Tipo complejo SystemPropertiesType
Define la información que identifica al proveedor y cómo se ha habilitado, el evento, el canal al que se escribió el evento y la información del sistema, como el proceso y los identificadores de subproceso.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
Elementos secundarios
| Elemento | Tipo | Descripción |
|---|---|---|
| Channel | anyURI | Canal al que se registró el evento. |
| Computer | string | nombre del equipo en el que se produjo el evento. |
| Correlación | Identificadores de actividad que los consumidores pueden usar para agrupar eventos relacionados. |
|
| Eventid | Identificador que el proveedor usó para identificar el evento. |
|
| EventRecordID | Número de registro asignado al evento cuando se registró. |
|
| Ejecución | Contiene información sobre el proceso y el subproceso que registró el evento. |
|
| Palabras clave | HexInt64Type | Máscara de bits de las palabras clave definidas en el evento. Las palabras clave se usan para clasificar tipos de eventos (por ejemplo, eventos asociados a la lectura de datos). |
| Nivel | unsignedByte | Nivel de gravedad definido en el evento. |
| Código de operación | unsignedByte | Código de operación definido en el evento. La tarea y el código de operación se usan de forma tipocial para identificar la ubicación en la aplicación desde donde se registró el evento. |
| Proveedor | Identifica el proveedor que registró el evento. Los atributos Name y Guid se incluyen si el proveedor usó un manifiesto de instrumentación para definir sus eventos; De lo contrario, el atributo EventSourceName se incluye si un proveedor de eventos heredado (mediante la API de registro de eventos) registró el evento. |
|
| Seguridad | Identifica al usuario que registró el evento. |
|
| Tarea | unsignedShort | Tarea definida en el evento . La tarea y el código de operación se suelen usar para identificar la ubicación de la aplicación desde donde se registró el evento. |
| TimeCreated | Marca de tiempo que identifica cuándo se registró el evento. La marca de tiempo incluirá el atributo SystemTime o el atributo RawTime . |
|
| Versión | unsignedByte | Número de versión de la definición del evento. |
Atributos
| Nombre | Tipo | Descripción |
|---|---|---|
| Identificador de actividad | GUIDType | Identificador único global que identifica la actividad actual. Los eventos publicados con este identificador forman parte de la misma actividad. |
| EventSourceName | string | Nombre del origen del evento que publicó el evento (si el origen del evento procede de la API de registro de eventos heredada). |
| Guid | GUIDType | Identificador único global que identifica de forma única el proveedor. |
| KernelTime | unsignedInt | Tiempo de ejecución transcurrido para las instrucciones en modo kernel, en unidades de tiempo de CPU. Si usa una sesión privada de ETW, use el valor en el miembro ProcessorTime en su lugar. Solo está disponible para los eventos registrados en un archivo de registro de seguimiento de eventos (archivo .etl). |
| Nombre | anyURI | Nombre del proveedor. |
| ProcessID | unsignedInt | Identifica el proceso que ha generado el evento. |
| ProcessorID | unsignedByte | Número de identificación del procesador que procesó el evento. Solo está disponible para los eventos registrados en un archivo de registro de seguimiento de eventos (archivo .etl). |
| ProcessorTime | unsignedInt | En el caso de las sesiones privadas de ETW, el tiempo de ejecución transcurrido para las instrucciones del modo de usuario, en tics de CPU. Solo está disponible para los eventos registrados en un archivo de registro de seguimiento de eventos (archivo .etl). |
| Calificadores | unsignedShort | Un proveedor heredado usa un número de 32 bits para identificar sus eventos. Si un proveedor heredado registra el evento, el valor del elemento EventID contiene los 16 bits de orden bajo del identificador de evento y el atributo Calificador contiene los 16 bits de orden superior del identificador de evento. |
| RawTime | unsignedLong | Valor de marca de tiempo sin procesar; El formato de la marca de tiempo depende del origen de hora usado para recopilar el seguimiento. La marca de tiempo sin procesar ofrece mayor precisión que la hora del sistema. La salida del evento representado solo contendrá tiempo sin procesar si usa TraceRpt.exe con el modificador -rts. |
| RelatedActivityID | GUIDType | Identificador único global al que se identifica la actividad a la que se transfirió el control. A continuación, los eventos relacionados tendrían este identificador como su identificador ActivityID. |
| SessionID | unsignedInt | Número de identificación de la sesión de Terminal Server en la que ocurrió el evento. Solo está disponible para los eventos registrados en un archivo de registro de seguimiento de eventos (archivo .etl). |
| SystemTime | dateTime | Hora del sistema de cuándo se registró el evento. |
| ThreadID | unsignedInt | Identifica el subproceso que ha generado el evento. |
| UserID | string | Identificador de seguridad (SID) del usuario en forma de cadena. |
| UserTime | unsignedInt | Tiempo de ejecución transcurrido para las instrucciones en modo de usuario, en unidades de tiempo de CPU. Si usa una sesión privada de ETW, use el valor en el miembro ProcessorTime en su lugar. Solo está disponible para los eventos registrados en un archivo de registro de seguimiento de eventos (archivo .etl). |
Comentarios
De forma predeterminada, el evento contiene el nombre de dominio completo (FQDN) de un equipo. Para usar el nombre NETBIOS en lugar del FQDN, debe crear un valor del Registro DWORD denominado CompatFlags en la siguiente clave del Registro y establecer el valor de CompatFlags en 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible |
Windows Vista [solo aplicaciones de escritorio] |
| Servidor mínimo compatible |
Windows Server 2008 [solo aplicaciones de escritorio] |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de