Microsoft-Windows-Kernel-Memory
14 events across 1 channel
| Event | Title | Channel | Sample |
|---|---|---|---|
| 1 | MemInfo | Analytic | Y |
| 2 | MemInfoWS | Analytic | Y |
| 3 | MemInfoSessionWS | Analytic | Y |
| 4 | WorkingSetOutSwapStart_V1 | Analytic | N |
| 5 | WorkingSetOutSwapStop_V1 | Analytic | N |
| 6 | WorkingSetInSwapStart_V1 | Analytic | N |
| 7 | WorkingSetInSwapStop | Analytic | N |
| 8 | Acg | Analytic | Y |
| 9 | WorkingSetInSwap | Analytic | N |
| 10 | MdlAllocation | Analytic | N |
| 11 | ContAllocation | Analytic | Y |
| 12 | MemInfoNode | Analytic | Y |
| 13 | MemInfoHugeIoSpace | Analytic | N |
| 14 | ContFree | Analytic | Y |
Event ID 1: MemInfo
#Fields #
| Name | Description |
|---|---|
PriorityLevels UInt8 | |
ZeroPageCount Pointer | |
FreePageCount Pointer | |
ModifiedPageCount Pointer | |
ModifiedNoWritePageCount Pointer | |
BadPageCount Pointer | |
StandbyPageCounts Pointer | |
RepurposedPageCounts Pointer | |
ModifiedPageCountPageFile Pointer | |
PagedPoolPageCount Pointer | |
NonPagedPoolPageCount Pointer | |
MdlPageCount Pointer | |
CommitPageCount Pointer |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 1,
"version": 1,
"level": 4,
"task": 1,
"opcode": 0,
"keywords": "0x0000000000000020",
"time_created": "2026-06-02T05:27:15.632+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 4,
"thread_id": 15884
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"BadPageCount": "0x0",
"CommitPageCount": "0x0",
"FreePageCount": "0x6F2BE",
"MdlPageCount": "0x2B842C",
"ModifiedNoWritePageCount": "0x7",
"ModifiedPageCount": "0xC311",
"ModifiedPageCountPageFile": "0xEC23",
"NonPagedPoolPageCount": "0x59B2",
"PagedPoolPageCount": "0x10",
"PriorityLevels": 8,
"RepurposedPageCounts": "0x1CF2C",
"StandbyPageCounts": "0x70C",
"ZeroPageCount": "0x32D089"
},
"message": "MemInfo"
}
Event ID 2: MemInfoWS
#Fields #
| Name | Description |
|---|---|
Count UInt32 | |
WSCommitInfo AnsiString |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 2,
"version": 2,
"level": 4,
"task": 2,
"opcode": 0,
"keywords": "0x0000000000000040",
"time_created": "2026-06-02T05:27:15.632+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 4,
"thread_id": 20788
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"Count": 228,
"WSCommitInfo": "\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0019\u0001\u0000\u0000\u0000\u0000\u0000;\u0001\u0000\u0000\u0000\u0000\u0000;\u0001\u0000\u0000\u0000\u0000\u0000\u0019\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000p\r\u0000\u0000\u0000\u0000\u0000\u0000p\r\u0000\u0000\u0000\u0000\u0000\u0000p\r\u0000\u0000\u0000\u0000\u0000\u0000p\r\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0004\u0000\u0000\u0000D\u001e\u0000\u0000\u0000\u0000\u0000\u0000\u001a\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0002\"\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000I\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000)^\u0000\u0000\u0000\u0000\u0000\u00003\u0005\u0000\u0000\u0000\u0000\u0000\u0000ć\u0000\u0000\u0000\u0000\u0000\u0000\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000@\u0003\u0000\u0000L\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0011\u0001\u0000\u0000\u0000\u0000\u0000\u0000'\u0010 \u0000\u0000\u0000\u0000H\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000 \u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000?\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000%q\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0010\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000b\u0007\u0000\u0000\u0000\u0000\u0000\u0000f\u0001\u0000\u0000\u0000\u0000\u0000\u0000E\u0010 \u0000\u0000\u0000\u0000\n\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000;\u0006\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000]\u0010 \u0000\u0000\u0000\u0000A\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\t\u0000\u0000\u0000\u0000\u0000\u00008\u0004\u0000\u0000Q\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000:\u0003\u0000\u0000\u0000\u0000\u0000\u0000`\u0004\u0000\u0000\u0013\u0000\u0000\u0000\u0000\u0000\u0000\b\u0000\u0000\u0000\u0000\u0000\u0000i\u0010 \u0000\u0000\u0000\u00003\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000?