События безопасности (трассировка событий Windows) Security ETW Events

События безопасности создаются при проверке строгого имени и проверке Authenticode. Security events are raised during strong name verification and Authenticode verification.

События StrongNameVerificationStart_V1 и StrongNameVerificationStop_V1 StrongNameVerificationStart_V1 and StrongNameVerificationStop_V1 Events

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level. (Дополнительные сведения см. в разделе CLR ETW Keywords and Levels.) (For more information, see CLR ETW Keywords and Levels.)

Ключевое слово для вызова события Keyword for raising the event	Level Level
SecurityKeyword (0x400) SecurityKeyword (0x400)	Информационный (4) Informational(4)

В таблице ниже представлены сведения о событии. The following table shows the event information.

Событие Event	Идентификатор события Event ID	Условие вызова Raised when
StrongNameVerificationStart_V1	181 181	Начало проверки строгого имени. Start of strong name verification.
StrongNameVerificationStop_V1	182 182	Окончание проверки строгого имени. End of strong name verification.

В таблице ниже представлены данные события. The following table shows the event data.

Имя поля Field name	Тип данных Data type	Описание Description
VerificationFlags VerificationFlags	win:UInt32 win:UInt32	Флаги проверки. The verification flags.
ErrorCode ErrorCode	win:UInt32 win:UInt32	Код ошибки HResult. The HResult error code.
FullyQualifiedAssemblyName FullyQualifiedAssemblyName	win:UnicodeString win:UnicodeString	Полное имя сборки. The fully qualified assembly name.
ClrInstanceID ClrInstanceID	win:UInt16 win:UInt16	Уникальный идентификатор экземпляра CLR или CoreCLR. Unique ID for the instance of CLR or CoreCLR.

События AuthenticodeVerificationStart_V1 и AuthenticodeVerificationStop_V1 AuthenticodeVerificationStart_V1 and AuthenticodeVerificationStop_V1 Events

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level.

Ключевое слово для вызова события Keyword for raising the event	Level Level
SecurityKeyword (0x400) SecurityKeyword (0x400)	Информационный (4) Informational(4)

В таблице ниже представлены сведения о событии. The following table shows the event information.

Событие Event	Идентификатор события Event ID	Условие вызова Raised when
AuthenticodeVerificationStart_V1	183 183	Начало проверки Authenticode. Start of Authenticode verification.
AuthenticodeVerificationStop_V1	184 184	Окончание проверки Authenticode. End of Authenticode verification.

В таблице ниже представлены данные события. The following table shows the event data.

События методов (трассировка событий Windows) Method ETW Events

Эти события собирают сведения, связанные с методами. These events collect information that is specific to methods. Полезные данные этих событий необходимы для разрешения символов. The payload of these events is required for symbol resolution. Кроме того, эти события содержат полезные сведения, например сколько раз вызывался метод. In addition, these events provide helpful information such as the number of times a method was called.

Все события методов имеют уровень «Информационный (4)». All method events have a level of «Informational (4)». Все подробные события методов имеют уровень «Подробный (5)». All method verbose events have a level of «Verbose (5)».

Все события методов вызываются ключевыми словами JITKeyword (0x10) или NGenKeyword (0x20) при использовании поставщика среды выполнения или ключевыми словами JitRundownKeyword (0x10) или NGENRundownKeyword (0x20) при использовании поставщика очистки. All method events are raised by the JITKeyword (0x10) keyword or the NGenKeyword (0x20) keyword under the runtime provider, or JitRundownKeyword (0x10) or NGENRundownKeyword (0x20) under the rundown provider.

События методов среды CLR CLR Method Events

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level. Дополнительные сведения см. в разделе Ключевые слова и уровни ETW среды CLR. For more information, see CLR ETW Keywords and Levels.

Ключевое слово для вызова события Keyword for raising the event	Level Level
JITKeyword (0x10) JITKeyword (0x10) runtime provider	Информационный (4) Informational (4)
NGenKeyword (0x20) NGenKeyword (0x20) runtime provider	Информационный (4) Informational (4)
JitRundownKeyword (0x10) JitRundownKeyword (0x10) rundown provider	Информационный (4) Informational (4)
NGENRundownKeyword (0x20) NGENRundownKeyword (0x20) rundown provider	Информационный (4) Informational (4)

В таблице ниже представлены сведения о событии. The following table shows the event information:

