Process_V2 类
此类是进程事件的父类。
以下语法从 MOF 代码中简化而来。
[Guid("{3d6fa8d0-fe05-11d0-9dda-00c04fd7ba7c}"), EventVersion(2)]
class Process_V2 : MSNT_SystemTrace
{
};
Process 类不定义任何成员。
若要在 NT 内核日志记录会话中启用进程事件,请在调用StartTrace 函数时,在 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员中指定EVENT_TRACE_FLAG_PROCESS标志。 还可以指定以下标志:
- EVENT_TRACE_FLAG_PROCESS_COUNTERS
事件跟踪使用者可以通过调用 SetTraceCallback 函数并将 ProcessGuid 指定为 pGuid 参数,为进程事件实现特殊处理。 使用事件时,使用以下事件类型标识实际的进程事件。
事件类型 | 说明 |
---|---|
EVENT_TRACE_TYPE_END (事件类型值为 2) |
结束进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_START (事件类型值为 1) |
启动进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,3 | 启动数据收集进程事件。 枚举内核会话启动时当前正在运行的进程。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,4 | 结束数据收集进程事件。 枚举内核会话结束时当前正在运行的进程。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,32 | 性能计数器事件。 Process_V2_TypeGroup2 MOF 类定义此事件的事件数据。 |
事件类型值,33 | 会话开始时性能计数器的耗尽。 Process_V2_TypeGroup2 MOF 类定义此事件的事件数据。 |
事件类型值,39 | 已解除进程事件。 Process_V2_TypeGroup1 MOF 类定义此事件的事件数据。 |
进程和线程启动事件可以记录在父进程或线程的上下文中。 因此,EVENT_TRACE_HEADER的 ProcessId 和 ThreadId 成员可能与要创建的进程和线程不对应。 这就是为什么这些事件在事件数据 (中包含进程和线程标识符以及事件标头) 中的标识符的原因。
要求 | 值 |
---|---|
最低受支持的客户端 |
Windows Vista [桌面应用 |UWP 应用] |
最低受支持的服务器 |
Windows Server 2008 [桌面应用 |UWP 应用] |