estructura ENABLE_TRACE_PARAMETERS (evntrace.h)

Artículo
08/23/2023

La estructura de ENABLE_TRACE_PARAMETERS contiene información que se usa para habilitar un proveedor mediante EnableTraceEx2.

Sintaxis

typedef struct _ENABLE_TRACE_PARAMETERS {
  ULONG                    Version;
  ULONG                    EnableProperty;
  ULONG                    ControlFlags;
  GUID                     SourceId;
  PEVENT_FILTER_DESCRIPTOR EnableFilterDesc;
  ULONG                    FilterDescCount;
} ENABLE_TRACE_PARAMETERS, *PENABLE_TRACE_PARAMETERS;

Miembros

Version

Establézcalo en ENABLE_TRACE_PARAMETERS_VERSION_2 (2).

EnableProperty

La configuración opcional que ETW puede incluir al escribir el evento. Algunos valores escriben datos adicionales en la sección de elementos de datos extendidos de cada evento. Otros controles de configuración controlan qué eventos se incluirán en el seguimiento. Para usar esta configuración opcional, especifique una o varias de las marcas siguientes. De lo contrario, establezca en cero.

EVENT_ENABLE_PROPERTY_IGNORE_KEYWORD_0

Filtra los eventos en los que la palabra clave del evento es 0.

Compatible con Windows 10, versión 1507 y posteriores. Esto también se admite en Windows 8.1 y Windows 7 con SP1 a través de una revisión.
EVENT_ENABLE_PROPERTY_PROVIDER_GROUP

Indica que esta llamada a EnableTraceEx2 debe habilitar un grupo de proveedores en lugar de un proveedor individual.

Compatible con Windows 10, versión 1507 y posteriores. Esto también se admite en Windows 8.1 y Windows 7 con SP1 a través de una revisión.
EVENT_ENABLE_PROPERTY_PROCESS_START_KEY

Incluya la clave de inicio del proceso en los datos extendidos.

La clave de inicio del proceso es un número de secuencia que identifica el proceso. Aunque el identificador de proceso se puede reutilizar en una sesión, se garantiza que la clave de inicio del proceso es única en la sesión de arranque actual.

Compatible con Windows 10, versión 1507 y posteriores. Esto también se admite en Windows 8.1 y Windows 7 con SP1 a través de una revisión.
EVENT_ENABLE_PROPERTY_EVENT_KEY

Incluya la clave de evento en los datos extendidos.

La clave de evento es un identificador único para la instancia de evento que será constante en varias sesiones de seguimiento que escuchan este evento. Se puede usar para correlacionar sesiones de seguimiento simultáneas.

Compatible con Windows 10, versión 1507 y posteriores.
EVENT_ENABLE_PROPERTY_EXCLUDE_INPRIVATE

Filtra todos los eventos marcados como un evento InPrivate o que proceden de un proceso marcado como InPrivate.

InPrivate implica que el evento o proceso contiene algunos datos que se considerarían privados o personales. Es necesario que el proceso o evento se designen como InPrivate para que funcione.

Compatible con Windows 10, versión 1507 y posteriores.
EVENT_ENABLE_PROPERTY_SID

Incluya el identificador de seguridad (SID) del usuario en los datos extendidos del evento.

Compatible con Windows Vista y versiones posteriores.
EVENT_ENABLE_PROPERTY_TS_ID

Incluya el identificador de sesión de terminal en los datos extendidos del evento.

Compatible con Windows Vista y versiones posteriores.
EVENT_ENABLE_PROPERTY_STACK_TRACE

Agregue un seguimiento de pila de llamadas a los datos extendidos de los eventos escritos mediante EventWrite.

Nota:

ETW quitará el evento si el tamaño total del evento supera los 64 K. Si el proveedor registra eventos de tamaño máximo a 64 000, es posible que la habilitación de la captura de pila provoque la pérdida del evento.

Si la pila es mayor que el número máximo de fotogramas (192), los fotogramas se cortarán desde la parte inferior de la pila.

Para los consumidores, los eventos incluirán el EVENT_EXTENDED_ITEM_STACK_TRACE32 o EVENT_EXTENDED_ITEM_STACK_TRACE64 elemento extendido. Tenga en cuenta que, en equipos de 64 bits, el seguimiento contendrá ambas pilas de 64 bits, incluso si un controlador de seguimiento de 32 bits inició el seguimiento.

Compatible con Windows 7 y versiones posteriores.

ControlFlags

Reservado. Establecer en 0.

SourceId

GUID que identifica de forma única el autor de la llamada que habilita o deshabilita el proveedor. Si el proveedor no implementa EnableCallback, no se usa el GUID.

EnableFilterDesc

Puntero a una matriz de estructuras de EVENT_FILTER_DESCRIPTOR que apunta a los datos de filtro. El número de elementos de la matriz se especifica en el miembro FilterDescCount . Solo puede haber un descriptor para cada tipo de filtro especificado por el miembro Type de la estructura EVENT_FILTER_DESCRIPTOR .

FilterDescCount

Número de elementos (filtros) de la matriz EVENT_FILTER_DESCRIPTOR a la que apunta el miembro EnableFilterDesc .

El miembro FilterDescCount debe coincidir con el número de estructuras de EVENT_FILTER_DESCRIPTOR de la matriz a la que apunta el miembro EnableFilterDesc .

Comentarios

La estructura ENABLE_TRACE_PARAMETERS es una estructura de la versión 2 y reemplaza la estructura ENABLE_TRACE_PARAMETERS_V1 .

Windows 8.1, Windows Server 2012 R2 y versiones posteriores: la función EnableTraceEx2 y las estructuras de ENABLE_TRACE_PARAMETERS y EVENT_FILTER_DESCRIPTOR pueden usar los filtros de recorrido de eventos, ámbito y pila para filtrar por condiciones específicas en una sesión del registrador. Para obtener más información sobre los filtros de carga de eventos, consulte las funciones EnableTraceEx2, TdhCreatePayloadFilter y TdhAggregatePayloadFilters y las estructuras EVENT_FILTER_DESCRIPTOR y PAYLOAD_FILTER_PREDICATE .

Normalmente, en equipos de 64 bits, no se puede capturar la pila del kernel en determinados contextos cuando no se permiten errores de página. Para habilitar la marcha de la pila del kernel en x64, establezca el valor del DisablePagingExecutive Registro de administración de memoria en 1. El DisablePagingExecutive valor del Registro se encuentra bajo la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Esto solo se debe hacer con fines de diagnóstico temporal porque aumenta el uso de memoria del sistema.

Requisitos


Cliente mínimo compatible	Windows 7 [solo aplicaciones de escritorio]
Servidor mínimo compatible	Windows Server 2008 R2 [solo aplicaciones de escritorio]
Encabezado	evntrace.h