События Windows XP ETW FileDeleted

Я довольно широко использую Windows ETW для сбора информации о процессах и файлах в своем приложении C ++. Я конвертировал MofData событий в соответствующую структуру для извлечения информации из событий. Казалось, что он работал нормально, пока я не протестировал файловые события в Windows XP.

Я обнаружил, что не проверял соответствующий тип в Windows XP и теперь записывает события, созданные в файле, проверяя EVENT_TRACE.Header.Class.Type == 0 для события FileIo_V1_Name (ссылка). Это, кажется, работает довольно хорошо, хотя я знаю, что мне нужно сделать некоторую хитрость, чтобы определить букву диска.

Зная это, я задаюсь вопросом: есть ли способ собрать события FileDeleted через ETW в Windows XP? Я не мог найти класс, который связал бы эту информацию. Я знаю что этот класс используется в Windows Vista +, но поддержка XP является обязательной. Я знаю, что это довольно специфическая тема, поэтому любая информация очень ценится.