struktur ENABLE_TRACE_PARAMETERS (evntrace.h)

Artikel
08/23/2023

Struktur ENABLE_TRACE_PARAMETERS berisi informasi yang digunakan untuk mengaktifkan penyedia melalui EnableTraceEx2.

Sintaks

typedef struct _ENABLE_TRACE_PARAMETERS {
  ULONG                    Version;
  ULONG                    EnableProperty;
  ULONG                    ControlFlags;
  GUID                     SourceId;
  PEVENT_FILTER_DESCRIPTOR EnableFilterDesc;
  ULONG                    FilterDescCount;
} ENABLE_TRACE_PARAMETERS, *PENABLE_TRACE_PARAMETERS;

Anggota

Version

Atur ke ENABLE_TRACE_PARAMETERS_VERSION_2 (2).

EnableProperty

Pengaturan opsional yang dapat disertakan ETW saat menulis acara. Beberapa pengaturan menulis data tambahan ke bagian item data yang diperluas dari setiap peristiwa. Pengaturan lain mengontrol peristiwa mana yang akan disertakan dalam jejak. Untuk menggunakan pengaturan opsional ini, tentukan satu atau beberapa bendera berikut. Jika tidak, atur ke nol.

EVENT_ENABLE_PROPERTY_IGNORE_KEYWORD_0

Memfilter peristiwa di mana kata kunci peristiwa adalah 0.

Didukung pada Windows 10, versi 1507 dan yang lebih baru. Ini juga didukung pada Windows 8.1 dan Windows 7 dengan SP1 melalui patch.
EVENT_ENABLE_PROPERTY_PROVIDER_GROUP

Menunjukkan bahwa panggilan ini ke EnableTraceEx2 harus mengaktifkan Grup Penyedia daripada Penyedia Peristiwa individual.

Didukung pada Windows 10, versi 1507 dan yang lebih baru. Ini juga didukung pada Windows 8.1 dan Windows 7 dengan SP1 melalui patch.
EVENT_ENABLE_PROPERTY_PROCESS_START_KEY

Sertakan Kunci Mulai Proses dalam data yang diperluas.

Kunci Mulai Proses adalah nomor urut yang mengidentifikasi proses. Meskipun ID Proses dapat digunakan kembali dalam sesi, Kunci Mulai Proses dijamin unik dalam sesi boot saat ini.

Didukung pada Windows 10, versi 1507 dan yang lebih baru. Ini juga didukung pada Windows 8.1 dan Windows 7 dengan SP1 melalui patch.
EVENT_ENABLE_PROPERTY_EVENT_KEY

Sertakan Kunci Peristiwa dalam data yang diperluas.

Kunci Peristiwa adalah pengidentifikasi unik untuk instans peristiwa yang akan konstan di beberapa sesi pelacakan yang mendengarkan peristiwa ini. Ini dapat digunakan untuk menghubungkan sesi pelacakan simultan.

Didukung pada Windows 10, versi 1507 dan yang lebih baru.
EVENT_ENABLE_PROPERTY_EXCLUDE_INPRIVATE

Memfilter semua peristiwa yang ditandai sebagai peristiwa InPrivate atau berasal dari proses yang ditandai sebagai InPrivate.

InPrivate menyiratkan bahwa peristiwa atau proses berisi beberapa data yang akan dianggap privat atau pribadi. Terserah proses atau peristiwa untuk menunjuk dirinya sebagai InPrivate agar ini berfungsi.

Didukung pada Windows 10, versi 1507 dan yang lebih baru.
EVENT_ENABLE_PROPERTY_SID

Sertakan pengidentifikasi keamanan (SID) pengguna dalam data yang diperluas peristiwa.

Didukung pada Windows Vista dan yang lebih baru.
EVENT_ENABLE_PROPERTY_TS_ID

Sertakan pengidentifikasi sesi terminal dalam data yang diperluas peristiwa.

Didukung pada Windows Vista dan yang lebih baru.
EVENT_ENABLE_PROPERTY_STACK_TRACE

Tambahkan jejak tumpukan panggilan ke data acara yang diperluas yang ditulis menggunakan EventWrite.

Catatan

ETW akan menghilangkan peristiwa jika ukuran peristiwa total melebihi 64K. Jika penyedia mencatat peristiwa yang berukuran mendekati maksimum 64K, ada kemungkinan bahwa mengaktifkan pengambilan tumpukan akan menyebabkan peristiwa hilang.

Jika tumpukan lebih panjang dari jumlah maksimum bingkai (192), bingkai akan dipotong dari bagian bawah tumpukan.

Untuk konsumen, peristiwa akan mencakup item EVENT_EXTENDED_ITEM_STACK_TRACE32 atau EVENT_EXTENDED_ITEM_STACK_TRACE64 diperpanjang. Perhatikan bahwa pada komputer 64-bit, jejak akan berisi kedua tumpukan 64-bit bahkan jika jejak dimulai oleh pengontrol jejak 32-bit.

Didukung pada Windows 7 dan yang lebih baru.

ControlFlags

Dicadangkan. Atur ke 0.

SourceId

GUID yang secara unik mengidentifikasi pemanggil yang mengaktifkan atau menonaktifkan penyedia. Jika penyedia tidak menerapkan EnableCallback, GUID tidak digunakan.

EnableFilterDesc

Penunjuk ke array struktur EVENT_FILTER_DESCRIPTOR yang menunjuk ke data filter. Jumlah elemen dalam array ditentukan dalam anggota FilterDescCount . Hanya ada satu deskriptor untuk setiap jenis filter seperti yang ditentukan oleh anggota Jenis struktur EVENT_FILTER_DESCRIPTOR .

FilterDescCount

Jumlah elemen (filter) dalam array EVENT_FILTER_DESCRIPTOR yang ditunjukkan oleh anggota EnableFilterDesc .

Anggota FilterDescCount harus cocok dengan jumlah struktur EVENT_FILTER_DESCRIPTOR dalam array yang ditunjukkan oleh anggota EnableFilterDesc .

Keterangan

Struktur ENABLE_TRACE_PARAMETERS adalah struktur versi-2 dan menggantikan struktur ENABLE_TRACE_PARAMETERS_V1 .

Windows 8.1, Windows Server 2012 R2, dan yang lebih baru: Payload peristiwa, cakupan, dan filter stack walk dapat digunakan oleh fungsi EnableTraceEx2 dan struktur ENABLE_TRACE_PARAMETERS dan EVENT_FILTER_DESCRIPTOR untuk memfilter kondisi tertentu dalam sesi pencatat. Untuk informasi selengkapnya tentang filter payload peristiwa, lihat fungsi EnableTraceEx2, TdhCreatePayloadFilter, dan TdhAggregatePayloadFilters serta struktur EVENT_FILTER_DESCRIPTOR dan PAYLOAD_FILTER_PREDICATE .

Biasanya, pada komputer 64-bit, Anda tidak dapat menangkap tumpukan kernel dalam konteks tertentu ketika kesalahan halaman tidak diizinkan. Untuk mengaktifkan berjalan di tumpukan kernel pada x64, atur DisablePagingExecutive nilai registri Manajemen Memori ke 1. Nilai DisablePagingExecutive registri terletak di bawah kunci registri berikut: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Ini hanya boleh dilakukan untuk tujuan diagnosis sementara karena meningkatkan penggunaan memori sistem.

Persyaratan


Klien minimum yang didukung	Windows 7 [hanya aplikasi desktop]
Server minimum yang didukung	Windows Server 2008 R2 [hanya aplikasi desktop]
Header	evntrace.h