EVENT_RECORD-Struktur (evntcons.h)

  • Artikel

Definiert das Layout eines Ereignisses, das die Ereignisablaufverfolgung für Windows (ETW) liefert.

Syntax

typedef struct _EVENT_RECORD {
  EVENT_HEADER                     EventHeader;
  ETW_BUFFER_CONTEXT               BufferContext;
  USHORT                           ExtendedDataCount;
  USHORT                           UserDataLength;
  PEVENT_HEADER_EXTENDED_DATA_ITEM ExtendedData;
  PVOID                            UserData;
  PVOID                            UserContext;
} EVENT_RECORD, *PEVENT_RECORD;

Member

EventHeader

Informationen zum Ereignis, z. B. der Zeitstempel für den Zeitpunkt, zu dem es geschrieben wurde. Weitere Informationen finden Sie in der EVENT_HEADER-Struktur .

BufferContext

Definiert Informationen wie die Sitzung, die das Ereignis protokolliert hat. Ausführliche Informationen finden Sie in der ETW_BUFFER_CONTEXT-Struktur .

ExtendedDataCount

Die Anzahl erweiterter Datenstrukturen im ExtendedData-Member .

UserDataLength

Die Größe der Daten im UserData-Element in Byte.

ExtendedData

Ein oder mehrere erweiterte Datenelemente, die ETW sammelt. Die erweiterten Daten enthalten einige Elemente, z. B. die Sicherheits-ID (SID) des Benutzers, der das Ereignis protokolliert hat, nur, wenn der Controller den EnableProperty-Parameter festlegt, der an die EnableTraceEx - oder EnableTraceEx2-Funktion übergeben wird. Die erweiterten Daten enthalten andere Elemente, z. B. den zugehörigen Aktivitätsbezeichner und Decodierungsinformationen für die Ablaufverfolgungsprotokollierung, unabhängig davon, ob der Controller den EnableProperty-Parameter festlegt, der an EnableTraceEx oder EnableTraceEx2 übergeben wird. Weitere Informationen finden Sie in der EVENT_HEADER_EXTENDED_DATA_ITEM-Struktur .

UserData

Ereignisspezifische Daten. Informationen zum Analysieren dieser Daten finden Sie unter Abrufen von Ereignisdaten mithilfe von TDH. Wenn der Flags-Member von EVENT_HEADEREVENT_HEADER_FLAG_STRING_ONLY enthält, handelt es sich bei den Daten um eine Unicode-Zeichenfolge mit NULL-Endung, für die Sie TDH zum Analysieren nicht benötigen.

UserContext

Der im Kontextelement der EVENT_TRACE_LOGFILE-Struktur angegebene Kontext, der an die OpenTrace-Funktion übergeben wird.

Hinweise

Die EVENT_RECORD-Struktur wird an die Implementierung des EventRecordCallback-Rückrufs des Consumers übergeben.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2008 [nur Desktop-Apps]
Kopfzeile evntcons.h (evntcons.h einschließen)

Weitere Informationen

ETW_BUFFER_CONTEXT

EVENT_HEADER

EVENT_HEADER_EXTENDED_DATA_ITEM

EVENT_TRACE_LOGFILE

EnableTraceEx

EnableTraceEx2

EventRecordCallback

OpenTrace