SystemPropertiesType 복합 형식
공급자를 식별하는 정보 및 사용 방법, 이벤트, 이벤트가 작성된 채널 및 프로세스 및 스레드 ID와 같은 시스템 정보를 정의합니다.
<xs:complexType name="SystemPropertiesType">
<xs:sequence>
<xs:element name="Provider">
<xs:complexType>
<xs:attribute name="Name"
type="anyURI"
use="optional"
/>
<xs:attribute name="Guid"
type="GUIDType"
use="optional"
/>
<xs:attribute name="EventSourceName"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="EventID">
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedShort"
>
<xs:attribute name="Qualifiers"
type="unsignedShort"
use="optional"
/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Version"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Level"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Task"
type="unsignedShort"
minOccurs="0"
/>
<xs:element name="Opcode"
type="unsignedByte"
minOccurs="0"
/>
<xs:element name="Keywords"
type="HexInt64Type"
minOccurs="0"
/>
<xs:element name="TimeCreated"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="SystemTime"
type="dateTime"
use="optional"
/>
<xs:attribute name="RawTime"
type="unsignedLong"
use="optional"
/>
</xs:complexType>
<xs:key name="uniqueAtt">
<xs:selector
xpath="."
/>
<xs:field
xpath="@SystemTime|@RawTime"
/>
</xs:key>
</xs:element>
<xs:element name="EventRecordID"
minOccurs="0"
>
<xs:complexType>
<xs:simpleContent>
<xs:extension
base="unsignedLong"
/>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Correlation"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ActivityID"
type="GUIDType"
use="optional"
/>
<xs:attribute name="RelatedActivityID"
type="GUIDType"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Execution"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="ProcessID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ThreadID"
type="unsignedInt"
use="required"
/>
<xs:attribute name="ProcessorID"
type="unsignedByte"
use="optional"
/>
<xs:attribute name="SessionID"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="KernelTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="UserTime"
type="unsignedInt"
use="optional"
/>
<xs:attribute name="ProcessorTime"
type="unsignedInt"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:element name="Channel"
type="anyURI"
minOccurs="0"
/>
<xs:element name="Computer"
type="string"
/>
<xs:element name="Security"
minOccurs="0"
>
<xs:complexType>
<xs:attribute name="UserID"
type="string"
use="optional"
/>
</xs:complexType>
</xs:element>
<xs:any
processContents="lax"
minOccurs="0"
maxOccurs="unbounded"
namespace="##other"
/>
</xs:sequence>
<xs:anyAttribute
processContents="lax"
namespace="##other"
/>
</xs:complexType>
자식 요소
요소 | Type | Description |
---|---|---|
채널 | anyURI | 이벤트가 기록된 채널입니다. |
Computer | 문자열 | 이벤트가 발생한 컴퓨터의 이름입니다. |
상관 관계 | 소비자가 관련 이벤트를 그룹화하기 위해 사용할 수 있는 활동 식별자입니다. |
|
