EventFilters
EventFilters 元素指定事件 ID,用于筛选基于清单的提供程序中的事件。
元素层次结构
-
<
WindowsPerformanceRecorder>
-
<
Profiles>
-
<
EventProvider>
- < EventFilters>
-
<
Profile>
-
<
Collectors>
-
<
EventCollectorId>
-
<
EventProviders>
-
<
EventProvider>
- < EventFilters>
-
<
EventProvider>
-
<
EventProviders>
-
<
EventCollectorId>
-
<
Collectors>
-
<
EventProvider>
-
<
Profiles>
语法
<EventFilters FilterIn = "true" | "false" Operation = "Set" | "Add" | "Remove" >
<!-- Child elements -->
<EventId>
</EventFilters>
特性和元素
特性
| 属性 | 说明 | 数据类型 | 必须 | 默认 |
|---|---|---|---|---|
| FilterIn | 指示是包含还是排除指定的事件。 | boolean | 是 | |
| 操作 | 指示是应设置还是添加关键字。 | 此属性可以具有以下值之一:
|
否 | 设置 |
子元素
| 元素 | 说明 | 要求 |
|---|---|---|
| EventId | 清单中定义的事件 ID。 | 必需,1 个或多个。 |
父元素
| 元素 | 说明 |
|---|---|
| EventProvider | 表示配置文件的事件提供程序。 |
备注
EventFilters 元素通过 EVENT_FILTER_DESCRIPTOR、Type EVENT_FILTER_TYPE_EVENT_ID 启用事件筛选。
尽管 ETW 支持强大的有效负载和属性筛选,但事件应主要基于范围筛选器进行筛选,或通过级别和关键字 (keyword) 来减少 CPU 开销。
示例
<EventProvider Id="EP_Microsoft-Windows-Win32k" Name="8c416c79-d49b-4f01-a467-e56d3aa8234c" NonPagedMemory="true">
<EventFilters FilterIn="false">
<EventId Value="164" />
<EventId Value="166" />
<EventId Value="167" />
<EventId Value="169" />
</EventFilters>
<StackFilters FilterIn="true">
<EventId Value="88" />
<EventId Value="65" />
</StackFilters>
</EventProvider>