Событие Event	Идентификатор события Event ID	Описание Description
MethodLoad_V1	136 136	Вызывается, когда метод является JIT-загружаемым или загружается образ NGEN. Raised when a method is just-in-time loaded (JIT-loaded) or an NGEN image is loaded. Динамические и универсальные методы не используют эту версию для загрузки методов. Dynamic and generic methods do not use this version for method loads. Вспомогательные методы JIT никогда не используют эту версию. JIT helpers never use this version.
MethodUnLoad_V1	137 137	Вызывается, когда выгружается модуль или уничтожается домен приложения. Raised when a module is unloaded, or an application domain is destroyed. Динамические методы никогда не используют эту версию для выгрузки методов. Dynamic methods never use this version for method unloads.
MethodDCStart_V1	137 137	Перечисляет методы во время очистки запуска. Enumerates methods during a start rundown.
MethodDCEnd_V1	138 138	Перечисляет методы во время очистки завершения. Enumerates methods during an end rundown.

В таблице ниже представлены данные события. The following table shows the event data:

Имя поля Field name	Тип данных Data type	Описание Description
MethodID MethodID	win:UInt64 win:UInt64	Уникальный идентификатор метода. Unique identifier of a method. Для вспомогательных методов JIT устанавливается равным начальному адресу метода. For JIT helper methods, this is set to the start address of the method.
ModuleID ModuleID	win:UInt64 win:UInt64	Идентификатор модуля, к которому относится этот метод (0 для вспомогательных методов JIT). Identifier of the module to which this method belongs (0 for JIT helpers).
MethodStartAddress MethodStartAddress	win:UInt64 win:UInt64	Начальный адрес метода. Start address of the method.
MethodSize MethodSize	win:UInt32 win:UInt32	Размер метода. Size of the method.
MethodToken MethodToken	win:UInt32 win:UInt32	0 для динамических методов и вспомогательных методов JIT. 0 for dynamic methods and JIT helpers.
MethodFlags MethodFlags	win:UInt32 win:UInt32	0x1: динамический метод. 0x1: Dynamic method. 0x2: универсальный метод. 0x2: Generic method. 0x4: метод с кодом, скомпилированным JIT-компилятором (в противном случае машинный код образа NGEN). 0x4: JIT-compiled code method (otherwise NGEN native image code). 0x8: вспомогательный метод. 0x8: Helper method.
ClrInstanceID ClrInstanceID	win:UInt16 win:UInt16	Уникальный идентификатор экземпляра CLR или CoreCLR. Unique ID for the instance of CLR or CoreCLR.

События маркеров методов среды CLR CLR Method Marker Events

Эти события создаются только при использовании поставщика очистки. These events are raised only under the rundown provider. Они обозначают окончание перечисления методов во время очистки запуска или завершения. They signify the end of method enumeration during a start or end rundown. (То есть они вызываются при включении ключевого слова NGENRundownKeyword , JitRundownKeyword , LoaderRundownKeyword или AppDomainResourceManagementRundownKeyword .) (That is, they are raised when the NGENRundownKeyword , JitRundownKeyword , LoaderRundownKeyword , or AppDomainResourceManagementRundownKeyword keyword is enabled.)

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level:

Ключевое слово для вызова события Keyword for raising the event	Level Level
AppDomainResourceManagementRundownKeyword (0x800) AppDomainResourceManagementRundownKeyword (0x800) rundown provider	Информационный (4) Informational (4)
JitRundownKeyword (0x10) JitRundownKeyword (0x10) rundown provider	Информационный (4) Informational (4)
NGENRundownKeyword (0x20) NGENRundownKeyword (0x20) rundown provider	Информационный (4) Informational (4)

В таблице ниже представлены сведения о событии. The following table shows the event information:

Событие Event	Идентификатор события Event ID	Описание Description
DCStartInit_V1	147 147	Отправляется перед началом перечисления во время очистки запуска. Sent before the start of the enumeration during a start rundown.
DCStartComplete_V1	145 145	Отправляется по окончании перечисления во время очистки запуска. Sent at the end of the enumeration during a start rundown.
DCEndInit_V1	148 148	Отправляется перед началом перечисления во время очистки завершения. Sent before the start of the enumeration during an end rundown.
DCEndComplete_V1	146 146	Отправляется по окончании перечисления во время очистки завершения. Sent at the end of the enumeration during an end rundown.

В таблице ниже представлены данные события. The following table shows the event data:

Имя поля Field name	Тип данных Data type	Описание Description
ClrInstanceID ClrInstanceID	win:UInt16 win:UInt16	Уникальный идентификатор экземпляра CLR или CoreCLR. Unique ID for the instance of CLR or CoreCLR.