\u0000\u0000\u0000\u0000\u0000\u0000\u0000l\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0006\u0001\u0000\u0000\u0000\u0000\u0000\u0015 \u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000x\u0005\u0000\u0000R\u0019\u0000\u0000\u0000\u0000\u0000\u0000U\b\u0000\u0000\u0000\u0000\u0000\u0000u\u0010 \u0000\u0000\u0000\u0000\u0006\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000@\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0005\u0000\u0000i\u0005\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000F\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000:\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0005\u0000\u0000\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000B\u0010 \u0000\u0000\u0000\u0000K\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000:\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0005\u0000\u0000P\u001e\u0000\u0000\u0000\u0000\u0000\u0000\u0016\u0000\u0000\u0000\u0000\u0000\u0000Bq\u0010 \u0000\u0000\u0000\u0000\u0015\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000t\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0018\u0006\u0000\u0000\f\u0000\u0000\u0000\u0000\u0000\u0000t\u0003\u0000\u0000\u0000\u0000\u0000\u0000U\u0010 \u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000p\u0006\u0000\u0000\u0001:\u0000\u0000\u0000\u0000\u0000\u0000\u001a\u0000\u0000\u0000\u0000\u0000\u0000\u0003%\u0011 \u0000\u0000\u0000\u0000\u001c\u0016\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\f\u0000\u0000\u0000\u0000\u0000\u0000\u0006\u0000\u0000q\u0010\u0000\u0000\u0000\u0000\u0000\u0000#\u0005\u0000\u0000\u0000\u0000\u0000\u0000\\j\u0012 \u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0010\u0007\u0000\u0000\n\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000M\u0010 \u0000\u0000\u0000\u0000?\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000d\u0007\u0000\u0000\u0006\u0000\u0000\u0000\u0000\u0000\u0000|\u0001\u0000\u0000\u0000\u0000\u0000\u0000J\u0010 \u0000\u0000\u0000\u0000 \u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000l\u0007\u0000\u0000J\u0010\u0000\u0000\u0000\u0000\u0000\u0000.\u0006\u0000\u0000\u0000\u0000\u0000\u0000n\u0010 \u0000\u0000\u0000\u0000\u000b\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000t\u0007\u0000\u0000\t\u0000\u0000\u0000\u0000\u0000\u0000\u0004\u0000\u0000\u0000\u0000\u0000\u00007F\u0010 \u0000\u0000\u0000\u0000c\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000|\u0007\u0000\u0000\u0005\u0000\u0000\u0000\u0000\u0000\u0000h\u0001\u0000\u0000\u0000\u0000\u0000\u0000zB\u0010 \u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0007\u0000\u0000\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000G\u0010 \u0000\u0000\u0000\u0000P\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\b\u0000\u0000\u0000\n\u0000\u0000\u0000\u0000\u0000\u0000Z\u0002\u0000\u0000\u0000\u0000\u0000\u0000 N\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\f\u0000\u0000\u0000\u0000\u0000\u0000\u0014\u0002\u0000\u0000\u0000\u0000\u0000\u0000UR\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000h\u0003\u0000\u00009\b\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u00004N\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\f\b\u0000\u0000t\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u000e\u0004\u0000\u0000\u0000\u0000\u0000\u0000N]\u0010 \u0000\u0000\u0000\u00005\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\\\b\u0000\u0000{,\u0000\u0000\u0000\u0000\u0000\u0000p)\u0000\u0000\u0000\u0000\u0000\u0000\u0010 \u0000\u0000\u0000\u0000\u001d\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\b\u0000\u0000;\u0017\u0000\u0000\u0000\u0000\u0000\u0000\f\u0000\u0000\u0000\u0000\u0000\u0000p\u0010 \u0000\u0000\u0000\u0000\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\b\t\u0000\u0000\f\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\"b\u0010 \u0000\u0000\u0000\u0000f\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000(\t\u0000\u0000/\u0010\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\\\u0010 \u0000\u0000\u0000\u0000\t\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000`\t\u0000\u0000R\r\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u001a`\u0010 \u0000\u0000\u0000\u0000\u0011\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000)\u0002\u0000\u0000\u0000\u0000\u0000\u0000h\t\u0000\u0000d\u0006\u0000\u0000\u0000\u0000\u0000\u0000e\u0001\u0000\u0000\u0000\u0000\u0000\u0000hE\u0010 \u0000\u0000\u0000\u0000\u0002\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0004\u0000\u0000\u0000\u0000\u0000\u0000p\t\u0000\u0000b\n\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0004Q\u0010 \u0000\u0000\u0000\u0000\f\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\t\u0000\u0000\u001e\f\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0017U\u0010 \u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\t\u0000\u0000\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000b\u0010 \u0000\u0000\u0000\u0000H\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\t\u0000\u0000Q\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000H\u0010 \u0000\u0000\u0000\u0000$\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000$\n\u0000\u0000\r\u0013\u0000\u0000\u0000\u0000\u0000\u0000\u0007\u0000\u0000\u0000\u0000\u0000\u0000s\u0010 \u0000\u0000\u0000\u0000\u0006\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0002\u0000\u0000\u0000\u0000\u0000\u0000P\n\u0000\u0000\u0001\t\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000J\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000`\n\u0000\u0000\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000qC\u0010 \u0000\u0000\u0000\u00000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\\\u000b\u0000\u0000l\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000I\u0010 \u0000\u0000\u0000\u00009\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u000b\u0000\u0000f\u0000\u0000\u0000\u0000\u0000\u0000`[\u0000\u0000\u0000\u0000\u0000\u0000K\u0011 \u0000\u0000\u0000\u0000XW\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u000b\u0000\u0000\u0016\u0000\u0000\u0000\u0000\u0000\u0000~\u000e\u0000\u0000\u0000\u0000\u0000\u0000d\u0010 \u0000\u0000\u0000\u0000|\r\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\b\u0000\u0000B\u000e\u0000\u0000\u0000\u0000\u0000\u00005\u0004\u0000\u0000\u0000\u0000\u0000\u0000\fo\u0010 \u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\t\u0000\u0000u\b\u0000\u0000\u0000\u0000\u0000\u0000E\u0002\u0000\u0000\u0000\u0000\u0000\u0000EH\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000X\f\u0000\u0000\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u000bT\u0014 \u0000\u0000\u0000\u0000V\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000t\f\u0000\u0000\u0007\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000G\u0010 \u0000\u0000\u0000\u0000?