SystemPropertiesType Complex Type

  • Artikel

Definiert die Informationen, die den Anbieter und dessen Aktivierung identifizieren, das Ereignis, den Kanal, in den das Ereignis geschrieben wurde, sowie Systeminformationen wie prozess- und thread-IDs.

<xs:complexType name="SystemPropertiesType">
    <xs:sequence>
        <xs:element name="Provider">
            <xs:complexType>
                <xs:attribute name="Name"
                    type="anyURI"
                    use="optional"
                 />
                <xs:attribute name="Guid"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="EventSourceName"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="EventID">
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedShort"
                    >
                        <xs:attribute name="Qualifiers"
                            type="unsignedShort"
                            use="optional"
                         />
                    </xs:extension>
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Version"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Level"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Task"
            type="unsignedShort"
            minOccurs="0"
         />
        <xs:element name="Opcode"
            type="unsignedByte"
            minOccurs="0"
         />
        <xs:element name="Keywords"
            type="HexInt64Type"
            minOccurs="0"
         />
        <xs:element name="TimeCreated"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="SystemTime"
                    type="dateTime"
                    use="optional"
                 />
                <xs:attribute name="RawTime"
                    type="unsignedLong"
                    use="optional"
                 />
            </xs:complexType>
            <xs:key name="uniqueAtt">
                <xs:selector
                    xpath="."
                 />
                <xs:field
                    xpath="@SystemTime|@RawTime"
                 />
            </xs:key>
        </xs:element>
        <xs:element name="EventRecordID"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:simpleContent>
                    <xs:extension
                        base="unsignedLong"
                     />
                </xs:simpleContent>
            </xs:complexType>
        </xs:element>
        <xs:element name="Correlation"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ActivityID"
                    type="GUIDType"
                    use="optional"
                 />
                <xs:attribute name="RelatedActivityID"
                    type="GUIDType"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Execution"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="ProcessID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ThreadID"
                    type="unsignedInt"
                    use="required"
                 />
                <xs:attribute name="ProcessorID"
                    type="unsignedByte"
                    use="optional"
                 />
                <xs:attribute name="SessionID"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="KernelTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="UserTime"
                    type="unsignedInt"
                    use="optional"
                 />
                <xs:attribute name="ProcessorTime"
                    type="unsignedInt"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:element name="Channel"
            type="anyURI"
            minOccurs="0"
         />
        <xs:element name="Computer"
            type="string"
         />
        <xs:element name="Security"
            minOccurs="0"
        >
            <xs:complexType>
                <xs:attribute name="UserID"
                    type="string"
                    use="optional"
                 />
            </xs:complexType>
        </xs:element>
        <xs:any
            processContents="lax"
            minOccurs="0"
            maxOccurs="unbounded"
            namespace="##other"
         />
    </xs:sequence>
    <xs:anyAttribute
        processContents="lax"
        namespace="##other"
     />
</xs:complexType>

Untergeordnete Elemente

Element type BESCHREIBUNG
Channel anyURI Der Kanal, in dem das Ereignis protokolliert wurde.
Computer Zeichenfolge Der Name des Computers, auf dem das Ereignis aufgetreten ist.
Correlation Die Aktivitätsbezeichner, die Consumer verwenden können, um verwandte Ereignisse zusammenzu gruppieren.
Eventid Der Bezeichner, den der Anbieter zum Identifizieren des Ereignisses verwendet hat.
EventRecordID Die Datensatznummer, die dem Ereignis bei der Protokollierung zugewiesen wurde.
Ausführung Enthält Informationen zum Prozess und Thread, der das Ereignis protokolliert hat.
Keywords HexInt64Type Eine Bitmaske der im Ereignis definierten Schlüsselwörter. Schlüsselwörter werden verwendet, um Ereignistypen zu klassifizieren (z. B. Ereignisse, die dem Lesen von Daten zugeordnet sind).
Ebene unsignedByte Der im Ereignis definierte Schweregrad.
Opcode unsignedByte Der im Ereignis definierte Opcode. Task und opcode werden üblicherweise verwendet, um den Speicherort in der Anwendung zu identifizieren, von dem aus das Ereignis protokolliert wurde.
Anbieter Gibt den Anbieter an, der das Ereignis protokolliert hat. Die Attribute Name und GUID sind enthalten, wenn der Anbieter ein Instrumentierungsmanifest verwendet hat, um seine Ereignisse zu definieren. Andernfalls ist das EventSourceName-Attribut enthalten, wenn ein Legacyereignisanbieter (mithilfe der Ereignisprotokollierungs-API ) das Ereignis protokolliert hat.
Security Gibt den Benutzer an, der das Ereignis protokolliert hat.
Aufgabe unsignedShort Die im Ereignis definierte Aufgabe. Task und Opcode werden in der Regel verwendet, um den Speicherort in der Anwendung zu identifizieren, von dem aus das Ereignis protokolliert wurde.
TimeCreated Der Zeitstempel, der angibt, wann das Ereignis protokolliert wurde. Der Zeitstempel enthält entweder das SystemTime-Attribut oder das RawTime-Attribut .
Version unsignedByte Die Versionsnummer der Ereignisdefinition.