Подробные события методов среды CLR CLR Method Verbose Events

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level:

Ключевое слово для вызова события Keyword for raising the event	Level Level
JITKeyword (0x10) JITKeyword (0x10) runtime provider	Подробный (5) Verbose (5)
NGenKeyword (0x20) NGenKeyword (0x20) runtime provider	Подробный (5) Verbose (5)
JitRundownKeyword (0x10) JitRundownKeyword (0x10) rundown provider	Подробный (5) Verbose (5)
NGENRundownKeyword (0x20) NGENRundownKeyword (0x20) rundown provider	Подробный (5) Verbose (5)

В таблице ниже представлены сведения о событии. The following table shows the event information:

Событие Event	Идентификатор события Event ID	Описание Description
MethodLoadVerbose_V1	143 143	Вызывается, когда метод является JIT-загружаемым или загружается образ NGEN. Raised when a method is JIT-loaded or an NGEN image is loaded. Динамические и универсальные методы всегда используют эту версию для загрузки методов. Dynamic and generic methods always use this version for method loads. Вспомогательные методы JIT всегда используют эту версию. JIT helpers always use this version.
MethodUnLoadVerbose_V1	144 144	Вызывается, когда уничтожается динамический метод, выгружается модуль или разрушается домен приложения. Raised when a dynamic method is destroyed, a module is unloaded, or an application domain is destroyed. Динамические методы всегда используют эту версию для выгрузки методов. Dynamic methods always use this version for method unloads.
MethodDCStartVerbose_V1	141 141	Перечисляет методы во время очистки запуска. Enumerates methods during a start rundown.
MethodDCEndVerbose_V1	142 142	Перечисляет методы во время очистки завершения. Enumerates methods during an end rundown.

В таблице ниже представлены данные события. The following table shows the event data:

Имя поля Field name	Тип данных Data type	Описание Description
MethodID MethodID	win:UInt64 win:UInt64	Уникальный идентификатор метода. Unique identifier of the method. Для вспомогательных методов JIT устанавливается равным начальному адресу метода. For JIT helper methods, set to the start address of the method.
ModuleID ModuleID	win:UInt64 win:UInt64	Идентификатор модуля, к которому относится этот метод (0 для вспомогательных методов JIT). Identifier of the module to which this method belongs (0 for JIT helpers).
MethodStartAddress MethodStartAddress	win:UInt64 win:UInt64	Начальный адрес. Start address.
MethodSize MethodSize	win:UInt32 win:UInt32	Длина метода. Method length.
MethodToken MethodToken	win:UInt32 win:UInt32	0 для динамических методов и вспомогательных методов JIT. 0 for dynamic methods and JIT helpers.
MethodFlags MethodFlags	win:UInt32 win:UInt32	0x1: динамический метод. 0x1: Dynamic method. 0x2: универсальный метод. 0x2: Generic method. 0x4: метод, скомпилированный JIT-компилятором (в противном случае созданный программой NGen.exe). 0x4: JIT-compiled method (otherwise, generated by NGen.exe) 0x8: вспомогательный метод. 0x8: Helper method.
MethodNameSpace MethodNameSpace	win:UnicodeString win:UnicodeString	Полное имя пространства имен, связанного с методом. Full namespace name associated with the method.
MethodName MethodName	win:UnicodeString win:UnicodeString	Полное имя класса, связанного с методом. Full class name associated with the method.
MethodSignature MethodSignature	win:UnicodeString win:UnicodeString	Сигнатура метода (разделенный запятыми список имен типов). Signature of the method (comma-separated list of type names).
ClrInstanceID ClrInstanceID	win:UInt16 win:UInt16	Уникальный идентификатор экземпляра CLR или CoreCLR. Unique ID for the instance of CLR or CoreCLR.

Событие MethodJittingStarted MethodJittingStarted Event

В таблице ниже показаны ключевое слово и уровень. The following table shows the keyword and level:

Ключевое слово для вызова события Keyword for raising the event	Level Level
JITKeyword (0x10) JITKeyword (0x10) runtime provider	Подробный (5) Verbose (5)
NGenKeyword (0x20) NGenKeyword (0x20) runtime provider	Подробный (5) Verbose (5)
JitRundownKeyword (0x10) JitRundownKeyword (0x10) rundown provider	Подробный (5) Verbose (5)
NGENRundownKeyword (0x20) NGENRundownKeyword (0x20) rundown provider	Подробный (5) Verbose (5)

В таблице ниже представлены сведения о событии. The following table shows the event information:

Событие Event	Идентификатор события Event ID	Описание Description
MethodJittingStarted	145 145	Вызывается, когда метод компилируется JIT-компилятором. Raised when a method is being JIT-compiled.

В таблице ниже представлены данные события. The following table shows the event data: