Process 类
此类是进程事件的父类。
以下语法从 MOF 代码中简化而来。
语法
[Guid("{3d6fa8d0-fe05-11d0-9dda-00c04fd7ba7c}"), EventVersion(3)]
class Process : MSNT_SystemTrace
{
};
成员
Process 类不定义任何成员。
备注
若要在 NT 内核日志记录会话中启用进程事件,请在调用StartTrace 函数时,在 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员中指定EVENT_TRACE_FLAG_PROCESS标志。 还可以指定以下标志:
- EVENT_TRACE_FLAG_PROCESS_COUNTERS
事件跟踪使用者可以通过调用 SetTraceCallback 函数并将 ProcessGuid 指定为 pGuid 参数来实现对进程事件的特殊处理。 使用以下事件类型标识使用事件时的实际进程事件。
| 事件类型 | 说明 |
|---|---|
| EVENT_TRACE_TYPE_END (事件类型值为 2) |
结束进程事件。 Process_TypeGroup1 MOF 类定义此事件的事件数据。 |
| EVENT_TRACE_TYPE_START (事件类型值为 1) |
启动进程事件。 Process_TypeGroup1 MOF 类定义此事件的事件数据。 |
| 事件类型值,3 | 启动数据收集过程事件。 枚举内核会话启动时当前正在运行的进程。 Process_TypeGroup1 MOF 类定义此事件的事件数据。 |
| 事件类型值,4 | 结束数据收集进程事件。 枚举内核会话结束时当前正在运行的进程。 Process_TypeGroup1 MOF 类定义此事件的事件数据。 |
进程和线程启动事件可以记录在父进程或线程的上下文中。 因此,EVENT_TRACE_HEADER 的 ProcessId 和 ThreadId 成员可能与正在创建的进程和线程不对应。 因此,除了事件标头) 中的进程和线程标识符外,这些事件还包含事件数据 (中的进程和线程标识符。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 |
Windows Vista [桌面应用 |UWP 应用] |
| 最低受支持的服务器 |
Windows Server 2008 [桌面应用 |UWP 应用] |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