Windows 11 版本 23H2 和 22H2 所需的诊断事件和字段
适用范围
- Windows 11 版本 23H2
- Windows 11 版本 22H2
必需的诊断数据收集的是一组有限信息,此类信息对了解设备及其配置至关重要,包括基本设备信息、与质量相关的信息、应用兼容性和 Microsoft Store。
必需的诊断数据有助于发现特定设备硬件或软件配置可能会出现的问题。 例如,它可以帮助确定具有特定内存量或运行特定驱动程序版本的设备上的崩溃是否更加频繁。 这有助于 Microsoft 修复操作系统或应用问题。
阅读本文,了解与诊断事件(按事件区域分组)及每个事件内的字段相关的信息。 每个字段均提供简要描述。 生成的每个事件均包括用于收集设备数据的常见数据。
你可以通过以下文章了解与 Windows 功能和诊断数据相关的详细信息:
- Windows 11 版本 24H2 所需的诊断事件和字段
- Windows 11 版本 21H2 所需的诊断事件和字段
- Windows 10 版本 22H2 和 21H2 所需的诊断事件和字段
- Windows 10 版本 1809 基本诊断事件和字段
- 管理 Windows 操作系统组件与 Microsoft 服务之间的连接
- 在组织中配置 Windows 诊断数据
评估程序事件
Microsoft.Windows.Appraiser.General.ChecksumTotalPictureCount
此事件列出了对象的类型以及客户端设备上每一类对象的数量。 这可以快速确保服务器上的记录与客户端上的记录匹配。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- DatasourceApplicationFile_CO21H2Setup 此设备上存在的此类型的对象总数。
- DatasourceDevicePnp_CO21H2Setup 此设备上存在的此类型的对象总数。
- DatasourceDriverPackage_CO21H2Setup 此设备上存在的此类型的对象总数。
- DataSourceMatchingInfoBlock_CO21H2Setup 此设备上存在的此类型的对象总数。
- DataSourceMatchingInfoPassive_CO21H2Setup 此设备上存在的此类型的对象总数。
- DataSourceMatchingInfoPostUpgrade_CO21H2Setup 此设备上存在的此类型的对象总数。
- DatasourceSystemBios_20H1Setup 此设备上存在的此特定对象类型的数量计数。
- DatasourceSystemBios_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionApplicationFile_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionDevicePnp_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionDriverPackage_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionMatchingInfoBlock_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionMatchingInfoPassive_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionMatchingInfoPostUpgrade_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionMediaCenter_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSModeState_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemBios_20H1Setup 此设备上存在的此类型的对象总数。
- DecisionSystemBios_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemDiskSize_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemMemory_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemProcessorCpuCores_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemProcessorCpuModel_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionSystemProcessorCpuSpeed_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionTest_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionTpmVersion_CO21H2Setup 此设备上存在的此类型的对象总数。
- DecisionUefiSecureBoot_CO21H2Setup 此设备上存在的此类型的对象总数。
- InventoryApplicationFile 此设备上存在的此特定对象类型的数量计数。
- InventoryLanguagePack 此设备上存在的此特定对象类型的数量计数。
- InventoryMediaCenter 此设备上存在的此特定对象类型的数量计数。
- InventorySystemBios 此设备上存在的此特定对象类型的数量计数。
- InventoryTest 此设备上存在的此特定对象类型的数量计数。
- InventoryUplevelDriverPackage 此设备上存在的此特定对象类型的数量计数。
- PCFP 此设备上存在的此特定对象类型的数量计数。
- SystemMemory 此设备上存在的此特定对象类型的数量计数。
- SystemProcessorCompareExchange 此设备上存在的此特定对象类型的数量计数。
- SystemProcessorLahfSahf 此设备上存在的此特定对象类型的数量计数。
- SystemProcessorNx 此设备上存在的此类型的对象总数。
- SystemProcessorPrefetchW 此设备上存在的此类型的对象总数。
- SystemProcessorSse2 此设备上存在的此类型的对象总数。
- SystemTouch 此设备上存在的此特定对象类型的数量计数。
- SystemWim 此设备上存在的此类型的对象总数。
- SystemWindowsActivationStatus 此设备上存在的此特定对象类型的数量计数。
- SystemWlan 此设备上存在的此类型的对象总数。
- Wmdrm_CO21H2Setup 此设备上存在的此类型的对象总数。
Microsoft.Windows.Appraiser.General.DatasourceApplicationFileAdd
这个事件表示有关在系统上安装的特定应用程序文件的基本元数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- AvDisplayName 如果为防病毒应用,则这是其显示名称。
- CompatModelIndex 此文件的兼容性预测。
- HasCitData 指示文件是否存在于 CIT 数据中。
- HasUpgradeExe 指示防病毒应用是否包含 upgrade.exe 文件。
- IsAv 此文件是否为防病毒报告 EXE?
