Type complexe SystemPropertiesType
Définit les informations qui identifient le fournisseur et la façon dont il a été activé, l’événement, le canal sur lequel l’événement a été écrit et les informations système telles que les ID de processus et de thread.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
Éléments enfants
Élément | Type | Description |
---|---|---|
Channel | anyURI | Canal dans lequel l’événement a été journalisé. |
Computer | string | nom de l'ordinateur sur lequel l'événement s'est produit. |
Corrélation | Identificateurs d’activité que les consommateurs peuvent utiliser pour regrouper les événements associés. |
|
Eventid | Identificateur utilisé par le fournisseur pour identifier l’événement. |
|
EventRecordID | Numéro d’enregistrement attribué à l’événement lors de son journalisation. |
|
Exécution | Contient des informations sur le processus et le thread qui ont journalisé l’événement. |
|
Mots clés | HexInt64Type | Masque de bits des mots clés définis dans l’événement. Les mots clés sont utilisés pour classifier les types d’événements (par exemple, les événements associés à la lecture des données). |
Level | unsignedByte | Niveau de gravité défini dans l’événement. |
Opcode | unsignedByte | Opcode défini dans l’événement. La tâche et l’opcode sont utilisés de manière typciale pour identifier l’emplacement dans l’application à partir duquel l’événement a été journalisé. |
Fournisseur | Identifie le fournisseur qui a enregistré l’événement. Les attributs Name et GUID sont inclus si le fournisseur a utilisé un manifeste d’instrumentation pour définir ses événements ; sinon, l’attribut EventSourceName est inclus si un fournisseur d’événements hérité (à l’aide de l’API Journalisation des événements) a enregistré l’événement. |
|
Sécurité | Identifie l’utilisateur qui a enregistré l’événement. |
|
Tâche | unsignedShort | Tâche définie dans l’événement. La tâche et l’opcode sont généralement utilisés pour identifier l’emplacement dans l’application à partir duquel l’événement a été enregistré. |
TimeCreated | Horodatage qui identifie le moment où l’événement a été journalisé. L’horodatage inclut l’attribut SystemTime ou l’attribut RawTime . |
|
Version | unsignedByte | Numéro de version de la définition de l’événement. |
Attributs
Nom | Type | Description |
---|---|---|
ActivityID | GUIDType | Identificateur global unique qui identifie l’activité actuelle. Les événements publiés avec cet identificateur font partie de la même activité. |
EventSourceName | string | Nom de la source d’événement qui a publié l’événement (si la source d’événement provient de l’API de journalisation des événements héritée). |
Guid | GUIDType | Identificateur global unique qui identifie de manière unique le fournisseur. |
KernelTime | unsignedInt | Temps d’exécution écoulé pour les instructions en mode noyau, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez plutôt la valeur dans le membre ProcessorTime. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl). |
Nom | anyURI | Nom du fournisseur. |
ProcessID | unsignedInt | Identifie le processus qui a généré l’événement. |
ProcessorID | unsignedByte | Numéro d’identification du processeur qui a traité l’événement. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl). |
ProcessorTime | unsignedInt | Pour les sessions privées ETW, le temps d’exécution écoulé pour les instructions en mode utilisateur, dans les graduations du processeur. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl). |
Qualificateurs | unsignedShort | Un fournisseur hérité utilise un nombre 32 bits pour identifier ses événements. Si l’événement est journalisé par un fournisseur hérité, la valeur de l’élément EventID contient les 16 bits d’ordre inférieur de l’identificateur d’événement et l’attribut Qualifier contient les 16 bits d’ordre élevé de l’identificateur d’événement. |
RawTime | unsignedLong | Valeur d’horodatage brut ; le format de l’horodatage dépend de la source d’heure utilisée pour collecter la trace. L’horodatage brut offre une précision supérieure à l’heure système. La sortie de l’événement rendu contient uniquement le temps brut si vous utilisez TraceRpt.exe avec le commutateur -rts. |
RelatedActivityID | GUIDType | Identificateur global unique qui identifie l’activité vers laquelle le contrôle a été transféré. Les événements associés ont alors cet identificateur comme identificateur ActivityID. |
SessionID | unsignedInt | Numéro d’identification de la session terminal server dans laquelle l’événement s’est produit. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl). |
SystemTime | dateTime | Heure système de la journalisation de l’événement. |
ThreadID | unsignedInt | Identifie le thread qui a généré l’événement. |
UserID | string | Identificateur de sécurité (SID) de l’utilisateur sous forme de chaîne. |
UserTime | unsignedInt | Temps d’exécution écoulé pour les instructions en mode utilisateur, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez plutôt la valeur dans le membre ProcessorTime. Disponible uniquement pour les événements enregistrés dans un fichier journal de suivi des événements (fichier .etl). |
Notes
Par défaut, l’événement contient le nom de domaine complet (FQDN) d’un ordinateur. Pour utiliser le nom NETBIOS plutôt que le nom de domaine complet, vous devez créer une valeur de Registre DWORD nommée CompatFlags sous la clé de Registre suivante et définir la valeur de CompatFlags sur 0x2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Spécifications
Condition requise | Valeur |
---|---|
Client minimal pris en charge |
Windows Vista [applications de bureau uniquement] |
Serveur minimal pris en charge |
Windows Server 2008 [applications de bureau uniquement] |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour