// Copyright (c) 1997-2003 Microsoft Corporation, All Rights Reserved #pragma autorecover #pragma classflags(64) #pragma namespace("\\\\.\\Root\\CIMV2") instance of __namespace{ name="ms_40c";}; #pragma namespace("\\\\.\\Root\\CIMV2\\ms_40c") [Description("La classe SystemTrace est la classe de base de tous les événements de suivi du système. Les événements de suivi du système sont déclenchés par le journal du noyau via l’API de suivi d’événement.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_SystemTrace : __ExtrinsicEvent { }; [Description("Cet événement est un événement de base pour les événements de processus.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ProcessTrace : Win32_SystemTrace { [Description("La propriété ProcessID identifie le processus impliqué dans l’événement.") : Amended ToSubclass] uint32 ProcessID; [Description("La propriété ParentProcessID identifie le processus qui a causé l’événement.") : Amended ToSubclass] uint32 ParentProcessID; [Description("La propriété SessionID indique la session sous laquelle le processus existe.") : Amended ToSubclass] uint32 SessionID; [Description("La propriété Sid est l’identificateur de sécurité représentant le contexte utilisateur dans lequel l’événement a eu lieu.") : Amended ToSubclass] uint8 Sid[]; [Description("La propriété ProcessName contient le nom du processus.") : Amended ToSubclass] string ProcessName; }; [Description("La classe d’événement ProcessStartTrace indique qu’un nouveau processus a démarré.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ProcessStartTrace : Win32_ProcessTrace { }; [Description("La classe d’événement ProcessStopTrace indique un processus qui s’est terminé.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ProcessStopTrace : Win32_ProcessTrace { [Description("La propriété ExitStatus contient l’état de sortie du processus interrompu ") : Amended ToSubclass] uint32 ExitStatus; }; [Description("La classe d’événement ThreadTrace est l’événement de base pour les événement de thread.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ThreadTrace : Win32_SystemTrace { [Description("La propriété ThreadID contient l’identificateur du thread du thread impliqué dans l’événement.") : Amended ToSubclass] uint32 ThreadID; [Description("La propriété ProcessID contient l’identificateur du processus auquel appartient le thread.") : Amended ToSubclass] uint32 ProcessID; }; [Description("La classe d’événement ThreadStartTrace indique qu’un nouveau thread a démarré.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ThreadStartTrace : Win32_ThreadTrace { [Description("La propriété StackBase indique l’adresse de base de la pile de thread.") : Amended ToSubclass] uint64 StackBase; [Description("La propriété StackBase indique la limite de la pile de thread.") : Amended ToSubclass] uint64 StackLimit; [Description("La propriété UserStackBase indique l’adresse de base de la pile en mode utilisateur du thread.") : Amended ToSubclass] uint64 UserStackBase; [Description("La propriété UserStackLimit indique la limite de la pile en mode utilisateur du thread.") : Amended ToSubclass] uint64 UserStackLimit; }; [Description("La classe d’événement ThreadStopTrace indique qu’un thread a terminé.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ThreadStopTrace : Win32_ThreadTrace { }; [Description("La classe d’événement ModuleTrace est l’événement de base des événements de module.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ModuleTrace : Win32_SystemTrace { }; [Description("La classe d’événement ModuleLoadTrace indique qu’un processus a démarré un nouveau module.") : Amended ToSubclass,AMENDMENT, LOCALE(0x040c) : ToInstance] class Win32_ModuleLoadTrace : Win32_ModuleTrace { [Description("La propriété ImageBase indique l’adresse de base où le module a été chargé dans la mémoire du processus.") : Amended ToSubclass] uint64 ImageBase; [Description("La propriété ImageSize indique la taille en octets du module chargé.") : Amended ToSubclass] uint64 ImageSize; [Description("La propriété ProcessID identifie le processus qui a chargé le module.") : Amended ToSubclass] uint32 ProcessID; [Description("La propriété FileName indique le nom de fichier du module chargé.") : Amended ToSubclass] string FileName; [Description("Somme de contrôle de l’image NT (généralement définie au moment de la liaison), répertoriée dans l’en-tête de l’image NT ; il s’agit d’un hachage permettant de vérifier que l’image n’a pas été modifiée ou que c’est la même image. Remarque : ce n’est pas un hachage de chiffrement, par conséquent il est faible.") : Amended ToSubclass] uint32 ImageChecksum; [Description("Horodatage de l’image NT (généralement défini au moment de la liaison), répertorié dans l’en-tête de l’image NT ; il sert à identifier l’image binaire conjointement avec le nom du fichier d’origine et la propriété ImageSize, qui est également récupérée dans l’en-tête de l’image NT.") : Amended ToSubclass] uint32 TimeDateStamp; [Description("Adresse de base de chargement par défaut, répertoriée dans l’en-tête de l’image NT ; si l’adresse demandée n’est pas disponible, l’image sera chargée à une autre adresse (ImageBase), ce qui entraîne un changement de base.") : Amended ToSubclass] uint64 DefaultBase; };