- ResolveAttempted 发送诊断数据时,这始终为空字符串。
- SdbEntries 用于指示适用于此文件的 SDB 条目的字段数组。
Microsoft.Windows.Appraiser.General.DatasourceApplicationFileAdd
此事件发送有关文件的 true/false 兼容性决策数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序二进制文件的版本。
- SdbEntries 指示是否有任何匹配的兼容 Sdb 条目与此应用程序相关联
Microsoft.Windows.Appraiser.General.DatasourceApplicationFileBackupStartSync
此事件指示已完成发送完整的 DataSourceMatchingInfoBlockStAdd 事件集。 此事件用于建立有关文件的兼容性决策,帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序二进制文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceApplicationFileRemove
此事件指示 DatasourceApplicationFile 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceApplicationFileStartSync
此事件指示将发送新的 DatasourceApplicationFileAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceDevicePnpRemove
此事件指示 DatasourceDevicePnp 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceDevicePnpStartSync
此事件指示将发送新的 DatasourceDevicePnpAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceDriverPackageRemove
此事件指示 DatasourceDriverPackage 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DatasourceDriverPackageStartSync
此事件指示将发送新的 DatasourceDriverPackageAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DataSourceMatchingInfoBlockAdd
此事件发送有关系统上的任何兼容性阻止条目(与特定应用程序或设备不直接相关)的阻止数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- SdbEntries RS3 中已弃用。
Microsoft.Windows.Appraiser.General.DataSourceMatchingInfoBlockRemove
此事件指示 DataSourceMatchingInfoBlock 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DataSourceMatchingInfoPostUpgradeAdd
此事件发送有关系统上需要在升级后重新安装的条目(并非通过应用程序或设备键入)的兼容性数据库信息,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- SdbEntries RS3 中已弃用。
Microsoft.Windows.Appraiser.General.DatasourceSystemBiosAdd
此事件发送有关 BIOS 的兼容性数据库信息,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- SdbEntries RS3 中已弃用。
Microsoft.Windows.Appraiser.General.DatasourceSystemBiosStartSync
此事件指示将发送新的 DatasourceSystemBiosAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
Microsoft.Windows.Appraiser.General.DecisionApplicationFileRemove
此事件指示 DecisionApplicationFile 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionDevicePnpAdd
此事件发送有关即插即用 (PNP) 设备的兼容性决策数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- AssociatedDriverIsBlocked 与此 PNP 设备关联的驱动程序是否被阻止?
- AssociatedDriverWillNotMigrate 是否迁移与此即插即用设备关联的驱动程序?
- BlockAssociatedDriver 是否应阻止与此 PNP 设备关联的驱动程序?
- BlockingDevice 此 PNP 设备是否会阻止升级?
- BlockUpgradeIfDriverBlocked PNP 设备是否为启动关键型且在操作系统中未包含驱动程序?
- BlockUpgradeIfDriverBlockedAndOnlyActiveNetwork 此 PNP 设备是否为唯一的活动网络设备?
- DisplayGenericMessage 在此 PNP 设备的设置过程中是否会显示一条一般消息?
- DisplayGenericMessageGated 指示在此 PNP 设备的设置过程中是否会显示一条一般消息。
- DriverAvailableInbox 此 PNP 设备的操作系统中是否包含驱动程序?
- DriverAvailableOnline Windows 更新中是否包含此 PNP 设备的驱动程序?
- DriverAvailableUplevel Windows 更新中或者此 PNP 设备的操作系统中是否包含驱动程序?
