Process_TypeGroup1 类
此类是进程事件的事件类型类。
以下语法从 MOF 代码中简化而来。
语法
[EventType{1, 2, 3, 4, 39}, EventTypeName{"Start", "End", "DCStart", "DCEnd", "Defunct"}]
class Process_TypeGroup1 : Process
{
uint32 UniqueProcessKey;
uint32 ProcessId;
uint32 ParentId;
uint32 SessionId;
sint32 ExitStatus;
uint32 DirectoryTableBase;
object UserSID;
string ImageFileName;
string CommandLine;
};
成员
Process_TypeGroup1 类具有以下类型的成员:
属性
Process_TypeGroup1 类具有这些属性。
-
CommandLine
-
-
数据类型: string
-
访问类型:只读
-
限定符:WmiDataId (9) 、StringTermination (“NullTerminated”) 、Format (“w”)
进程的完整命令行。
-
-
DirectoryTableBase
-
-
数据类型: uint32
-
访问类型:只读
-
限定符:WmiDataId (6) ,指针
进程的页表的物理地址。
-
-
ExitStatus
-
-
数据类型: sint32
-
访问类型:只读
-
限定符:WmiDataId (5)
已停止进程的退出状态。
-
-
ImageFileName
-
-
数据类型: string
-
访问类型:只读
-
限定符:WmiDataId (8) ,StringTermination (“NullTerminated”)
进程的可执行文件的路径。
-
-
ParentId
-
-
数据类型: uint32
-
访问类型:只读
-
限定符:WmiDataId (3) ,格式 (“x”)
创建此过程的进程的唯一标识符。 进程标识符编号会重复使用,因此它们仅在该进程的生存期内标识进程。 ParentProcessId 标识的进程可能会被终止,因此 ParentProcessId 可能不会引用正在运行的进程。 也有可能 ParentProcessId 错误地引用了重用进程标识符的进程。
-
-
ProcessId
-
-
数据类型: uint32
-
访问类型:只读
-
限定符:WmiDataId (2) ,格式 (“x”)
可用于标识进程的全局进程标识符。 值从创建进程到终止为止有效。
-
-
SessionId
-
-
数据类型: uint32
-
访问类型:只读
-
限定符:WmiDataId (4)
操作系统在创建新会话时生成的唯一标识符。 会话跨越从登录到从特定系统注销的一段时间。
-
-
UniqueProcessKey
-
-
数据类型: uint32
-
访问类型:只读
-
限定符:WmiDataId (1) ,指针
内核中进程对象的地址。
-
-
UserSID
-
-
数据类型: 对象
-
访问类型:只读
-
限定符:WmiDataId (7) ,扩展 (“Sid”)
发生事件的用户上下文的安全标识符 (SID) 。
-
备注
DCStart 和 DCEnd 事件类型分别枚举内核会话开始和结束时当前正在运行的进程,包括空闲进程和系统进程。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 |
Windows 2000 Professional [仅限桌面应用] |
| 最低受支持的服务器 |
Windows 2000 Server [仅限桌面应用] |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