SystemPropertiesType Complex Type
Definiert die Informationen, die den Anbieter und dessen Aktivierung identifizieren, das Ereignis, den Kanal, in den das Ereignis geschrieben wurde, sowie Systeminformationen wie prozess- und thread-IDs.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
Untergeordnete Elemente
| Element | type | BESCHREIBUNG |
|---|---|---|
| Channel | anyURI | Der Kanal, in dem das Ereignis protokolliert wurde. |
| Computer | Zeichenfolge | Der Name des Computers, auf dem das Ereignis aufgetreten ist. |
| Correlation | Die Aktivitätsbezeichner, die Consumer verwenden können, um verwandte Ereignisse zusammenzu gruppieren. |
|
| Eventid | Der Bezeichner, den der Anbieter zum Identifizieren des Ereignisses verwendet hat. |
|
| EventRecordID | Die Datensatznummer, die dem Ereignis bei der Protokollierung zugewiesen wurde. |
|
| Ausführung | Enthält Informationen zum Prozess und Thread, der das Ereignis protokolliert hat. |
|
| Keywords | HexInt64Type | Eine Bitmaske der im Ereignis definierten Schlüsselwörter. Schlüsselwörter werden verwendet, um Ereignistypen zu klassifizieren (z. B. Ereignisse, die dem Lesen von Daten zugeordnet sind). |
| Ebene | unsignedByte | Der im Ereignis definierte Schweregrad. |
| Opcode | unsignedByte | Der im Ereignis definierte Opcode. Task und opcode werden üblicherweise verwendet, um den Speicherort in der Anwendung zu identifizieren, von dem aus das Ereignis protokolliert wurde. |
| Anbieter | Gibt den Anbieter an, der das Ereignis protokolliert hat. Die Attribute Name und GUID sind enthalten, wenn der Anbieter ein Instrumentierungsmanifest verwendet hat, um seine Ereignisse zu definieren. Andernfalls ist das EventSourceName-Attribut enthalten, wenn ein Legacyereignisanbieter (mithilfe der Ereignisprotokollierungs-API ) das Ereignis protokolliert hat. |
|
| Security | Gibt den Benutzer an, der das Ereignis protokolliert hat. |
|
| Aufgabe | unsignedShort | Die im Ereignis definierte Aufgabe. Task und Opcode werden in der Regel verwendet, um den Speicherort in der Anwendung zu identifizieren, von dem aus das Ereignis protokolliert wurde. |
| TimeCreated | Der Zeitstempel, der angibt, wann das Ereignis protokolliert wurde. Der Zeitstempel enthält entweder das SystemTime-Attribut oder das RawTime-Attribut . |
|
| Version | unsignedByte | Die Versionsnummer der Ereignisdefinition. |
Attributes
| Name | type | BESCHREIBUNG |
|---|---|---|
| Aktivitäts-ID | GUIDType | Ein global eindeutiger Bezeichner, der die aktuelle Aktivität identifiziert. Die Ereignisse, die mit diesem Bezeichner veröffentlicht werden, sind Teil derselben Aktivität. |
| EventSourceName | Zeichenfolge | Der Name der Ereignisquelle, die das Ereignis veröffentlicht hat (wenn die Ereignisquelle aus der Legacy-Ereignisprotokollierungs-API stammt). |
| GUID | GUIDType | Der global eindeutige Bezeichner, der den Anbieter eindeutig identifiziert. |
| KernelTime | unsignedInt | Verstrichene Ausführungszeit für Kernelmodusanweisungen in CPU-Zeiteinheiten. Wenn Sie eine private ETW-Sitzung verwenden, verwenden Sie stattdessen den Wert im ProcessorTime-Member. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden. |
| Name | anyURI | Der Name des Anbieters. |
| ProcessID | unsignedInt | Gibt den Prozess an, der das Ereignis generiert hat |
| Prozessor-ID | unsignedByte | Die Identifikationsnummer für den Prozessor, der das Ereignis verarbeitet hat. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden. |
| ProcessorTime | unsignedInt | Bei privaten ETW-Sitzungen die verstrichene Ausführungszeit für Benutzermodusanweisungen in CPU-Ticks. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden. |
| Qualifizierer | unsignedShort | Ein Legacyanbieter verwendet eine 32-Bit-Nummer, um seine Ereignisse zu identifizieren. Wenn das Ereignis von einem Legacyanbieter protokolliert wird, enthält der Wert des EventID-Elements die 16 Bit des Ereignisbezeichners in niedriger Reihenfolge, und das Qualifier-Attribut enthält die hochgeordneten 16 Bits des Ereignisbezeichners. |
| RawTime | unsignedLong | Der unformatierte Zeitstempelwert; das Format des Zeitstempels hängt von der Zeitquelle ab, die zum Erfassen der Ablaufverfolgung verwendet wird. Der rohe Zeitstempel bietet eine höhere Genauigkeit als die Systemzeit. Die gerenderte Ereignisausgabe enthält nur unformatierte Zeit, wenn Sie TraceRpt.exe mit dem Schalter -rts verwenden. |
| RelatedActivityID | GUIDType | Ein global eindeutiger Bezeichner, der die Aktivität identifiziert, an die das Steuerelement übertragen wurde. Die zugehörigen Ereignisse hätten dann diesen Bezeichner als ActivityID-Bezeichner. |
| SessionID | unsignedInt | Die Identifikationsnummer für die Terminalserversitzung, in der das Ereignis aufgetreten ist. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden. |
| SystemTime | dateTime | Der Systemzeitpunkt, zu dem das Ereignis protokolliert wurde. |
| ThreadID | unsignedInt | Gibt den Thread an, der das Ereignis generiert hat |
| UserID | Zeichenfolge | Der Sicherheitsbezeichner (SID) des Benutzers in Zeichenfolgenform. |
| UserTime | unsignedInt | Verstrichene Ausführungszeit für Benutzermodusanweisungen in CPU-Zeiteinheiten. Wenn Sie eine private ETW-Sitzung verwenden, verwenden Sie stattdessen den Wert im ProcessorTime-Member. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden. |
Bemerkungen
Standardmäßig enthält das Ereignis den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines Computers. Um den NETBIOS-Namen anstelle des FQDN zu verwenden, müssen Sie unter dem folgenden Registrierungsschlüssel einen DWORD-Registrierungswert namens CompatFlags erstellen und den Wert von CompatFlags auf 0x2 festlegen.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows Vista [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) |
Windows Server 2008 [nur Desktop-Apps] |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für