\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\f\u0000\u0000\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0011T\u0010 \u0000\u0000\u0000\u0000\u001d\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\f\u0000\u0000\t\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000L\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000(\u0002\u0000\u0000\u0000\u0000\u0000\u0000\b\r\u0000\u0000\t\u0000\u0000\u0000\u0000\u0000\u0000\u001a\u0002\u0000\u0000\u0000\u0000\u0000\u0000\tI\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000D\r\u0000\u0000\"\b\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000SI\u0010 \u0000\u0000\u0000\u0000w\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\r\u0000\u0000d\r\u0000\u0000\u0000\u0000\u0000\u0000T\u0002\u0000\u0000\u0000\u0000\u0000\u0000LT\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000X\u000e\u0000\u0000J\n\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000N\u0010 \u0000\u0000\u0000\u0000B\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u000f\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000x\u0000\u0000\u0000\u0000\u0000\u0000\u001e\u0011 \u0000\u0000\u0000\u0000X\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000\u0000\u0000\u0000@\u000e\u0000\u0000:\b\u0000\u0000\u0000\u0000\u0000\u00002\u0002\u0000\u0000\u0000\u0000\u0000\u0000cF\u0010 \u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000=\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u001c\u0010\u0000\u0000\u0007\f\u0000\u0000\u0000\u0000\u0000\u0000\u000b\u0004\u0000\u0000\u0000\u0000\u0000\u0000@Q\u0010 \u0000\u0000\u0000\u0000V\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000O\u0000\u0000\u0000\u0000\u0000\u0000\u0000h\u0010\u0000\u0000\u0014\u0000\u0000\u0000\u0000\u0000\u0000\u0006\u0000\u0000\u0000\u0000\u0000\u0000a\u0010 \u0000\u0000\u0000\u0000\u001e\u0005\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0010\u0000\u0000b\u0006\u0000\u0000\u0000\u0000\u0000\u0000N\u0001\u0000\u0000\u0000\u0000\u0000\u0000B\u0010 \u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000L\u0011\u0000\u0000\b\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000^I\u0010 \u0000\u0000\u0000\u0000e\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000T\u0011\u0000\u0000+\f\u0000\u0000\u0000\u0000\u0000\u0000A\u0004\u0000\u0000\u0000\u0000\u0000\u0000\u0018Q\u0010 \u0000\u0000\u0000\u0000\u0003\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\\\u0011\u0000\u0000T\u0000\u0000\u0000\u0000\u0000\u0000\f>\u0000\u0000\u0000\u0000\u0000\u0000\u0012\u0000\u0000\u0000\u0000\u0000&\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0014\u0002\u0000\u0000\u0000\u0000\u0000\u0000\u0011\u0000\u0000\b\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000I\u0010 \u0000\u0000\u0000\u0000i\u0001\u0000\u0000\u0000...[truncated]"
},
"message": "MemInfoWS"
}
Event ID 3: MemInfoSessionWS
#Fields #
| Name | Description |
|---|---|
Count UInt32 | |
SessionWSCommitInfo AnsiString |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 3,
"version": 2,
"level": 4,
"task": 3,
"opcode": 0,
"keywords": "0x0000000000000040",
"time_created": "2026-06-02T05:27:15.632+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 4,
"thread_id": 20788
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"Count": 2,
"SessionWSCommitInfo": "\u0000\u0000\u0000\u00005\u0000\u0000\u0000\u0000\u0000\u0000c0\u0000\u0000\u0000\u0000\u0000\u0000/\u0000\u0000\u0000\u0000\u0000\u0000/\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0017\u0000\u0000\u0000\u0000\u0000\u0000?\f\u0000\u0000\u0000\u0000\u0000\u0000\u000b\u0000\u0000\u0000\u0000\u0000\u0000\u000b"
},
"message": "MemInfoSessionWS"
}
Event ID 5: WorkingSetOutSwapStop_V1
#Fields #
| Name | Description |
|---|---|
ProcessId UInt32 | |
Status HexInt32 | NTSTATUS reference |
PagesProcessed Pointer | |
WriteCombinePagesProcessed Pointer | |
UncachedPagesProcessed Pointer | |
CleanPagesProcessed Pointer |
Event ID 7: WorkingSetInSwapStop
#Fields #
| Name | Description |
|---|---|
ProcessId UInt32 | |
Status HexInt32 | NTSTATUS reference |
Event ID 8: Acg
#Fields #
| Name | Description |
|---|---|
AcgFlag UInt32 |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 8,
"version": 0,
"level": 4,
"task": 6,
"opcode": 0,
"keywords": "0x0000000000000100",
