EVENT_FILTER_HEADER結構 (evntprov.h)
定義必須在檢測指令清單中定義之篩選數據前面的標頭數據。
語法
typedef struct _EVENT_FILTER_HEADER {
USHORT Id;
UCHAR Version;
UCHAR Reserved[5];
ULONGLONG InstanceId;
ULONG Size;
ULONG NextOffset;
} EVENT_FILTER_HEADER, *PEVENT_FILTER_HEADER;
成員
Id
識別架構化篩選之指令清單中篩選條件的標識碼。 篩選元素的 value 屬性包含標識符。
Version
架構化篩選之篩選的版本號碼。 篩選元素的版本屬性包含版本號碼。
Reserved[5]
保留
InstanceId
識別傳遞篩選條件之會話的標識碼。 ETW 會設定此值;會話必須將這個成員設定為零。
提供者會使用這個值來設定 EventWriteEx 的 Filter 參數,以防止事件在事件數據不符合篩選準則的情況下寫入會話, (提供者判斷篩選數據的語意,以判斷事件是否寫入會話) 。
Size
這個標頭的大小,以位元組為單位,以及附加至此標頭結尾的篩選數據。
NextOffset
從這個篩選物件的開頭到下一個篩選物件的位移。 如果沒有其他篩選區塊,則值為零。 ETW 會設定此值;會話必須將這個成員設定為零。
備註
您傳遞至提供者的篩選數據也包含標頭。 下列範例示範如何定義包含三個整數的篩選條件:
struct _MY_FILTER {
EVENT_FILTER_HEADER FilterHeader;
ULONG Int1;
ULONG Int2;
ULONG Int3;
} MY_FILTER, *MY_FILTER;
MY_FILTER FilterData;
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows 7 [僅限傳統型應用程式] |
| 最低支援的伺服器 | Windows Server 2008 R2 [僅限桌面應用程式] |
| 標頭 | evntprov.h |