- DriverBlockOverridden 被覆盖的设备上是否包含驱动程序块?
- NeedsDismissAction 用户是否需要在此设备的设置期间消除警告?
- NotRegressed 设备在源操作系统上的问题代码是否并不优于其在目标操作系统上的问题代码?
- SdbDeviceBlockUpgrade 此 PNP 设备上是否存在一个阻止升级的 SDB 块?
- SdbDriverBlockOverridden 此 PNP 设备上是否存在一个阻止升级但却已被覆盖的 SDB 块?
Microsoft.Windows.Appraiser.General.DecisionDriverPackageRemove
此事件指示 objectInstanceId 所表示的 DecisionDriverPackage 对象不再存在。 此事件用于建立有关驱动程序包的兼容性决策,帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionDriverPackageStartSync
DecisionDriverPackageStartSync 事件表示将发送一组新的 DecisionDriverPackageAdd 事件。 此事件用于建立有关驱动程序包的兼容性决策,帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoBlockAdd
此事件发送有关系统上的阻止条目(并非通过应用程序或设备键入)的兼容性决策数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- BlockingApplication 是否存在任何因匹配信息块而干扰升级的应用程序问题?
- DisplayGenericMessage 是否为此块显示了一条一般消息?
- NeedsUninstallAction 用户是否因匹配信息块而需要在设置时采取措施?
- SdbBlockUpgrade 匹配信息块是否会阻止升级?
- SdbBlockUpgradeCanReinstall 匹配信息块是否会阻止升级,但具有可重新安装标记?
- SdbBlockUpgradeUntilUpdate 匹配信息块是否会阻止升级,但具有升级之前标记?
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoBlockRemove
此事件指示 DecisionMatchingInfoBlock 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoBlockStartSync
此事件指示将发送新的 DecisionMatchingInfoBlockAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPassiveAdd
此事件发送有关系统上的非阻止条目(并非通过应用程序或设备键入)的兼容性决策数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- BlockingApplication 是否存在任何因匹配信息块而干扰升级的应用程序问题?
- DisplayGenericMessageGated 指示是否因匹配信息块而显示一条一般产品/服务块消息。
- MigApplication 是否存在具有适合于当前升级模式的 mig 的匹配信息块?
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPassiveRemove
此事件指示 DecisionMatchingInfoPassive 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPassiveStartSync
此事件指示将发送新的 DecisionMatchingInfoPassiveAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPostUpgradeAdd
此事件发送有关需要在升级后重新安装的条目的兼容性决策数据。 它用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- NeedsInstallPostUpgradeData 文件是否在升级后显示一条安装替代应用的通知?
- NeedsNotifyPostUpgradeData 是否应在升级后为此文件显示一条通知?
- NeedsReinstallPostUpgradeData 此文件是否会在升级后显示一条重新安装应用的通知?
- SdbReinstallUpgrade 此文件在兼容性数据库中已被标记为需要在升级后重新安装(但不会阻止升级)。
Microsoft.Windows.Appraiser.General.DecisionSModeStateAdd
此事件发送有关 S 模式状态的 true/false 兼容性决策数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- Blocking 有关升级资格的评估程序决策。
- LockdownMode S 模式锁定模式。
Microsoft.Windows.Appraiser.General.DecisionSModeStateStartSync
DecisionSModeStateStartSync 事件指示将发送新的 DecisionSModeStateAdd 事件集。 此事件用于做出有关 S 模式状态兼容性决策。 Microsoft 使用此信息来了解并解决计算机接收更新的 S 模式状态问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionSystemBiosStartSync
此事件指示将发送新的 DecisionSystemBiosAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionSystemProcessorCpuModelStartSync
DecisionSystemProcessorCpuModelStartSync 事件指示将发送新的 DecisionSystemProcessorCpuModelAdd 事件集。 此事件用于做出有关 CPU 的兼容性决策。 Microsoft 使用此信息来了解并解决计算机接收更新的 CPU 状态问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionTpmVersionStartSync
DecisionTpmVersionStartSync 事件指示将发送新的 DecisionTpmVersionAdd 事件集。 此事件用于做出有关 TPM 的兼容性决策。 Microsoft 使用此信息来了解并解决计算机接收更新的 TPM 状态问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.DecisionUefiSecureBootAdd
此事件收集有关 UEFI 安全启动支持和状态数据的信息。 UEFI 是一种验证机制,用于确保固件启动的代码受信任。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- Blocking 检查 UEFI 支持时评估程序可升级性决策。
- SecureBootCapable 是否支持 UEFI?
