Definisce le informazioni che identificano il provider e la modalità di abilitazione, l'evento, il canale in cui è stato scritto l'evento e le informazioni di sistema, ad esempio gli ID processo e thread.
Maschera di bit delle parole chiave definite nell'evento. Le parole chiave vengono usate per classificare i tipi di eventi, ad esempio gli eventi associati alla lettura dei dati.
Codice operativo definito nell'evento. L'attività e il codice operativo vengono usati in modo tipografico per identificare la posizione nell'applicazione da cui è stato registrato l'evento.
Identifica il provider che ha registrato l'evento. Gli attributi Name e Guid vengono inclusi se il provider ha usato un manifesto di strumentazione per definirne gli eventi; in caso contrario, l'attributo EventSourceName viene incluso se un provider di eventi legacy (usando l'API registrazione eventi) ha registrato l'evento.
Attività definita nell'evento. L'attività e il codice operativo vengono in genere usati per identificare la posizione nell'applicazione da cui è stato registrato l'evento.
Identificatore univoco globale che identifica in modo univoco il provider.
KernelTime
unsignedInt
Tempo di esecuzione trascorso per le istruzioni in modalità kernel, in unità di tempo CPU. Se si usa una sessione privata ETW, usare invece il valore nel membro ProcessorTime. Disponibile solo per gli eventi registrati in un file di log di traccia eventi (file con estensione etl).
Nome
anyURI
Nome del provider.
ProcessID
unsignedInt
Identifica il processo che ha generato l'evento.
ProcessorID
unsignedByte
Numero di identificazione per il processore che ha elaborato l'evento. Disponibile solo per gli eventi registrati in un file di log di traccia eventi (file con estensione etl).
ProcessorTime
unsignedInt
Per le sessioni private ETW, il tempo di esecuzione trascorso per le istruzioni in modalità utente, nei tick della CPU. Disponibile solo per gli eventi registrati in un file di log di traccia eventi (file con estensione etl).
Qualificatori
unsignedShort
Un provider legacy usa un numero a 32 bit per identificarne gli eventi. Se l'evento viene registrato da un provider legacy, il valore dell'elemento EventID contiene i 16 bit di ordine basso dell'identificatore di evento e l'attributo Qualifier contiene i 16 bit dell'identificatore di evento di ordine elevato.
RawTime
unsignedLong
Valore timestamp non elaborato; il formato del timestamp dipende dall'origine dell'ora usata per raccogliere la traccia. Il timestamp non elaborato offre una precisione maggiore rispetto all'ora di sistema. L'output dell'evento di cui è stato eseguito il rendering conterrà solo tempo non elaborato se si usa TraceRpt.exe con l'opzione -rts.
Identificatore univoco globale che identifica l'attività a cui è stato trasferito il controllo. Gli eventi correlati avrebbero quindi questo identificatore come identificatore ActivityID.
SessionID
unsignedInt
Numero di identificazione per la sessione del server terminal in cui si è verificato l'evento. Disponibile solo per gli eventi registrati in un file di log di traccia eventi (file con estensione etl).
SystemTime
dateTime
Ora di sistema di quando l'evento è stato registrato.
ThreadID
unsignedInt
Identifica il thread che ha generato l'evento.
UserID
string
Identificatore di sicurezza (SID) dell'utente in formato stringa.
Tempi
unsignedInt
Tempo di esecuzione trascorso per le istruzioni in modalità utente, nelle unità di tempo della CPU. Se si usa una sessione privata ETW, usare invece il valore nel membro ProcessorTime. Disponibile solo per gli eventi registrati in un file di log di traccia eventi (file con estensione etl).
Commenti
Per impostazione predefinita, l'evento contiene il nome di dominio completo (FQDN) di un computer. Per usare il nome NETBIOS anziché il nome FQDN, è necessario creare un valore del Registro di sistema DWORD denominato CompatFlags nella chiave del Registro di sistema seguente e impostare il valore di CompatFlags su 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT