Windows：EventLog.xml 文件中的事件 ID 在哪里？

Question

EventLog.xml 文件中的事件 ID 在哪里？

<xs:element name="EventID">
    <xs:complexType>
        <xs:simpleContent>
            <xs:extension
                base="unsignedInt"
             />
        </xs:simpleContent>
    </xs:complexType>
</xs:element>

EventID 元素由以下项定义：系统属性类型复杂类型。

来源EventID（SystemPropertiesType）元素 - Win32 应用 | Microsoft Docs

我实际上可以查看命名空间/模式吗？

Windows SDK 在 \Include\Event.xsd 文件中包括该架构。

来源事件架构 - Win32 应用 | Microsoft Docs

示例：从保存为 XML 的系统事件日志中提取

操作 > 将所有事件另存为 > 保存为类型：XML

<Events>
  <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      <Provider Name="Microsoft-Windows-Kernel-General" Guid="{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}"/>
      <EventID>1</EventID>
      <Version>0</Version>
      <Level>4</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8000000000000010</Keywords>
      <TimeCreated SystemTime="2019-12-31T13:49:36.485000000Z"/>
      <EventRecordID>265046</EventRecordID>
      <Correlation/>
      <Execution ProcessID="2180" ThreadID="2196"/>
      <Channel>System</Channel>
      <Computer>Hal</Computer>
      <Security UserID="S-1-5-21-1699878757-1063190524-3119395976-1001"/>
    </System>
    <EventData>
      <Data Name="NewTime">2019-12-31T13:49:36.485000000Z</Data>
      <Data Name="OldTime">2019-12-31T13:49:36.372437200Z</Data>
    </EventData>
  </Event>

搜索文件：

F:\test>find "EventID" SystemEvents.xml | more
---------- SYSTEMEVENTS.XML
      <EventID>1</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7042</EventID>
      <EventID Qualifiers="32768">6013</EventID>
...

Answer 1

EventLog.xml 文件中的事件 ID 在哪里？

<xs:element name="EventID">
    <xs:complexType>
        <xs:simpleContent>
            <xs:extension
                base="unsignedInt"
             />
        </xs:simpleContent>
    </xs:complexType>
</xs:element>

EventID 元素由以下项定义：系统属性类型复杂类型。

来源EventID（SystemPropertiesType）元素 - Win32 应用 | Microsoft Docs

我实际上可以查看命名空间/模式吗？

Windows SDK 在 \Include\Event.xsd 文件中包括该架构。

来源事件架构 - Win32 应用 | Microsoft Docs

示例：从保存为 XML 的系统事件日志中提取

操作 > 将所有事件另存为 > 保存为类型：XML

<Events>
  <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      <Provider Name="Microsoft-Windows-Kernel-General" Guid="{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}"/>
      <EventID>1</EventID>
      <Version>0</Version>
      <Level>4</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8000000000000010</Keywords>
      <TimeCreated SystemTime="2019-12-31T13:49:36.485000000Z"/>
      <EventRecordID>265046</EventRecordID>
      <Correlation/>
      <Execution ProcessID="2180" ThreadID="2196"/>
      <Channel>System</Channel>
      <Computer>Hal</Computer>
      <Security UserID="S-1-5-21-1699878757-1063190524-3119395976-1001"/>
    </System>
    <EventData>
      <Data Name="NewTime">2019-12-31T13:49:36.485000000Z</Data>
      <Data Name="OldTime">2019-12-31T13:49:36.372437200Z</Data>
    </EventData>
  </Event>

搜索文件：

F:\test>find "EventID" SystemEvents.xml | more
---------- SYSTEMEVENTS.XML
      <EventID>1</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7036</EventID>
      <EventID Qualifiers="16384">7042</EventID>
      <EventID Qualifiers="32768">6013</EventID>
...

Windows：EventLog.xml 文件中的事件 ID 在哪里？

答案1

EventLog.xml 文件中的事件 ID 在哪里？

我实际上可以查看命名空间/模式吗？

示例：从保存为 XML 的系统事件日志中提取

相关内容