记录进程以 yy-mm-dd hh:mm:ss:nnn 格式停止的时间。 可以使用此值和 LogStartTime 字段来区分具有相同 DisplayString 值的多个日志文件。 LogStartTimeLogStopTime 字段中的值还允许快速访问总收集时间。
  • NumberOfRecords: 每个日志集合存储在表中的示例数。
  • MinutesToUTC: 值,用于将以 UTC 时间存储的行数据转换为本地时间。
  • TimeZoneName: 收集数据的时区的名称。 如果要从自己时区的系统上收集的文件收集或重新记录数据,此字段将说明位置。

注释 Windows Vista 之前,数据收集器集存储在注册表中

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries

. 上面列出的字段与注册表中的值不对应。 对于 Windows Vista,数据收集器集不会存储在注册表中。