В журналах событий Windows, в чем разница между Windows EventId и EventRecordID

Question

Я не уверен в разнице.Они оба кажутся первичными ключами.Один делает что-то отличное от другого?Microsoft docs предлагает небольшое объяснение полей.

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">


<EventID>20</EventID> 

<Version>0</Version> 

<Level>4</Level> 

<Task>116</Task> 

<Opcode>0</Opcode> 

<Keywords>0x800000000000000</Keywords> 

<TimeCreated SystemTime="2015-12-27T04:56:25.280553800Z" /> 

<EventRecordID>7178</EventRecordID> 

<Correlation /> 

<Execution ProcessID="7992" ThreadID="1376" /> 

<Channel>Microsoft-Windows-Audio/PlaybackManager</Channel> 

<Computer>John-Desktop</Computer> 

<Security UserID="S-1-5-21-2026109775-3903604127-447048412-1001" /> 

</System>

Answer 1

EventRecordID - это порядковый номер события в этом конкретном журнале событий.

Например, первое событие, записанное в ваш журнал событий, будет иметь 1 в качестве EventRecordID, затем следующее будет иметь 2 и т. Д.

EventID используется для идентификации различных типов событий.

Вот несколько примеров идентификаторов событий и их значения:

Event ID    Meaning

528         A user successfully logged on to a computer
529         The logon attempt was made with an unknown user name or bad password
530         The user account tried to log on outside of the allowed time
531         A logon attempt was made using a disabled account
532         A logon attempt was made using an expired account