Définit les informations qui identifient le fournisseur et comment il a été activé, l’événement, le canal vers lequel l’événement a été écrit et les informations système telles que les ID de processus et de thread.
Masque de masque des mots clés définis dans l’événement. Les mots clés sont utilisés pour classer les types d’événements (par exemple, les événements associés à la lecture de données).
Opcode défini dans l’événement. Task et opcode sont des typcially utilisés pour identifier l’emplacement dans l’application à partir duquel l’événement a été enregistré.
Identifie le fournisseur qui a consigné l’événement. Les attributs Name et GUID sont inclus si le fournisseur a utilisé un manifeste d’instrumentation pour définir ses événements. dans le cas contraire, l’attribut EventSourceName est inclus si un fournisseur d’événements hérité (à l’aide de l’API de journalisation des événements ) a enregistré l’événement.
Tâche définie dans l’événement. La tâche et l’opcode sont généralement utilisés pour identifier l’emplacement dans l’application à partir duquel l’événement a été enregistré.
Identificateur global unique qui identifie l’activité en cours. Les événements qui sont publiés avec cet identificateur font partie de la même activité.
EventSourceName
string
Nom de la source d’événements qui a publié l’événement (si la source de l’événement provient de l’API de journalisation des événements héritée).
Identificateur global unique qui identifie le fournisseur de manière unique.
KernelTime
unsignedInt
Durée d’exécution écoulée pour les instructions en mode noyau, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez la valeur du membre ProcessorTime à la place. Disponible uniquement pour les événements consignés dans un fichier journal de suivi d’événements (fichier. ETL).
Nom
anyURI
Nom du fournisseur.
ProcessID
unsignedInt
Identifie le processus qui a généré l’événement.
ProcessorID
unsignedByte
Numéro d’identification du processeur qui a traité l’événement. Disponible uniquement pour les événements consignés dans un fichier journal de suivi d’événements (fichier. ETL).
ProcessorTime
unsignedInt
Pour les sessions privées ETW, le temps d’exécution écoulé pour les instructions en mode utilisateur, en graduations de l’UC. Disponible uniquement pour les événements consignés dans un fichier journal de suivi d’événements (fichier. ETL).
Qualificateurs
unsignedShort
Un fournisseur hérité utilise un nombre 32 bits pour identifier ses événements. Si l’événement est enregistré par un fournisseur hérité, la valeur de l’élément eventID contient les 16 bits de poids faible de l’identificateur d’événement et l’attribut de qualificateur contient les 16 bits de poids fort de l’identificateur d’événement.
RawTime
unsignedLong
Valeur d’horodatage brute ; le format de l’horodatage dépend de la source de temps utilisée pour collecter la trace. L’horodatage brut offre une plus grande précision que l’heure système. La sortie de l’événement rendu ne contiendra que du temps brut si vous utilisez TraceRpt.exe avec le commutateur-RTS.
Identificateur global unique qui identifie l’activité à laquelle le contrôle a été transféré. Les événements connexes ont alors cet identificateur comme identificateur ActivityID.
SessionID
unsignedInt
Numéro d’identification de la session Terminal Server dans laquelle l’événement s’est produit. Disponible uniquement pour les événements consignés dans un fichier journal de suivi d’événements (fichier. ETL).
SystemTime
dateTime
Heure système de la journalisation de l’événement.
ThreadID
unsignedInt
Identifie le thread qui a généré l’événement.
UserID
string
Identificateur de sécurité (SID) de l’utilisateur sous forme de chaîne.
UserTime
unsignedInt
Durée d’exécution écoulée pour les instructions en mode utilisateur, en unités de temps processeur. Si vous utilisez une session privée ETW, utilisez la valeur du membre ProcessorTime à la place. Disponible uniquement pour les événements consignés dans un fichier journal de suivi d’événements (fichier. ETL).
Remarques
Par défaut, l’événement contient le nom de domaine complet (FQDN) d’un ordinateur. Pour utiliser le nom NETBIOS plutôt que le nom de domaine complet (FQDN), vous devez créer une valeur de Registre DWORD nommée CompatFlags sous la clé de Registre suivante et définir la valeur de CompatFlags sur 0X2.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
Configuration requise
Condition requise
Valeur
Client minimal pris en charge
Windows [Applications de bureau Vista uniquement]
Serveur minimal pris en charge
Windows Serveur 2008 [ applications de bureau uniquement]