Сведения о трассировке сетевых событий Winsock
Ниже подробно описаны все сетевые события Winsock, которые можно отследить, а также описаны параметры и сведения, которые регистрируются в журнале.
Создание сокета
Идентификатор события = 1
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для создания сокета:
- Дескриптора сокета, созданные вызовами функций сокета или WSASocket .
- Принимаемые дескрипторы сокетов для прослушивания.
- Дескриптора сокета, созданные вызовами функции WSAJoinLeaf .
- Дескриптор сокета повторно используется вызовами функций AcceptEx или ConnectEx .
Для события создания сокета регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Тип сокета |
Тип сокета. |
| Протокол |
Протокол сокета. |
| UserModePid |
Идентификатор процесса в пользовательском режиме, создавшего сокет. |
Привязка сокета
Event ID = 2 (IPv4), Event ID = 3 (IPv6)
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для операции привязки:
- Неявная или явная привязка дескриптора сокета.
Для события привязки регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Адрес |
Локальный IP-адрес. |
| Порт |
Номер локального IP-порта. |
| Статус |
Состояние или код ошибки, возвращенные для операции привязки. |
Сбой привязки
Идентификатор события = 40
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для неудачной операции привязки:
- Неявная или явная привязка дескриптора сокета, который завершается сбоем.
Для события привязки с ошибкой регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для неудачной операции привязки. |
Подключение сокета
Event ID = 4 (IPv4), Event ID = 5 (IPv6)
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для запроса операции подключения (вызов функции connect, ConnectEx, WSAConnect, WSAConnectByList или WSAConnectByName ):
- Подключение сокета к назначению для сокета, ориентированного на подключение, или для сокета без подключения.
Для события подключения регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Адрес |
Удаленный IP-адрес. |
| Порт |
Номер удаленного IP-порта. |
Подключение завершено
Идентификатор события = 6
Уровень = 4 (информация)
Для завершения подключения отслеживаются следующие события Winsock:
- Операция подключения завершена.
Для события завершения подключения регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции подключения. |
Прерывание AFD-Initiated
Идентификатор события = 7
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для операций прерывания или отмены, инициированных Winsock:
- Прерывание из-за непрочитанного получения данных, буферизованных после закрытия.
- Прерывание после вызова функции завершения работы с параметром how , для SD_RECEIVE и вызова функции closesocket с ожидающей получением данных.
- Прерывание после неудачной попытки очистки конечной точки.
- Прерывание после возникновения внутренней ошибки Winsock.
- Прерывание из-за соединения с ошибками, и приложение ранее запросило прерывание подключения при определенных обстоятельствах. Одним из примеров этого случая может быть приложение, которое задает SO_LINGER с нулевым временем ожидания, и в подключении по-прежнему есть необъяснимые данные.
- Прерывание подключения, не полностью связанного с принятием конечной точки.
- Прерывание при неудачном вызове функции accept или AcceptEx .
- Прерывание из-за сбоя операции получения.
- Прерывание из-за события Plug and Play.
- Прерывание из-за сбоя запроса на очистку.
- Прерывание из-за сбоя ускоренного запроса на получение данных.
- Прерывание из-за сбоя запроса на отправку.
- Прерывание из-за отмененного запроса на отправку.
- Прерывание из-за отмененного вызова функции TransmitPackets .
Для операции прерывания или отмены, инициированной Winsock, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Причина |
Причина прерывания или отмены операции. |
Прерывание Transport-Initiated
Идентификатор события = 8
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для операций прерывания или отмены, инициированных транспортом:
- Сброс, указанный транспортом.
Для операции прерывания или отмены, инициированной Winsock, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Причина |
Причина прерывания или отмены операции. |
Сбой запроса на отправку
Идентификатор события = 9
Уровень = 4 (информация)
Следующие события Winsock отслеживаются на наличие ошибок при отправке или запросе WSASend :
- Ошибки, возвращаемые при неудачной отправке или WSASend-запросах .
