SystemPropertiesType 复杂类型
定义标识提供程序及其启用方式的信息、事件、将事件写入到的通道以及进程和线程 ID 等系统信息。
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
子元素
| 元素 |
类型 |
说明 |
|
Channel |
anyURI |
事件记录到的通道。
|
|
Computer |
string |
发生该事件的计算机的名称。
|
|
相关性 |
|
使用者可用于将相关事件组合在一起的活动标识符。
|
|
EventID |
|
提供程序用于标识事件的标识符。
|
|
EventRecordID |
|
记录事件时分配给事件的记录编号。
|
|
执行 |
|
包含有关记录事件的进程和线程的信息。
|
|
关键字 |
HexInt64Type |
事件中定义的关键字的位掩码。 关键字用于对事件类型进行分类 (例如,与读取数据关联的事件) 。
|
|
级别 |
unsignedByte |
事件中定义的严重性级别。
|
|
操作码 |
unsignedByte |
事件中定义的操作码。 任务和操作码以典型方式用于标识应用程序中记录事件的位置。
|
|
提供程序 |
|
标识记录事件的提供程序。 如果提供程序使用检测清单来定义其事件,则包括 Name 和 Guid 属性;否则,如果旧事件提供程序使用事件日志记录 API () 记录事件,则包含 EventSourceName 属性。
|
|
安全性 |
|
标识记录事件的用户。
|
|
任务 |
unsignedShort |
事件中定义的任务。 任务和操作代码通常用于标识应用程序中记录事件的位置。
|
|
TimeCreated |
|
标识何时记录事件的时间戳。 时间戳将包括 SystemTime 属性或 RawTime 属性。
|
|
版本 |
unsignedByte |
事件定义的版本号。
|
属性
| 名称 |
类型 |
说明 |
| ActivityID |
GUIDType |
标识当前活动的全局唯一标识符。 使用此标识符发布的事件是同一活动的一部分。
|
| EventSourceName |
string |
如果事件源来自旧事件日志记录 API) ,则发布事件 (事件 源的名称。
|
| GUID |
GUIDType |
唯一标识提供程序的全局唯一标识符。
|
| KernelTime |
unsignedInt |
内核模式指令的已用执行时间(以 CPU 时间单位为单位)。 如果使用 ETW 专用会话,请改用 ProcessorTime 成员中的 值。 仅适用于记录到事件跟踪日志文件 (.etl 文件) 的事件。
|
| 名称 |
anyURI |
提供程序的名称。
|
| ProcessID |
unsignedInt |
标识生成事件的进程。
|
| ProcessorID |
unsignedByte |
处理事件的处理器的标识号。 仅适用于记录到事件跟踪日志文件 (.etl 文件) 的事件。
|
| ProcessorTime |
unsignedInt |
对于 ETW 专用会话,用户模式指令的已用执行时间(以 CPU 刻度为单位)。 仅适用于记录到事件跟踪日志文件 (.etl 文件) 的事件。
|
| 限定符 |
unsignedShort |
旧提供程序使用 32 位数字来标识其事件。 如果事件由旧提供程序记录, 则 EventID 元素的值包含事件标识符的低序 16 位, 限定符 属性包含事件标识符的高阶 16 位。
|
| RawTime |
unsignedLong |
原始时间戳值;时间戳的格式取决于用于收集跟踪的时间源。 原始时间戳的精度高于系统时间。 如果对 -rts 开关使用 TraceRpt.exe,则呈现的事件输出将仅包含原始时间。
|
| RelatedActivityID |
GUIDType |
一个全局唯一标识符,用于标识将控件转移到的活动。 然后,相关事件将具有此标识符作为其 ActivityID 标识符。
|
| SessionID |
unsignedInt |
发生事件的终端服务器会话的标识号。 仅适用于记录到事件跟踪日志文件 (.etl 文件) 的事件。
|
| SystemTime |
dateTime |
记录事件的系统时间。
|
| ThreadID |
unsignedInt |
标识生成事件的线程。
|
| UserID |
string |
安全标识符 (字符串形式的用户的 SID) 。
|
| UserTime |
unsignedInt |
用户模式指令的已用执行时间(以 CPU 时间单位为单位)。 如果使用 ETW 专用会话,请改用 ProcessorTime 成员中的 值。 仅适用于记录到事件跟踪日志文件 (.etl 文件) 的事件。
|
默认情况下,事件包含计算机的 FQDN) (完全限定的域名。 若要使用 NETBIOS 名称而不是 FQDN,必须在以下注册表项下创建名为 CompatFlags 的 DWORD 注册表值,并将 CompatFlags 的值设置为 0x2。
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
要求
| 要求 |
值 |
最低受支持的客户端
|
Windows Vista [仅限桌面应用]
|
最低受支持的服务器
|
Windows Server 2008 [仅限桌面应用]
|