Сложный тип SystemPropertiesType
Определяет сведения, определяющие поставщика и способ его включения, событие, канал, в который было записано событие, а также системные сведения, такие как идентификаторы процессов и потоков.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
Дочерние элементы
| Элемент | Тип | Описание |
|---|---|---|
| Канал | anyURI | Канал, в котором было зарегистрировано событие. |
| Компьютер | строка | имя компьютера, на котором произошло событие. |
| Correlation | Идентификаторы действий, которые потребители могут использовать для группировки связанных событий. |
|
| Eventid | Идентификатор, используемый поставщиком для идентификации события. |
|
| EventRecordID | Номер записи, присвоенный событию при его регистрации. |
|
| Выполнение | Содержит сведения о процессе и потоке, в котором зарегистрировано событие. |
|
| Keywords | HexInt64Type | Битовая маска ключевых слов, определенных в событии . Ключевые слова используются для классификации типов событий (например, событий, связанных с чтением данных). |
| Level | unsignedByte | Уровень серьезности, определенный в событии. |
| Код операции | unsignedByte | Код операции, определенный в событии . Код задачи и операции используются в типичном формате для определения расположения в приложении, из которого было зарегистрировано событие. |
| Поставщик | Идентифицирует поставщика, который зарегистрировал событие. Атрибуты Name и Guid включаются, если поставщик использовал манифест инструментирования для определения своих событий; В противном случае атрибут EventSourceName включается, если устаревший поставщик событий (с помощью API ведения журнала событий ) зарегистрировал событие. |
|
| Безопасность | Идентифицирует пользователя, который зарегистрировал событие. |
|
| Задача | unsignedShort | Задача, определенная в событии . Код задачи и операции обычно используются для определения расположения в приложении, из которого было зарегистрировано событие. |
| TimeCreated | Метка времени, определяющая время регистрации события. Метка времени будет включать атрибут SystemTime или Атрибут RawTime . |
|
| Версия | unsignedByte | Номер версии определения события. |
Атрибуты
| Имя | Тип | Описание |
|---|---|---|
| Идентификатор действия | GUIDType | Глобальный уникальный идентификатор, определяющий текущее действие. События, опубликованные с этим идентификатором, являются частью одного действия. |
| EventSourceName | строка | Имя источника событий, опубликовав его (если источник события получен из устаревшего API ведения журнала событий ). |
| Guid | GUIDType | Глобальный уникальный идентификатор, который однозначно идентифицирует поставщика. |
| KernelTime | unsignedInt | Затраченное время выполнения инструкций в режиме ядра в единицах времени ЦП. Если вы используете закрытый сеанс трассировки событий Windows, используйте значение в элементе ProcessorTime. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл). |
| Имя | anyURI | Имя поставщика. |
| ProcessID | unsignedInt | Указывает процесс, создавший событие. |
| ProcessorID | unsignedByte | Идентификационный номер обработчика, который обработал событие. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл). |
| ProcessorTime | unsignedInt | Для частных сеансов трассировки событий Windows — затраченное время выполнения инструкций в пользовательском режиме в тактах ЦП. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл). |
| Квалификаторы | unsignedShort | Устаревший поставщик использует 32-разрядное число для идентификации своих событий. Если событие регистрируется устаревшим поставщиком, значение элемента EventID содержит 16 бит идентификатора события в нижнем порядке, а атрибут Квалификатора — 16 битов идентификатора события высокого порядка. |
| RawTime | unsignedLong | Необработанное значение метки времени; Формат метки времени зависит от источника времени, используемого для сбора трассировки. Необработанные метки времени обеспечивают более высокую точность, чем системное время. Выходные данные отображаемого события будут содержать необработанное время только при использовании TraceRpt.exe с параметром -rts. |
| RelatedActivityID | GUIDType | Глобальный уникальный идентификатор, определяющий действие, в которое был передан элемент управления. Затем связанные события будут иметь этот идентификатор в качестве идентификатора ActivityID. |
| SessionID | unsignedInt | Идентификационный номер сеанса сервера терминалов, в котором произошло событие. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл). |
| SystemTime | dateTime | Системное время регистрации события. |
| ThreadID | unsignedInt | Указывает поток, создавший событие. |
| UserID | строка | Идентификатор безопасности (SID) пользователя в строковой форме. |
| UserTime | unsignedInt | Затраченное время выполнения инструкций в пользовательском режиме в единицах времени ЦП. Если вы используете закрытый сеанс трассировки событий Windows, используйте значение в элементе ProcessorTime. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл). |
Комментарии
По умолчанию событие содержит полное доменное имя (FQDN) компьютера. Чтобы использовать netBIOS-имя, а не полное доменное имя, необходимо создать значение реестра DWORD с именем CompatFlags в следующем разделе реестра и задать для параметра CompatFlags значение 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента |
Windows Vista [только классические приложения] |
| Минимальная версия сервера |
Windows Server 2008 [только классические приложения] |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по