下表列出常见的事件属性。有关事件属性和基本 XML 架构的详细信息,请联机参阅 Windows 事件日志软件开发工具包 (SDK) 中的
| 属性名 | 描述 |
|---|---|
|
源 |
记录事件的软件,可以是程序名(如“SQL Server”),也可以是系统或大型程序的组件(如驱动程序名)。例如,“Elnkii”表示 EtherLink II 驱动程序。 |
|
事件 ID |
标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如,6005 是在启动事件日志服务时所发生事件的 ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件 ID 和来源来解决系统问题。 |
|
级别 |
事件严重性的分类。以下事件严重性级别可能出现在系统和应用程序日志中:
以下事件严重性级别可能出现在安全日志中:
在事件查看器的正常列表视图中,这些分类都由符号表示。 |
|
用户 |
事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的,则此名称为客户端 ID;如果没有发生模仿的情况,则为主 ID。如果适用,安全日志项同时包含主 ID 和模仿 ID。当服务器允许一个进程采用另一个进程的安全属性时就会发生模拟的情况。 |
|
操作代码 |
包含标识活动或应用程序引起事件时正在执行的活动中的点的数字值。例如,初始化或关闭。 |
|
日志 |
已记录事件的日志的名称。 |
|
任务类别 |
用于表示事件发布者的子组件或活动。 |
|
关键字 |
可用于筛选或搜索事件的一组类别或标记。示例包括“网络”、“安全”或“未找到资源”。 |
|
计算机 |
发生事件的计算机的名称。该计算机名称通常为本地计算机的名称,但是它可能是已转发事件的计算机的名称,或者可能是名称更改之前的本地计算机的名称。 |
|
日期和时间 |
记录事件的日期和时间。 |
下表列出了将列添加到事件查看器显示器后可以显示的属性。有关将列添加到该显示器中的详细信息,请参阅显示或隐藏事件属性。
| 属性名 | 描述 |
|---|---|
|
进程 ID |
生成事件的进程的标识号。 |
|
线程 ID |
生成事件的线程的标识号。 |
|
处理器 ID |
处理事件的处理器的标识号。 |
|
会话 ID |
发生事件的终端服务器会话的标识号。 |
|
内核时间 |
内核模式指导的已用执行时间(采用 CPU 时间单位)。 |
|
用户时间 |
用户模式指导的已用执行时间(采用 CPU 时间单位)。 |
|
处理器时间 |
用户模式指导的已用执行时间(采用 CPU 标记)。 |
|
相关性 ID |
标识进程中涉及事件的活动。此标识符用于指定事件之间的简单关系。 |
|
相对相关性 ID |
标识进程中涉及事件的相关活动。 |