来自 ETW 输入(Windows 事件跟踪)的字段。
所有特定于 Windows 事件跟踪的字段都在这里定义。
-
winlog.activity_id
-
一个全局唯一标识符,用于标识当前活动。 使用此标识符发布的事件属于同一活动。
类型: keyword
必需: 否
-
winlog.channel
-
用于启用特殊的事件处理。 小于 16 的通道值保留供 Microsoft 使用,以便 ETW 运行时进行特殊处理。 ETW 运行时将忽略 16 及以上的通道值(与通道 0 的处理方式相同),并且可以赋予用户定义的语义。
类型: keyword
必需: 否
-
winlog.event_data
-
事件特定的数据。此对象的内容特定于任何提供程序和事件。
类型: object
必需: 否
-
winlog.flags
-
提供有关事件信息的标志,例如事件记录到的会话类型以及事件是否包含扩展数据。
类型: keyword
必需: 否
-
winlog.keywords
-
关键字用于指示事件在事件类别集中的成员资格。
类型: keyword
必需: 否
-
winlog.level
-
严重性级别。Microsoft 定义了 0 到 5 的级别值。保留 6 到 15 的级别值。事件提供程序可以定义 16 到 255 的级别值。
类型: keyword
必需: 否
-
winlog.opcode
-
事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。
类型: keyword
必需: 否
-
winlog.process_id
-
标识生成事件的进程。
类型: keyword
必需: 否
-
winlog.provider_guid
-
一个全局唯一标识符,用于标识记录事件的提供程序。
类型: keyword
必需: 否
-
winlog.provider_name
-
事件日志记录的来源(记录记录的应用程序或服务)。
类型: keyword
必需: 否
-
winlog.session
-
配置的会话,用于将 ETW 事件从提供程序转发到使用者。
类型: keyword
必需: 否
-
winlog.severity
-
人类可读的严重性级别。
类型: keyword
必需: 否
-
winlog.task
-
事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。
类型: keyword
必需: 否
-
winlog.thread_id
-
标识生成事件的线程。
类型: keyword
必需: 否
-
winlog.version
-
指定基于清单的事件的版本。
类型: long
必需: 否