Следующие параметры регистрируются для запросов на отправку, которые приводят к ошибке:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции. |
Сбой запроса WsaSendMsg
Идентификатор события = 10
Уровень = 4 (информация)
Следующие события Winsock отслеживаются на наличие ошибок в запросах WSASendMsg :
- Ошибки, возвращаемые при неудачных запросах WSASendMsg .
Следующие параметры регистрируются для запросов на отправку, которые приводят к ошибке:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции. |
Сбой запроса recv
Идентификатор события = 11
Уровень = 4 (информация)
Следующие события Winsock отслеживаются на наличие ошибок в запросах recv, WSARecv или WSARecvEx :
- Ошибки, возвращаемые при неудачных запросах на получение.
Следующие параметры регистрируются для запросов на отправку, которые приводят к ошибке:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции. |
Сбой запроса recvfrom
Идентификатор события = 12
Уровень = 4 (информация)
Следующие события Winsock отслеживаются на наличие ошибок в запросах recvfrom или WSARecvFrom :
- Ошибки, возвращаемые в случае сбоя recvfrom или WSARecvFrom запросов.
Следующие параметры регистрируются для запроса recvfrom или WSARecvFrom , что приводит к ошибке:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции. |
Закрытие сокета
Идентификатор события = 13
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для операций закрытия сокета:
- Дескриптор сокета закрыт.
Для события закрытия сокета регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Возвращаемое значение для операции закрытия сокета. |
Очистка сокета
Идентификатор события = 14
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для операций очистки (завершения работы) сокета:
- Функция завершения работы вызывается в сокете.
- Транспорт указывает на сбой корректного отключения.
Для события очистки (завершения работы) или закрытия сокета регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Возвращаемое значение для операции очистки (завершения работы) сокета. |
Принять сокет
Event ID = 15 (IPv4), Event ID = 16 (IPv6)
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для запроса функции accept, AcceptEx или WSAAccept :
Для события accept регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Адрес |
Удаленный IP-адрес. |
| Порт |
Номер удаленного IP-порта. |
| Статус |
Состояние или код ошибки, возвращенные для операции принятия. |
Сбой принятия
Идентификатор события = 17
Уровень = 4 (информация)
Следующие события Winsock отслеживаются для неудачной операции приема:
Для события принятия ошибки регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для неудачной операции принятия. |
Отправить опубликовано
Идентификатор события = 18
Уровень = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для операций отправки и получения буфера сокета после:
- Приложение отправляет отправку.
- Операция отправки завершается в Winsock.
Для операций отправки сокета регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| FastPath |
Логическое значение, указывающее, использовался ли быстрый путь ввода-вывода. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочек буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера. Для цепочки буферов этот параметр представляет собой общее количество байтов во всех буферах в цепочке. |
Если параметр FastPath имеет значение true, адрес пользовательского режима первого буфера в массиве буферов регистрируется в параметре Buffer. Если fastPath имеет значение false, адрес буфера ядра Winsock регистрируется в параметре Buffer.
Получение публикации
Идентификатор события = 19
Уровень = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для операций после получения буфера сокета:
- Приложение отправляет получение.
- Операция получения завершается в Winsock.
Для операций получения сокетов регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| FastPath |
Логическое значение, указывающее, использовался ли быстрый путь ввода-вывода. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочек буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера. Для цепочки буферов этот параметр представляет собой общее количество байтов во всех буферах в цепочке. |
Если параметр FastPath имеет значение true, адрес пользовательского режима первого буфера в массиве буферов регистрируется в параметре Buffer. Если fastPath имеет значение false, адрес буфера ядра Winsock регистрируется в параметре Buffer.
RecvFrom Posted
Идентификатор события = 20
Level = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он все еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для операции recvfrom buffer post в сокете:
- Приложение отправляет получение от операции .