- SecureBootEnabled 是否已启用 UEFI?
Microsoft.Windows.Appraiser.General.GatedRegChange
此事件发送与运行快速阻止指令集的结果相关的数据,以帮助使 Windows 保持最新。
提供有以下字段:
- NewData 完成扫描之后,注册表值中的数据。
- OldData 运行扫描之前,注册表值中的先前数据。
- PCFP 通过对硬件标识符进行哈希操作计算得出的系统 ID。
- RegKey 正在为其发送结果的注册表项名称。
- RegValue 正在为其发送结果的注册表值。
- Time 事件的客户端时间。
Microsoft.Windows.Appraiser.General.InventoryApplicationFileAdd
此事件表示与系统上的某个文件相关的基本元数据。 此文件必须是某个应用的组成部分,并且在兼容性数据库中具有一个块或者是防病毒程序的组成部分。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- AvDisplayName 如果应用是防病毒应用,这是其显示名称。
- AvProductState 指示防病毒程序是否打开并且签名为最新。
- BinaryType 二进制类型。 示例:UNINITIALIZED、ZERO_BYTE、DATA_ONLY、DOS_MODULE、NE16_MODULE、PE32_UNKNOWN、PE32_I386、PE32_ARM、PE64_UNKNOWN、PE64_AMD64、PE64_ARM64、PE64_IA64、E32_CLR_32、PE32_CLR_IL、PE32_CLR_IL_PREFER32、PE64_CLR_64。
- BinFileVersion 在尝试将版本置于 4 个八位字节的客户端上,尝试清除 FileVersion。
- BinProductVersion 在尝试将版本置于 4 个八位字节的客户端上时,尝试清除 ProductVersion。
- BoeProgramId 如果“添加/删除程序”中没有条目,则这表示通过文件元数据生成的 ProgramID。
- CompanyName 开发此文件的供应商的公司名称。
- FileId 唯一标识文件的哈希。
- FileVersion“属性”->“详细信息”下面的文件元数据中的文件版本字段。
- HasUpgradeExe 指示防病毒应用是否包含 upgrade.exe 文件。
- IsAv 指示此文件是否为防病毒报告 EXE。
- LinkDate 此文件链接的日期和时间。
- LowerCaseLongPath 在设备上列出清单的文件的完整文件路径。
- Name 已列出清单的文件名。
- ProductName“属性”->“详细信息”下面的文件元数据中的产品名字段。
- ProductVersion“属性”->“详细信息”下面的文件元数据的产品版本字段。
- ProgramId 用于进行标识的应用程序名称、版本、发布者和语言的哈希。
- Size 文件的大小(以十六进制字节表示)。
Microsoft.Windows.Appraiser.General.InventoryApplicationFileRemove
此事件指示 InventoryApplicationFile 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.InventoryApplicationFileStartSync
此事件指示将发送一组新的 InventoryApplicationFileAdd 事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.InventoryLanguagePackAdd
此事件发送有关在系统上安装的语言包数量的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- HasLanguagePack 指示此设备是否具有 2 个或多个语言包。
- LanguagePackCount 已安装的语言包数量。
Microsoft.Windows.Appraiser.General.InventoryLanguagePackStartSync
此事件指示将发送新的 InventoryLanguagePackAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.InventoryMediaCenterAdd
此事件发送与用于了解系统上是否使用 Windows Media Center 的决策点相关的 true/false 数据,以帮助使 Windows 保持最新。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- EverLaunched 是否已启动过 Windows Media Center?
- HasConfiguredTv 用户是否已通过 Windows Media Center 配置电视调谐器?
- HasExtendedUserAccounts 用户帐户是否配置了任何 Windows Media Center 扩展器?
- HasWatchedFolders 是否已为 Windows Media Center 配置任何要观看的文件夹?
- IsDefaultLauncher Windows Media Center 是否是打开音乐或视频文件的默认应用程序?
