注册表类
此类是注册表事件的父类。
以下语法从 MOF 代码中简化而来。
[Guid("{ae53722e-c863-11d2-8659-00c04fa321a1}"), EventVersion(2)]
class Registry : MSNT_SystemTrace
{
};
Registry 类不定义任何成员。
若要在 NT 内核日志记录会话中启用注册表事件,请在调用StartTrace 函数时,在 EVENT_TRACE_PROPERTIES 结构的 EnableFlags 成员中指定EVENT_TRACE_FLAG_REGISTRY。
事件跟踪使用者可以通过调用 SetTraceCallback 函数并将 RegistryGuid 指定为 pGuid 参数,为注册表事件实现特殊处理。 使用事件时,使用以下事件类型标识实际的注册表事件。
事件类型 | 说明 |
---|---|
EVENT_TRACE_TYPE_REGCREATE (事件类型值为 10) |
创建密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGDELETE (事件类型值为 12) |
删除密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGDELETEVALUE (事件类型值为 15) |
删除值事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGENUMERATEKEY (事件类型值为 17) |
枚举密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGENUMERATEVALUEKEY (事件类型值为 18) |
枚举值键事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGFLUSH (事件类型值为 21) |
刷新密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGKCBDMP (事件类型值为 22) |
创建密钥事件。 当注册表操作使用句柄而不是字符串来引用子项时生成。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGOPEN (事件类型值为 11) |
打开密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGQUERY (事件类型值为 13) |
查询密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGQUERYMULTIPLEVALUE (事件类型值为 19) |
查询多值事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGQUERYVALUE (事件类型值为 16) |
查询值事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGSETINFORMATION (事件类型值为 20) |
设置信息事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
EVENT_TRACE_TYPE_REGSETVALUE (事件类型值为 14) |
设置值事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,23 | 删除键事件。 当注册表操作使用句柄而不是字符串来引用子项时生成。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,24 | 枚举会话开始时打开的注册表项。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,25 | 枚举会话结束时打开的注册表项。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,26 | Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
事件类型值,27 | 打开密钥事件。 Registry_TypeGroup1 MOF 类定义此事件的事件数据。 |
要求 | 值 |
---|---|
最低受支持的客户端 |
Windows Vista [仅限桌面应用] |
最低受支持的服务器 |
Windows Server 2008 [仅限桌面应用] |