Для операции recvfrom регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| FastPath |
Логическое значение, указывающее, использовался ли быстрый путь ввода-вывода. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочки буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера. Для цепочки буферов этот параметр представляет собой общее количество байтов во всех буферах в цепочке. |
Если параметр FastPath имеет значение true, адрес пользовательского режима первого буфера в массиве буферов регистрируется в параметре Buffer. Если fastPath имеет значение false, адрес буфера ядра Winsock регистрируется в параметре Buffer.
SendTo Posted
Event ID = 21 (IPv4), Event ID = 22 (IPv6)
Level = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он все еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для операции буфера sendto в сокете:
- Приложение отправляет отправку из .
Для операции sendto регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| FastPath |
Логическое значение, указывающее, использовался ли быстрый путь ввода-вывода. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочки буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера. Для цепочки буферов этот параметр представляет собой общее количество байтов во всех буферах в цепочке. |
| Адрес |
Удаленный IP-адрес сокета. |
| Порт |
Номер удаленного IP-порта сокета. |
Если параметр FastPath имеет значение true, адрес пользовательского режима первого буфера в массиве буферов регистрируется в параметре Buffer. Если fastPath имеет значение false, адрес буфера ядра Winsock регистрируется в параметре Buffer.
Восстановление завершено
Идентификатор события = 23
Level = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он все еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для завершенных операций получения сокета:
- Операция отправки завершается в транспорт.
- В транспорте завершается операция получения.
Следующие параметры регистрируются для завершения отправки или получения завершенных:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Буфера |
Виртуальный адрес буфера. Для цепочки буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера полученных байтов. Для цепочки буферов этот параметр представляет собой общее количество байтов, полученных во всех буферах в цепочке. |
Отправить завершено
Идентификатор события = 24
Level = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он все еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются для завершенных операций отправки сокетов:
- Операция отправки завершается в транспорт.
Для завершения отправки регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Буфера |
Виртуальный адрес буфера. Для цепочки буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера отправленных байтов. Для цепочки буферов этот параметр представляет собой общее количество байтов, отправленных из всех буферов в цепочке. |
SendMsg Завершено
Идентификатор события = 25
Level = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он все еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются после завершения операции буфера WSASendMsg в сокете:
- Приложение завершает операцию WSASendMsg .
Для завершения WSASendMsg регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочек буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера отправленных байтов. Для цепных буферов этот параметр представляет собой общее количество байтов, отправленных из всех буферов в цепочке. |
| Адрес |
Удаленный IP-адрес сокета. |
| Порт |
Номер удаленного IP-порта сокета. |
RecvFrom Completed
Event ID = 26 (IPv4), Event ID = 27 (IPv6)
Уровень = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются после завершения операции recvfrom buffer в сокете:
- Приложение завершает операцию recvfrom .
Следующие параметры регистрируются для восстановления после завершения:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочек буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера полученных байтов. Для цепных буферов этот параметр представляет собой общее количество байтов, полученных во всех буферах в цепочке. |
| Адрес |
Удаленный IP-адрес сокета. |
| Порт |
Номер удаленного IP-порта сокета. |
SendTo Completed
Идентификатор события = 28
Уровень = 5 (подробный)
Чтобы диагностировать повреждение пользовательского буфера (например, когда приложение повторно использует тот же буфер в другом вызове отправки или приема, пока он еще используется), буфер данных регистрируется при отправке в Winsock и по завершении базовым транспортом. Следующие события Winsock отслеживаются после завершения операции буфера отправки в сокете:
- Приложение завершает операцию sendto .
Для завершения отправки регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| BufferCount |
Число буферов. |
| Буфера |
Виртуальный адрес буфера. Для цепочек буферов этот параметр является виртуальным адресом первого буфера в цепочке. |
| BufferLength |
Длина буфера отправленных байтов. Для цепных буферов этот параметр представляет собой общее количество байтов, отправленных из всех буферов в цепочке. |
| Адрес |
Удаленный IP-адрес сокета. |
| Порт |
Номер удаленного IP-порта сокета. |
Набор параметров сокета
Идентификатор события = 29
Уровень = 5 (подробный)
Всякий раз, когда приложение изменяет определенные значения параметров сокета и Ioctls, новые значения регистрируются в журнале. Параметры, зарегистрированные в журнале, можно использовать для диагностики низкой производительности или странного поведения в приложениях. Следующие события Winsock отслеживаются для определенных параметров сокета и Ioctls:
- SO_SNDBUF изменений.