- IsPaid 用户运行的是否是表明已付费的 Windows Media Center 版本?
- IsSupported 运行的操作系统是否支持 Windows Media Center?
Microsoft.Windows.Appraiser.General.InventoryMediaCenterStartSync
此事件指示将发送新的 InventoryMediaCenterAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.InventorySystemBiosAdd
此事件发送有关 BIOS 的基本元数据,以确定它是否具有兼容性块。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- biosDate BIOS 的发布日期(UTC 格式)。
- BiosDate BIOS 的发布日期(UTC 格式)。
- biosName Win32_BIOS 中的名称字段。
- BiosName Win32_BIOS 中的名称字段。
- manufacturer Win32_ComputerSystem 中的制造商字段。
- Manufacturer Win32_ComputerSystem 中的制造商字段。
- model Win32_ComputerSystem 中的型号字段。
- Model Win32_ComputerSystem 中的型号字段。
Microsoft.Windows.Appraiser.General.InventorySystemBiosStartSync
此事件指示将发送新的 InventorySystemBiosAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序二进制文件(可执行文件)版本。
Microsoft.Windows.Appraiser.General.InventoryUplevelDriverPackageRemove
此事件指示 InventoryUplevelDriverPackage 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.InventoryUplevelDriverPackageStartSync
此事件指示将发送新的 InventoryUplevelDriverPackageAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.RunContext
此事件在评估程序运行开始时发送,RunContext 指示以下数据有效负载中应包含的内容。 此事件与其他 评估程序事件一起使用,以进行兼容性决策,使 Windows 保持最新状态。
包含以下字段:
- AppraiserBranch 在其中构建当前运行的评估程序版本的源分支。
- AppraiserProcess 启动评估程序的进程名称。
- AppraiserVersion 生成事件的评估程序文件的版本。
- Context 指示评估程序所处的运行模式。 示例:设置或遥测。
- PCFP 通过对硬件标识符进行哈希操作计算得出的系统 ID。
- Subcontext 指示评估程序正在扫描的不兼容性类别。 可以是“不适用”、“解决”或以分号分隔的列表,该列表可以包含“应用”、“开发人员”、“系统”、“Gat”或“重新扫描”。
- Time 事件的客户端时间。
Microsoft.Windows.Appraiser.General.SystemMemoryAdd
此事件发送有关系统上的内存大小及其是否符合要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- Blocking 设备是否因内存限制而被阻止升级?
- MemoryRequirementViolated 是否违反了内存要求?
- pageFile 为系统或当前进程提交的内存限制,以较小者为准(以字节为单位)。
- ram 设备的内存大小。
- ramKB 内存大小(以 KB 为单位)
- virtual 调用进程的虚拟地址空间的用户模式部分大小(以字节为单位)。
- virtualKB 虚拟内存的大小(以 KB 为单位)。
Microsoft.Windows.Appraiser.General.SystemMemoryStartSync
此事件指示将发送新的 SystemMemoryAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemProcessorCompareExchangeAdd
此事件发送用于指示系统是否支持 CompareExchange128 CPU 要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- Blocking 升级是否因处理器受阻?
- CompareExchange128Support CPU 是否支持 CompareExchange128?
Microsoft.Windows.Appraiser.General.SystemProcessorCompareExchangeStartSync
此事件指示将发送新的 SystemProcessorCompareExchangeAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemProcessorLahfSahfAdd
此事件发送用于指示系统是否支持 LAHF 和 SAHF CPU 要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 生成事件的评估程序文件的版本。
- Blocking 升级是否因处理器受阻?
- LahfSahfSupport CPU 是否支持 LAHF/SAHF?
Microsoft.Windows.Appraiser.General.SystemProcessorLahfSahfStartSync
此事件指示将发送新的 SystemProcessorLahfSahfAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemProcessorNxAdd
此事件发送用于指示系统是否支持 NX CPU 要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- Blocking 升级是否因处理器受阻?
- NXDriverResult 用于对 NX 支持进行不确定性检查的驱动程序的结果。
- NXProcessorSupport 处理器是否支持 NX?
Microsoft.Windows.Appraiser.General.SystemProcessorNxStartSync
此事件指示将发送新的 SystemProcessorNxAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemProcessorPopCntAdd
此事件发送用于指示系统是否支持较新版本的 PopCnt CPU 要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 评估程序版本
- Blocking 升级是否因处理器缺少 PopCnt 指令而受阻?
