Сложный тип SystemPropertiesType

Определяет сведения, определяющие поставщика и способ его включения, событие, канал, в который было записано событие, а также системные сведения, такие как идентификаторы процессов и потоков.

<xs:complexType name="SystemPropertiesType">
    <xs:sequence>
        <xs:element name="Provider">
            <xs:complexType>
                <xs:attribute name="Name"
                    type="anyURI"
                    use="optional"
                 />
                <xs:attribute name="Guid"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="EventSourceName"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="EventID">
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedShort"
                    >
                        <xs:attribute name="Qualifiers"
                            type="unsignedShort"
                            use="optional"
                         />
                    </xs:extension>
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Version"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Level"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Task"
            type="unsignedShort"
            minOccurs="0"
         />
        <xs:element name="Opcode"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Keywords"
            type="HexInt64Type"
            minOccurs="0"
         />
        <xs:element name="TimeCreated"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="SystemTime"
                    type="dateTime"
                    use="optional"
                 />
                <xs:attribute name="RawTime"
                    type="unsignedLong"
                    use="optional"
                 />
            </xs:complexType>
            <xs:key name="uniqueAtt">
                <xs:selector
                    xpath="."
                 />
                <xs:field
                    xpath="@SystemTime|@RawTime"
                 />
            </xs:key>
        </xs:element>
        <xs:element name="EventRecordID"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedLong"
                     />
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Correlation"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ActivityID"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="RelatedActivityID"
                    type="GUIDType"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Execution"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ProcessID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ThreadID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ProcessorID"
                    type="unsignedByte"
                    use="optional"
                 />
                <xs:attribute name="SessionID"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="KernelTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="UserTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="ProcessorTime"
                    type="unsignedInt"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Channel"
            type="anyURI"
            minOccurs="0"
         />
        <xs:element name="Computer"
            type="string"
         />
        <xs:element name="Security"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="UserID"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:any
            processContents="lax"
            minOccurs="0"
            maxOccurs="unbounded"
            namespace="##other"
         />
    </xs:sequence>
    <xs:anyAttribute
        processContents="lax"
        namespace="##other"
     />
</xs:complexType>

Дочерние элементы

Элемент	Тип	Описание
Канал	anyURI	Канал, в котором было зарегистрировано событие.
Компьютер	строка	имя компьютера, на котором произошло событие.
Correlation		Идентификаторы действий, которые потребители могут использовать для группировки связанных событий.
Eventid		Идентификатор, используемый поставщиком для идентификации события.
EventRecordID		Номер записи, присвоенный событию при его регистрации.
Выполнение		Содержит сведения о процессе и потоке, в котором зарегистрировано событие.
Keywords	HexInt64Type	Битовая маска ключевых слов, определенных в событии . Ключевые слова используются для классификации типов событий (например, событий, связанных с чтением данных).
Level	unsignedByte	Уровень серьезности, определенный в событии.
Код операции	unsignedByte	Код операции, определенный в событии . Код задачи и операции используются в типичном формате для определения расположения в приложении, из которого было зарегистрировано событие.
Поставщик		Идентифицирует поставщика, который зарегистрировал событие. Атрибуты Name и Guid включаются, если поставщик использовал манифест инструментирования для определения своих событий; В противном случае атрибут EventSourceName включается, если устаревший поставщик событий (с помощью API ведения журнала событий ) зарегистрировал событие.
Безопасность		Идентифицирует пользователя, который зарегистрировал событие.
Задача	unsignedShort	Задача, определенная в событии . Код задачи и операции обычно используются для определения расположения в приложении, из которого было зарегистрировано событие.
TimeCreated		Метка времени, определяющая время регистрации события. Метка времени будет включать атрибут SystemTime или Атрибут RawTime .
Версия	unsignedByte	Номер версии определения события.

Атрибуты

Имя	Тип	Описание
Идентификатор действия	GUIDType	Глобальный уникальный идентификатор, определяющий текущее действие. События, опубликованные с этим идентификатором, являются частью одного действия.
EventSourceName	строка	Имя источника событий, опубликовав его (если источник события получен из устаревшего API ведения журнала событий ).
Guid	GUIDType	Глобальный уникальный идентификатор, который однозначно идентифицирует поставщика.
KernelTime	unsignedInt	Затраченное время выполнения инструкций в режиме ядра в единицах времени ЦП. Если вы используете закрытый сеанс трассировки событий Windows, используйте значение в элементе ProcessorTime. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл).
Имя	anyURI	Имя поставщика.
ProcessID	unsignedInt	Указывает процесс, создавший событие.
ProcessorID	unsignedByte	Идентификационный номер обработчика, который обработал событие. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл).
ProcessorTime	unsignedInt	Для частных сеансов трассировки событий Windows — затраченное время выполнения инструкций в пользовательском режиме в тактах ЦП. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл).
Квалификаторы	unsignedShort	Устаревший поставщик использует 32-разрядное число для идентификации своих событий. Если событие регистрируется устаревшим поставщиком, значение элемента EventID содержит 16 бит идентификатора события в нижнем порядке, а атрибут Квалификатора — 16 битов идентификатора события высокого порядка.
RawTime	unsignedLong	Необработанное значение метки времени; Формат метки времени зависит от источника времени, используемого для сбора трассировки. Необработанные метки времени обеспечивают более высокую точность, чем системное время. Выходные данные отображаемого события будут содержать необработанное время только при использовании TraceRpt.exe с параметром -rts.
RelatedActivityID	GUIDType	Глобальный уникальный идентификатор, определяющий действие, в которое был передан элемент управления. Затем связанные события будут иметь этот идентификатор в качестве идентификатора ActivityID.
SessionID	unsignedInt	Идентификационный номер сеанса сервера терминалов, в котором произошло событие. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл).
SystemTime	dateTime	Системное время регистрации события.
ThreadID	unsignedInt	Указывает поток, создавший событие.
UserID	строка	Идентификатор безопасности (SID) пользователя в строковой форме.
UserTime	unsignedInt	Затраченное время выполнения инструкций в пользовательском режиме в единицах времени ЦП. Если вы используете закрытый сеанс трассировки событий Windows, используйте значение в элементе ProcessorTime. Доступно только для событий, зарегистрированных в файле журнала трассировки событий (ETL-файл).

Комментарии

По умолчанию событие содержит полное доменное имя (FQDN) компьютера. Чтобы использовать netBIOS-имя, а не полное доменное имя, необходимо создать значение реестра DWORD с именем CompatFlags в следующем разделе реестра и задать для параметра CompatFlags значение 0x2.

HKEY_LOCAL_MACHINE
   SOFTWARE
      Microsoft
         Windows
            CurrentVersion
               WINEVT

Требования

Требование	Значение
Минимальная версия клиента	Windows Vista [только классические приложения]
Минимальная версия сервера	Windows Server 2008 [только классические приложения]