- SO_RCVBUF изменений.
- FIONBIO
- SIO_ENABLE_CIRCULAR_QUEUEING
- SIO_UDP_CONNRESET
- SO_OOBINLINE
Следующие параметры регистрируются для вызовов функций setsockopt и WSAIoctl , которые изменяют любое из указанных выше значений:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Параметр |
Измененный параметр сокета или Ioctl. |
| Значение |
Новое значение параметра сокета или Ioctl. |
Выбор или опрос опубликовано
Идентификатор события = 30
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются, когда приложение вызывает функцию select или WSAPoll :
Для событий select или WSAPoll регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Идентификатор процесса-владения. |
| HandleCount |
Число дескрипторов, переданных приложением (допустимо только для инициирующего события). |
| Времени ожидания |
Максимальное время ожидания функции select или WSAPoll . |
Выбор или опрос завершен
Идентификатор события = 31
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются, когда приложение вызывает функцию select или WSAPoll :
После завершения операции select или WSAPoll регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Ошибка |
Код ошибки, возвращенный для операции select или WSAPoll . |
WSAEventSelect
Идентификатор события = 32
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются, когда приложение вызывает функцию WSAEventSelect :
- Зайдите в журнал маску события, переданную в функции WSAEventSelect .
Для вызовов функций WSAEventSelect регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| EventMask |
Значение маски события. |
Удаленная датаграмма
Event ID = 33 (IPv4), Event ID = 34 (IPv6)
Уровень = 5 (подробный)
Для диагностики проблем, связанных с приложениями датаграмм, отслеживаются следующие события Winsock:
- Когда датаграмма поступает и она удаляется, сделайте, чтобы не хватать буферного пространства.
- На подключенной датаграмме , если данные поступают из источника, отличного от подключенного назначения.
Для удаленных датаграмм регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| PacketSize |
Размер отброшенного пакета. |
| Адрес |
IP-адрес источника пакета. |
| Порт |
Номер IP-порта источника пакета. |
| Причина |
Код ошибки или причина удаления пакета. |
Указано подключение
Event ID = 35 (IPv4), Event ID = 36 (IPv6)
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются для операций, указанных в подключении:
- Приложение получает запрос на подключение.
Для подключений, указанных из событий транспорта, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Адрес |
Удаленный IP-адрес. |
| Порт |
Номер удаленного IP-порта. |
Указанные данные
Идентификатор события = 37
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются для операций, указанных в данных:
- Приложение получает данные в подключенном сокете.
Для данных, указанных в событиях транспорта, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Идентификатор процесса-владения. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Указано байтов |
Количество байтов, полученных в сокете. |
Данные, указанные из транспорта
Event ID = 38 (IPv4), Event ID = 39 (IPv6)
Уровень = 5 (подробный)
Следующие события Winsock отслеживаются для данных, указанных в транспортных операциях:
- Приложение отправляет запрос на получение и получает данные.
Для данных, указанных в событиях транспорта, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
| Адрес |
Удаленный IP-адрес. |
| Порт |
Номер удаленного IP-порта. |
| Указано байтов |
Количество байтов, полученных в сокете. |
Отключение от транспорта
Идентификатор события = 41
Level = 5 (подробный)
Следующие события Winsock отслеживаются для операций, указанных в отключении:
- Приложение получает указание об отключении.
Для отключения, указанного в событиях транспорта, регистрируются следующие параметры:
| Параметр | Описание |
|---|---|
| Процесс |
Адрес структуры EPROCESS ядра для процесса. |
| Конечной точки |
Адрес сокета ядра Winsock, используемый в качестве уникального идентификатора сокета. |
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по