SystemPropertiesType 複雜類型
定義識別提供者及其啟用方式的資訊、事件、寫入事件的通道,以及進程和執行緒識別碼等系統資訊。
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
子元素
| 元素 |
類型 |
Description |
|
通道 |
anyURI |
記錄事件的通道。
|
|
電腦 |
string |
發生事件之電腦的名稱。
|
|
Correlation |
|
取用者可用來將相關事件群組在一起的活動識別碼。
|
|
EventID |
|
提供者用來識別事件的識別碼。
|
|
EventRecordID |
|
記錄時指派給事件的記錄號碼。
|
|
執行 |
|
包含記錄事件之進程和執行緒的相關資訊。
|
|
關鍵字 |
HexInt64Type |
事件中定義的關鍵字位元遮罩。 關鍵字可用來分類事件種類 (例如,與讀取資料相關聯的事件) 。
|
|
層級 |
unsignedByte |
事件中定義的嚴重性層級。
|
|
OpCode |
unsignedByte |
事件中定義的 opcode。 工作和 opcode 是用來識別記錄事件所在應用程式中的位置。
|
|
提供者 |
|
識別記錄事件的提供者。 如果提供者使用檢測資訊清單來定義其事件,則會包含Name和Guid屬性;否則,如果舊版事件提供者使用事件記錄API () 記錄事件,則會包含EventSourceName屬性。
|
|
安全性 |
|
識別記錄事件的使用者。
|
|
任務 |
unsignedShort |
事件中定義的工作。 工作和 opcode 通常用來識別記錄事件所在應用程式中的位置。
|
|
TimeCreated |
|
識別事件記錄時間的時間戳記。 時間戳記將包含 SystemTime 屬性或 RawTime 屬性。
|
|
版本 |
unsignedByte |
事件定義的版本號碼。
|
屬性
| 名称 |
類型 |
Description |
| ActivityID |
GUIDType |
識別目前活動的全域唯一識別碼。 以這個識別碼發佈的事件是相同活動的一部分。
|
| EventSourceName |
string |
如果事件來源來自舊版 事件記錄 API) ,則發行事件來源的事件來源名稱 (。
|
| Guid |
GUIDType |
可唯一識別提供者的全域唯一識別碼。
|
| KernelTime |
unsignedInt |
核心模式指令的經過執行時間,以 CPU 時間單位為單位。 如果您使用 ETW 私人會話,請改用 ProcessorTime 成員中的值。 僅適用于記錄到事件追蹤記錄檔的事件, (.etl 檔案) 。
|
| 名稱 |
anyURI |
提供者的名稱。
|
| ProcessID |
unsignedInt |
識別已產生事件的處理序。
|
| ProcessorID |
unsignedByte |
處理事件之處理器的識別碼。 僅適用于記錄到事件追蹤記錄檔的事件, (.etl 檔案) 。
|
| ProcessorTime |
unsignedInt |
針對 ETW 私人會話,CPU 刻度中使用者模式指示經過的執行時間。 僅適用于記錄到事件追蹤記錄檔的事件, (.etl 檔案) 。
|
| 限定詞 |
unsignedShort |
舊版提供者會使用 32 位的數位來識別其事件。 如果事件是由舊版提供者記錄, EventID 元素的值會包含事件識別碼的低序 16 位, 而 Qualifier 屬性則包含事件識別碼的高序 16 位。
|
| RawTime |
unsignedLong |
原始時間戳記值;時間戳記的格式取決於用來收集追蹤的時間來源。 原始時間戳記提供比系統時間更高的精確度。 當您搭配 -rts 參數使用 TraceRpt.exe 時,轉譯的事件輸出只會包含原始時間。
|
| RelatedActivityID |
GUIDType |
全域唯一識別碼,可識別控制項傳送至的活動。 然後,相關事件會將此識別碼作為其 ActivityID 識別碼。
|
| SessionID |
unsignedInt |
發生事件之終端機伺服器工作階段的識別碼。 僅適用于記錄到事件追蹤記錄檔的事件, (.etl 檔案) 。
|
| SystemTime |
dateTime |
記錄事件的系統時間。
|
| ThreadID |
unsignedInt |
識別已產生事件的執行緒。
|
| UserID |
string |
以字串形式 (SID) 使用者的安全性識別碼。
|
| UserTime |
unsignedInt |
以 CPU 時間單位表示的使用者模式指令經過執行時間。 如果您使用 ETW 私人會話,請改用 ProcessorTime 成員中的值。 僅適用于記錄到事件追蹤記錄檔的事件 (.etl 檔案) 。
|
根據預設,事件包含電腦 (FQDN) 的完整功能變數名稱。 若要使用 NETBIOS 名稱而非 FQDN,您必須在下列登錄機碼下建立名為 CompatFlags 的 DWORD 登錄值,並將 CompatFlags 的值設定為 0x2。
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
規格需求
| 需求 |
值 |
最低支援的用戶端
|
Windows Vista [僅限傳統型應用程式]
|
最低支援的伺服器
|
Windows Server 2008 [僅限傳統型應用程式]
|