来自 ETW 输入 (Windows 事件跟踪) 的字段。
此处定义了所有特定于 Windows 事件跟踪的字段。
-
winlog.activity_id -
一个全局唯一标识符,用于标识当前活动。使用此标识符发布的事件属于同一活动。
类型: keyword
必填: False
-
winlog.channel -
用于启用特殊的事件处理。小于 16 的通道值保留供 Microsoft 使用,以便通过 ETW 运行时启用特殊处理。大于等于 16 的通道值将被 ETW 运行时忽略(与通道 0 的处理方式相同),并且可以赋予用户定义的语义。
类型: keyword
必填: False
-
winlog.event_data -
特定于事件的数据。此对象的內容特定于任何提供程序和事件。
类型: object
必填: False
-
winlog.flags -
提供有关事件的信息的标志,例如事件记录到的会话类型以及事件是否包含扩展数据。
类型: keyword
必填: False
-
winlog.keywords -
关键字用于指示事件在事件类别集合中的成员身份。
类型: keyword
必填: False
-
winlog.level -
严重性级别。级别值 0 到 5 由 Microsoft 定义。级别值 6 到 15 保留。级别值 16 到 255 可以由事件提供程序定义。
类型: keyword
必填: False
-
winlog.opcode -
事件中定义的操作码。任务和操作码通常用于标识从应用程序中记录事件的位置。
类型: keyword
必填: False
-
winlog.process_id -
标识生成事件的进程。
类型: keyword
必填: False
-
winlog.provider_guid -
一个全局唯一标识符,用于标识记录事件的提供程序。
类型: keyword
必填: False
-
winlog.provider_name -
事件日志记录的来源(记录该记录的应用程序或服务)。
类型: keyword
必填: False
-
winlog.session -
配置的会话,用于将来自提供程序的 ETW 事件转发到使用者。
类型: keyword
必填: False
-
winlog.severity -
易于理解的严重性级别。
类型: keyword
必填: False
-
winlog.task -
事件中定义的任务。任务和操作码通常用于标识从应用程序中记录事件的位置。
类型: keyword
必填: False
-
winlog.thread_id -
标识生成事件的线程。
类型: keyword
必填: False
-
winlog.version -
指定基于清单的事件的版本。
类型: long
必填: False