Отслеживание системных вызовов ETW

Как можно получить идентификатор процесса, который сгенерировал системный вызов в ETW? Пока ProcessID а также ThreadID члены заголовка события от = до -1, это нельзя использовать. Я слышал об активации CSWitch флаг для захвата каждого переключения контекста, но это только дает мне, NewThreadId а также OldThreadId в соответствии с MOF учебный класс. Я тоже хочу идентификатор процесса.

Спасибо