- PopCntPassed 计算机是否通过 PopCnt 指令的最新 OS 硬件要求。
Microsoft.Windows.Appraiser.General.SystemProcessorPopCntStartSync
SystemProcessorPopCntStartSync 事件指示将发送一组新的 SystemProcessorPopCntAdd 事件。 此事件用于了解系统是否支持较新版 Windows 的 PopCnt CPU 要求。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 评估程序版本。
Microsoft.Windows.Appraiser.General.SystemProcessorPrefetchWAdd
此事件发送用于指示系统是否支持 PrefetchW CPU 要求的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- Blocking 升级是否因处理器受阻?
- PrefetchWSupport 处理器是否支持 PrefetchW?
Microsoft.Windows.Appraiser.General.SystemProcessorPrefetchWStartSync
此事件指示将发送新的 SystemProcessorPrefetchWAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemProcessorSse2StartSync
此事件指示将发送新的 SystemProcessorSse2Add 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemTouchAdd
此事件发送用于指示系统是否支持触控的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- IntegratedTouchDigitizerPresent 是否存在集成的触控数字化器?
- MaximumTouches 设备硬件支持的最大触控点数。
Microsoft.Windows.Appraiser.General.SystemTouchStartSync
此事件指示将发送新的 SystemTouchAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemWimAdd
此事件发送用于指示操作系统是否通过压缩的 Windows 映像格式 (WIM) 文件运行的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- IsWimBoot 当前的操作系统是否通过压缩 WIM 文件运行?
- RegistryWimBootValue 注册表的原始值,用于指示设备是否通过 WIM 运行。
Microsoft.Windows.Appraiser.General.SystemWimStartSync
此事件指示将发送新的 SystemWimAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemWindowsActivationStatusAdd
此事件发送用于指示当前操作系统是否已激活的数据,以帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- WindowsIsLicensedApiValue 用于指示操作系统是否已激活的 API 中的结果。
- WindowsNotActivatedDecision 当前操作系统是否已激活?
Microsoft.Windows.Appraiser.General.SystemWindowsActivationStatusStartSync
此事件指示将发送新的 SystemWindowsActivationStatusAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.SystemWlanAdd
此事件发送用于指示系统是否具有 WLAN 以及(如果有)是否使用可阻止升级的仿真驱动程序的数据,以帮助使 Windows 保持最新。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- Blocking 升级是否因仿真 WLAN 驱动程序受阻?
- HasWlanBlock 仿真的 WLAN 驱动程序是否阻止升级?
- WlanEmulatedDriver 设备是否具有仿真的 WLAN 驱动程序?
- WlanExists 设备是否完全支持 WLAN?
- WlanModulePresent 是否存在任何 WLAN 模块?
- WlanNativeDriver 设备是否具有非仿真的 WLAN 驱动程序?