"time_created": "2026-06-02T05:27:15.156+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 15980,
"thread_id": 12840
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"AcgFlag": 0
},
"message": "Acg"
}
Event ID 9: WorkingSetInSwap
#Fields #
| Name | Description |
|---|---|
ProcessId UInt32 | |
Status HexInt32 | NTSTATUS reference |
Event ID 10: MdlAllocation
#Fields #
| Name | Description |
|---|---|
DurationInMicroseconds UInt64 | |
TotalBytes UInt64 | |
LowAddress UInt64 | |
HighAddress UInt64 | |
SkipBytes UInt64 | |
MemoryDescriptorList Pointer | |
IdealNode UInt32 | |
Flags UInt32 |
Event ID 11: ContAllocation
#Fields #
| Name | Description |
|---|---|
DurationInMicroseconds UInt64 | |
TotalBytes UInt64 | |
LowAddress UInt64 | |
HighAddress UInt64 | |
Boundary UInt64 | |
PhysicalAddress UInt64 | |
MappedAddress Pointer | |
ProtectionMask UInt32 | |
PreferredNode UInt32 | |
PartitionId UInt32 | |
Tag UInt32 | |
Flags UInt32 | |
AllocatedFromPool Boolean | |
AllocatedFromExtension Boolean |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 11,
"version": 1,
"level": 4,
"task": 8,
"opcode": 0,
"keywords": "0x0000000000000200",
"time_created": "2026-06-02T05:27:16.423+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 16540,
"thread_id": 16548
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"AllocatedFromExtension": false,
"AllocatedFromPool": true,
"Boundary": 4294967296,
"DurationInMicroseconds": 3,
"Flags": 0,
"HighAddress": 35184372088831,
"LowAddress": 0,
"MappedAddress": "0xFFFF878DC3FFB000",
"PartitionId": 0,
"PhysicalAddress": 15034462208,
"PreferredNode": 0,
"ProtectionMask": 4,
"Tag": 1416523587,
"TotalBytes": 20480
},
"message": "ContAllocation"
}
Event ID 12: MemInfoNode
#Fields #
| Name | Description |
|---|---|
PartitionId UInt32 | |
Count UInt32 | |
MemoryNodeInfo Int8 |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 12,
"version": 0,
"level": 4,
"task": 9,
"opcode": 0,
"keywords": "0x0000000000000400",
"time_created": "2026-06-02T05:27:15.632+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 4,
"thread_id": 15884
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"Count": 1,
"MemoryNodeInfo": "01000000777F890000000000BEA106000000000069700000000000001005000000000000C2110000000000000000000000000000A20600000000000000000000000000000900000000000000",
"PartitionId": 0
},
"message": "MemInfoNode"
}
Event ID 13: MemInfoHugeIoSpace
#Fields #
| Name | Description |
|---|---|
PartitionId UInt32 | |
Count UInt32 | |
MemoryNodeInfo Int8 |
Event ID 14: ContFree
#Fields #
| Name | Description |
|---|---|
BaseAddress Pointer | |
Size Pointer |
Example Event #
{
"system": {
"provider": "Microsoft-Windows-Kernel-Memory",
"guid": "{D1D93EF7-E1F2-4F45-9943-03D245FE6C00}",
"event_source_name": "",
"event_id": 14,
"version": 0,
"level": 4,
"task": 11,
"opcode": 0,
"keywords": "0x0000000000000200",
"time_created": "2026-06-02T05:27:16.423+00:00",
"event_record_id": 0,
"correlation": {},
"execution": {
"process_id": 16540,
"thread_id": 16548
},
"channel": "ETW Trace",
"computer": "JD-DC01-2022",
"security": {
"user_id": ""
}
},
"event_data": {
"BaseAddress": "0xFFFF878DC3FFB000",
"Size": "0x0"
},
"message": "ContFree"
}
Provenance
Where this provider's schema came from, and which Windows build it was observed on. Windows can change a provider's event schema between builds, so use this to judge whether it matches the build you collect from.
ETW provider GUID {D1D93EF7-E1F2-4F45-9943-03D245FE6C00}
Defined in Microsoft-Windows-System-Events.dll, which carries the event manifest.
Observed on:
- WS2022-20348.4893, sample captured from a live trace, binary version 10.0.20348.3932, captured 2026-06-02
- WS2022-20348.4893, schema read from the registered manifest, binary version 10.0.20348.3932, captured 2026-06-02
- Win11-26200.6584, schema read from the registered manifest, binary version 10.0.26100.5074, captured 2026-06-02