Attributes

Name type BESCHREIBUNG
Aktivitäts-ID GUIDType Ein global eindeutiger Bezeichner, der die aktuelle Aktivität identifiziert. Die Ereignisse, die mit diesem Bezeichner veröffentlicht werden, sind Teil derselben Aktivität.
EventSourceName Zeichenfolge Der Name der Ereignisquelle, die das Ereignis veröffentlicht hat (wenn die Ereignisquelle aus der Legacy-Ereignisprotokollierungs-API stammt).
GUID GUIDType Der global eindeutige Bezeichner, der den Anbieter eindeutig identifiziert.
KernelTime unsignedInt Verstrichene Ausführungszeit für Kernelmodusanweisungen in CPU-Zeiteinheiten. Wenn Sie eine private ETW-Sitzung verwenden, verwenden Sie stattdessen den Wert im ProcessorTime-Member. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden.
Name anyURI Der Name des Anbieters.
ProcessID unsignedInt Gibt den Prozess an, der das Ereignis generiert hat
Prozessor-ID unsignedByte Die Identifikationsnummer für den Prozessor, der das Ereignis verarbeitet hat. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden.
ProcessorTime unsignedInt Bei privaten ETW-Sitzungen die verstrichene Ausführungszeit für Benutzermodusanweisungen in CPU-Ticks. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden.
Qualifizierer unsignedShort Ein Legacyanbieter verwendet eine 32-Bit-Nummer, um seine Ereignisse zu identifizieren. Wenn das Ereignis von einem Legacyanbieter protokolliert wird, enthält der Wert des EventID-Elements die 16 Bit des Ereignisbezeichners in niedriger Reihenfolge, und das Qualifier-Attribut enthält die hochgeordneten 16 Bits des Ereignisbezeichners.
RawTime unsignedLong Der unformatierte Zeitstempelwert; das Format des Zeitstempels hängt von der Zeitquelle ab, die zum Erfassen der Ablaufverfolgung verwendet wird. Der rohe Zeitstempel bietet eine höhere Genauigkeit als die Systemzeit. Die gerenderte Ereignisausgabe enthält nur unformatierte Zeit, wenn Sie TraceRpt.exe mit dem Schalter -rts verwenden.
RelatedActivityID GUIDType Ein global eindeutiger Bezeichner, der die Aktivität identifiziert, an die das Steuerelement übertragen wurde. Die zugehörigen Ereignisse hätten dann diesen Bezeichner als ActivityID-Bezeichner.
SessionID unsignedInt Die Identifikationsnummer für die Terminalserversitzung, in der das Ereignis aufgetreten ist. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden.
SystemTime dateTime Der Systemzeitpunkt, zu dem das Ereignis protokolliert wurde.
ThreadID unsignedInt Gibt den Thread an, der das Ereignis generiert hat
UserID Zeichenfolge Der Sicherheitsbezeichner (SID) des Benutzers in Zeichenfolgenform.
UserTime unsignedInt Verstrichene Ausführungszeit für Benutzermodusanweisungen in CPU-Zeiteinheiten. Wenn Sie eine private ETW-Sitzung verwenden, verwenden Sie stattdessen den Wert im ProcessorTime-Member. Nur für Ereignisse verfügbar, die in einer Ereignisablaufverfolgungsprotokolldatei (ETL-Datei) protokolliert werden.

Bemerkungen

Standardmäßig enthält das Ereignis den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines Computers. Um den NETBIOS-Namen anstelle des FQDN zu verwenden, müssen Sie unter dem folgenden Registrierungsschlüssel einen DWORD-Registrierungswert namens CompatFlags erstellen und den Wert von CompatFlags auf 0x2 festlegen.

HKEY_LOCAL_MACHINE
   SOFTWARE
      Microsoft
         Windows
            CurrentVersion
               WINEVT

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2008 [nur Desktop-Apps]