Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Define as informações que identificam o provedor e como ele foi habilitado, o evento, o canal para o qual o evento foi gravado e as informações do sistema, como o processo e as IDs de thread.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
Elementos filho
| Elemento | Type | Descrição |
|---|---|---|
| Channel | anyURI | O canal no qual o evento foi registrado. |
| Computador | string | O nome do computador no qual o evento ocorreu. |
| Correlação | Os identificadores de atividade que os consumidores podem usar para agrupar eventos relacionados. |
|
| Eventid | O identificador que o provedor usou para identificar o evento. |
|
| EventRecordID | O número de registro atribuído ao evento quando ele foi registrado. |
|
| Execução | Contém informações sobre o processo e o thread que registraram o evento. |
|
| Palavras-chave | HexInt64Type | Uma máscara de bits das palavras-chave definidas no evento. Palavras-chave são usadas para classificar tipos de eventos (por exemplo, eventos associados à leitura de dados). |
| Nível | unsignedByte | O nível de gravidade definido no evento. |
| Opcode | unsignedByte | O opcode definido no evento. A tarefa e o opcode são usados de forma tipcial para identificar o local no aplicativo de onde o evento foi registrado. |
| Provedor | Identifica o provedor que registrou o evento. Os atributos Name e Guid serão incluídos se o provedor usou um manifesto de instrumentação para definir seus eventos; caso contrário, o atributo EventSourceName será incluído se um provedor de eventos herdado (usando a API de Log de Eventos ) registrar o evento. |
|
| Segurança | Identifica o usuário que registrou o evento. |
|
| Tarefa | unsignedShort | A tarefa definida no evento. A tarefa e o opcode normalmente são usados para identificar o local no aplicativo de onde o evento foi registrado. |
| TimeCreated | O carimbo de data/hora que identifica quando o evento foi registrado. O carimbo de data/hora incluirá o atributo SystemTime ou o atributo RawTime . |
|
| Versão | unsignedByte | O número de versão da definição do evento. |
Atributos
| Nome | Tipo | Descrição |
|---|---|---|
| ActivityID | GUIDType | Um identificador global exclusivo que identifica a atividade atual. Os eventos publicados com esse identificador fazem parte da mesma atividade. |
| Eventsourcename | string | O nome da origem do evento que publicou o evento (se a origem do evento for da API herdada de Log de Eventos ). |
| Guid | GUIDType | O identificador global exclusivo que identifica exclusivamente o provedor. |
| KernelTime | unsignedInt | Tempo de execução decorrido para instruções de modo kernel, em unidades de tempo de CPU. Se você estiver usando uma sessão privada ETW, use o valor no membro ProcessorTime. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl). |
| Nome | anyURI | O nome do provedor. |
| ProcessID | unsignedInt | Identifica o processo que gerou o evento. |
| ProcessorID | unsignedByte | O número de identificação do processador que processou o evento. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl). |
| ProcessorTime | unsignedInt | Para sessões privadas etw, o tempo de execução decorrido para instruções de modo de usuário, em tiques de CPU. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl). |
| Qualificadores | unsignedShort | Um provedor herdado usa um número de 32 bits para identificar seus eventos. Se o evento for registrado por um provedor herdado, o valor do elemento EventID conterá os 16 bits de ordem baixa do identificador de evento e o atributo Qualifier conterá os 16 bits de alta ordem do identificador de evento. |
| RawTime | unsignedLong | O valor bruto do carimbo de data/hora; o formato do carimbo de data/hora depende da fonte de tempo usada para coletar o rastreamento. O carimbo de data/hora bruto oferece precisão maior do que a hora do sistema. A saída do evento renderizado só conterá tempo bruto se você usar TraceRpt.exe com a opção -rts. |
| RelatedActivityID | GUIDType | Um identificador global exclusivo que identifica a atividade para a qual o controle foi transferido. Os eventos relacionados teriam esse identificador como seu identificador ActivityID. |
| SessionID | unsignedInt | O número de identificação da sessão do servidor de terminal na qual o evento ocorreu. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl). |
| SystemTime | dateTime | A hora do sistema de quando o evento foi registrado. |
| ThreadID | unsignedInt | Identifica o thread que gerou o evento. |
| UserID | string | O SID (identificador de segurança) do usuário no formulário de cadeia de caracteres. |
| UserTime | unsignedInt | Tempo de execução decorrido para instruções de modo de usuário, em unidades de tempo de CPU. Se você estiver usando uma sessão privada ETW, use o valor no membro ProcessorTime. Disponível apenas para eventos registrados em um arquivo de log de rastreamento de eventos (arquivo .etl). |
Comentários
Por padrão, o evento contém o FQDN (nome de domínio totalmente qualificado) de um computador. Para usar o nome NETBIOS em vez do FQDN, você deve criar um valor de registro DWORD chamado CompatFlags na chave do Registro a seguir e definir o valor de CompatFlags como 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Requisitos
| Requisito | Valor |
|---|---|
| Cliente mínimo com suporte |
Windows Vista [somente aplicativos da área de trabalho] |
| Servidor mínimo com suporte |
Windows Server 2008 [somente aplicativos da área de trabalho] |