Process_TypeGroup1-Klasse
Diese Klasse ist die Ereignistypklasse für Prozessereignisse.
Die folgende Syntax wird durch einen MOF-Code vereinfacht.
Syntax
[EventType{1, 2, 3, 4, 39}, EventTypeName{"Start", "End", "DCStart", "DCEnd", "Defunct"}]
class Process_TypeGroup1 : Process
{
uint32 UniqueProcessKey;
uint32 ProcessId;
uint32 ParentId;
uint32 SessionId;
sint32 ExitStatus;
uint32 DirectoryTableBase;
object UserSID;
string ImageFileName;
string CommandLine;
};
Member
Die Process_TypeGroup1-Klasse verfügt über die folgenden Membertypen:
Eigenschaften
Die Process_TypeGroup1-Klasse verfügt über diese Eigenschaften.
-
CommandLine
-
-
Datentyp: Zeichenfolge
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(9), StringTermination("NullTerminated"), Format("w")
Vollständige Befehlszeile des Prozesses.
-
-
DirectoryTableBase
-
-
Datentyp: uint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(6), Zeiger
Die physische Adresse der Seitentabelle des Prozesses.
-
-
ExitStatus
-
-
Datentyp: sint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(5)
Beenden Sie status des beendeten Prozesses.
-
-
ImageFileName
-
-
Datentyp: Zeichenfolge
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(8), StringTermination("NullTerminated")
Pfad zur ausführbaren Datei des Prozesses.
-
-
ParentId
-
-
Datentyp: uint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(3), Format("x")
Eindeutiger Bezeichner des Prozesses, der diesen Prozess erstellt. Prozessbezeichnernummern werden wiederverwendet, sodass sie nur einen Prozess für die Lebensdauer dieses Prozesses identifizieren. Es ist möglich, dass der durch ParentProcessId identifizierte Prozess beendet wird, sodass ParentProcessId möglicherweise nicht auf einen ausgeführten Prozess verweist. Es ist auch möglich, dass ParentProcessId fälschlicherweise auf einen Prozess verweist, der einen Prozessbezeichner wiederverwendet.
-
-
ProcessId
-
-
Datentyp: uint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(2), Format("x")
Globaler Prozessbezeichner, den Sie verwenden können, um einen Prozess zu identifizieren. Der Wert ist gültig, ab dem Zeitpunkt, zu dem ein Prozess erstellt wird, bis er beendet wird.
-
-
SessionID
-
-
Datentyp: uint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(4)
Eindeutiger Bezeichner, den ein Betriebssystem generiert, wenn es eine neue Sitzung erstellt. Eine Sitzung erstreckt sich über einen Zeitraum von der Anmeldung bis zur Abmeldung von einem bestimmten System.
-
-
UniqueProcessKey
-
-
Datentyp: uint32
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(1), Zeiger
Die Adresse des Prozessobjekts im Kernel.
-
-
UserSID
-
-
Datentyp: Objekt
-
Zugriffstyp: Schreibgeschützt
-
Qualifizierer: WmiDataId(7), Extension("Sid")
Sicherheits-ID (SID) für den Benutzerkontext, unter dem das Ereignis auftritt.
-
Bemerkungen
Die DCStart- und DCEnd-Ereignistypen führen den derzeit ausgeführten Prozess auf, einschließlich Leerlauf und Systemprozess, zu dem zeitpunkt, zu dem die Kernelsitzung gestartet bzw. endet.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows 2000 Professional [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) |
Windows 2000 Server [nur Desktop-Apps] |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für