使用英语阅读

通过


Process_V2 类

此类是进程事件的父类。

以下语法从 MOF 代码中简化而来。

语法

[Guid("{3d6fa8d0-fe05-11d0-9dda-00c04fd7ba7c}"), EventVersion(2)]
class Process_V2 : MSNT_SystemTrace
{
};

成员

Process 类不定义任何成员。

备注

若要在 NT 内核日志记录会话中启用进程事件,请在调用StartTrace 函数时,在 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员中指定EVENT_TRACE_FLAG_PROCESS标志。 还可以指定以下标志:

  • EVENT_TRACE_FLAG_PROCESS_COUNTERS

事件跟踪使用者可以通过调用 SetTraceCallback 函数并将 ProcessGuid 指定为 pGuid 参数,为进程事件实现特殊处理。 使用事件时,使用以下事件类型标识实际的进程事件。

事件类型 说明
EVENT_TRACE_TYPE_END (事件类型值为 2)
结束进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。
EVENT_TRACE_TYPE_START (事件类型值为 1)
启动进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。
事件类型值,3 启动数据收集进程事件。 枚举内核会话启动时当前正在运行的进程。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。
事件类型值,4 结束数据收集进程事件。 枚举内核会话结束时当前正在运行的进程。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。
事件类型值,32 性能计数器事件。 Process_V2_TypeGroup2 MOF 类定义此事件的事件数据。
事件类型值,33 会话开始时性能计数器的耗尽。 Process_V2_TypeGroup2 MOF 类定义此事件的事件数据。
事件类型值,39 已解除进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。

 

进程和线程启动事件可以记录在父进程或线程的上下文中。 因此,EVENT_TRACE_HEADERProcessIdThreadId 成员可能与要创建的进程和线程不对应。 这就是为什么这些事件在事件数据 (中包含进程和线程标识符以及事件标头) 中的标识符的原因。

要求

要求
最低受支持的客户端
Windows Vista [桌面应用 |UWP 应用]
最低受支持的服务器
Windows Server 2008 [桌面应用 |UWP 应用]

另请参阅

MSNT_SystemTrace

进程

Process_TypeGroup1

Process_V0

Process_V1