Eventid | 공급자가 이벤트를 식별하는 데 사용한 식별자입니다. |
|
EventRecordID | 기록될 때 이벤트에 할당된 레코드 번호입니다. |
|
실행 | 이벤트를 기록한 프로세스 및 스레드에 대한 정보를 포함합니다. |
|
키워드 | HexInt64Type | 이벤트에 정의된 키워드의 비트 마스크입니다. 키워드는 이벤트 유형(예: 데이터 읽기와 관련된 이벤트)을 분류하는 데 사용됩니다. |
Level | unsignedByte | 이벤트에 정의된 심각도 수준입니다. |
Opcode | unsignedByte | 이벤트에 정의된 opcode입니다. 작업 및 opcode는 이벤트가 기록된 위치에서 애플리케이션의 위치를 식별하는 데 형식적으로 사용됩니다. |
공급자 | 이벤트를 기록한 공급자를 식별합니다. 공급자가 계측 매니페스트를 사용하여 이벤트를 정의하는 경우 Name 및 Guid 특성이 포함됩니다. 그렇지 않으면 레거시 이벤트 공급자(이벤트 로깅 API 사용)가 이벤트를 기록하면 EventSourceName 특성이 포함됩니다. |
|
보안 | 이벤트를 기록한 사용자를 식별합니다. |
|
Task | unsignedShort | 이벤트에 정의된 작업입니다. 작업 및 opcode는 일반적으로 이벤트가 기록된 애플리케이션의 위치를 식별하는 데 사용됩니다. |
TimeCreated | 이벤트가 기록된 시기를 식별하는 타임스탬프를 반환합니다. 타임스탬프는 SystemTime 특성 또는 RawTime 특성을 포함합니다. |
|
버전 | unsignedByte | 이벤트 정의의 버전 번호입니다. |
특성
이름 | 형식 | Description |
---|---|---|
ActivityID | GUIDType | 현재 활동을 식별하는 전역적으로 고유한 식별자입니다. 이 식별자와 함께 게시되는 이벤트는 동일한 작업의 일부입니다. |
EventSourceName | 문자열 | 이벤트를 게시한 이벤트 원본의 이름입니다(이벤트 원본이 레거시 이벤트 로깅 API에서 온 경우). |
Guid | GUIDType | 공급자를 고유하게 식별하는 전역적으로 고유한 식별자입니다. |
KernelTime | unsignedInt | 커널 모드 명령의 실행 시간이 CPU 시간 단위로 경과되었습니다. ETW 프라이빗 세션을 사용하는 경우 ProcessorTime 멤버의 값을 대신 사용합니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다. |
속성 | anyURI | 공급자의 이름입니다. |
ProcessID | unsignedInt | 이벤트를 생성한 프로세스를 식별합니다. |
ProcessorID | unsignedByte | 이벤트를 처리한 프로세서의 ID 번호입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다. |
ProcessorTime | unsignedInt | ETW 프라이빗 세션의 경우 CPU 틱에서 사용자 모드 지침에 대한 경과된 실행 시간입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다. |
한정자 | unsignedShort | 레거시 공급자는 32비트 숫자를 사용하여 이벤트를 식별합니다. 이벤트가 레거시 공급자에 의해 기록되는 경우 EventID 요소의 값은 이벤트 식별자의 하위 16비트 및 한정자 특성에 이벤트 식별자의 상위 16비트 가 포함됩니다. |
RawTime | unsignedLong | 원시 타임스탬프를 반환합니다. 타임스탬프는 추적을 수집하는 데 사용되는 시간 원본에 따라 달라집니다. 원시 타임스탬프는 시스템 시간보다 높은 정밀도를 제공합니다. 렌더링된 이벤트 출력은 -rts 스위치와 함께 TraceRpt.exe 사용하는 경우에만 원시 시간을 포함합니다. |
RelatedActivityID | GUIDType | 컨트롤이 전송된 활동을 식별하는 전역적으로 고유한 식별자입니다. 그런 다음 관련 이벤트에는 이 식별자가 해당 ActivityID 식별자로 사용됩니다. |
SessionID | unsignedInt | 이벤트가 발생한 터미널 서버 세션의 ID 번호입니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다. |
SystemTime | dateTime | 이벤트가 기록된 시간 시스템 시간입니다. |
ThreadID | unsignedInt | 이벤트를 생성한 스레드를 식별합니다. |
UserID | 문자열 | 문자열 형식의 사용자의 SID(보안 식별자)입니다. |
UserTime | unsignedInt | CPU 시간 단위의 사용자 모드 지침에 대한 실행 시간이 경과되었습니다. ETW 프라이빗 세션을 사용하는 경우 ProcessorTime 멤버의 값을 대신 사용합니다. 이벤트 추적 로그 파일(.etl 파일)에 기록된 이벤트에만 사용할 수 있습니다. |
설명
기본적으로 이벤트에는 컴퓨터의 FQDN(정규화된 도메인 이름)이 포함됩니다. FQDN이 아닌 NETBIOS 이름을 사용하려면 다음 레지스트리 키 아래에 CompatFlags라는 DWORD 레지스트리 값을 만들고 CompatFlags 값을 0x2 설정해야 합니다.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
WINEVT
요구 사항
요구 사항 | 값 |
---|---|
지원되는 최소 클라이언트 |
Windows Vista [데스크톱 앱만 해당] |
지원되는 최소 서버 |
Windows Server 2008 [데스크톱 앱만 해당] |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기