Microsoft.Windows.Appraiser.General.SystemWlanStartSync
此事件指示将发送新的 SystemWlanAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
Microsoft.Windows.Appraiser.General.TelemetryRunHealth
此事件指示运行的诊断数据的参数和结果。 这允许正确情境化和了解通过运行过程发送的其余数据,从而让 Windows 保持最新状态。
包含以下字段:
- AppraiserBranch 在其中构建了正在运行的评估程序版本的源分支。
- AppraiserDataVersion 评估程序诊断数据运行所使用的数据文件的版本。
- AppraiserProcess 启动评估程序的进程名称。
- AppraiserVersion 评估程序 DLL 的文件版本(主要版本、次要版本和内部版本),不用点连接。
- AuxFinal 已过时,始终设置为 false。
- AuxInitial 已过时,指示评估程序是否会编写数据文件,以供“获取 Windows 10”应用读取。
- CountCustomSdbs 评估程序使用的自定义 Sdbs 数量。
- CustomSdbGuids 由评估程序使用的自定义 Sdbs Guid;以分号分隔的列表。
- DeadlineDate 表示截止日期(评估程序在完成完整扫描之前的等待时间)的时间戳。
- EnterpriseRun 指示诊断数据运行是否为企业运行,这意味着评估程序通过带有额外企业参数的命令行运行。
- FullSync 指示评估程序是否执行完全同步,这意味着已发送代表计算机状态的完整事件集。 否则,只会发送先前运行中的变更。
- InboxDataVersion 检索任何较新版本之前的数据文件的原始版本。
- IndicatorsWritten 指示是否已成功写入或更新所有相关的 UEX 指示符。
- InventoryFullSync 指示清单是否执行完全同步,这意味着已发送代表计算机清单的完整事件集。
- PCFP 通过对硬件标识符进行哈希操作计算得出的系统 ID。
- PerfBackoff 指示存在用户时是否已使用逻辑调用运行以停止运行。 有助于了解为什么运行所用的时间长于正常水平。
- PerfBackoffInsurance 指示运行的评估程序是否未发生性能回退(因为以前运行发生过性能回退并且无法连续完成多次)。
- RunAppraiser 指示是否已将评估程序设为完全运行。 如果为 false,则可理解为将不会从此设备接收数据事件。
- RunDate 诊断数据运行开始的时间,以文件时间表示。
- RunGeneralTel 指示是否已运行 generaltel.dll 组件。 Generaltel 收集不频繁计划上的其他诊断数据,并且只收集诊断数据级别高于“基本”的计算机上的遥测。
- RunOnline 指示评估程序是否能够连接到 Windows 更新并使用最新的驱动程序覆盖范围信息做出决策。
- RunResult 评估程序诊断数据运行的 hresult。
- ScheduledUploadDay 计划上传的日期。
- SendingUtc 指示评估程序客户端是否在当前诊断数据运行过程中发送事件。
- StoreHandleIsNotNull 已过时,始终设为 false
- TelementrySent 指示是否已成功发送诊断数据。
- ThrottlingUtc 指示评估程序客户端是否限制其 CUET 事件输出以免被禁用。 这不仅会增加运行时,而且还会提高诊断数据可靠性。
- Time 事件的客户端时间。
- VerboseMode 指示评估程序是否在详细模式(一种具有额外日志记录并且仅限测试模式)下运行。
- WhyFullSyncWithoutTablePrefix 指示生成完全同步的原因。
Microsoft.Windows.Appraiser.General.WmdrmAdd
此事件发送与系统上的旧版数字权限管理的使用相关的数据,以帮助使 Windows 保持最新。 此数据不指示使用数字权限管理的媒体的详细信息,仅指示是否存在此类文件。 收集此数据对于确保为客户提供正确的缓解措施非常重要,并且应该可以在所有缓解措施到位之后将其删除。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- AppraiserVersion 正在生成事件的评估程序文件的版本。
- BlockingApplication 与 NeedsDismissAction 相同。
- NeedsDismissAction 指示是否需要发送可消除的消息,以警告用户因 DRM 弃用而导致潜在的数据丢失风险。
- WmdrmApiResult 用于收集 DRM 状态的 API 的原始值。
- WmdrmCdRipped 指示系统是否具有任何通过个人 DRM(用于翻录 CD)加密的文件。
- WmdrmIndicators WmdrmCdRipped OR WmdrmPurchased。
- WmdrmInUse 在设置过程中未消除 WmdrmIndicators AND 可消除块。
- WmdrmNonPermanent 指示系统是否具有任何带非永久许可证的文件。
- WmdrmPurchased 指示系统是否具有任何带永久许可证的文件。
统计事件
Census.App
此事件发送与此设备上运行的应用相关的版本数据,以帮助使 Windows 保持最新。
包含以下字段:
- AppraiserTaskEnabled 评估程序任务是否已启用。
- CensusVersion 为此设备生成当前数据的 Census 版本。
Census.Enterprise
此事件发送有关 Azure 是否存在、类型和云域使用的数据,以便了解企业、云和服务器环境中的设备的使用和集成。 随此事件收集的数据用于帮助使 Windows 保持安全。
包含以下字段:
- AADDeviceId Microsoft Entra ID 设备 ID。
- AzureOSIDPresent 表示用于标识 Azure 计算机的字段。
- AzureVMType 表示实例为 Azure VM PAAS、Azure VM IAAS 或任何其他 VM。
- CDJType 表示加入此计算机的云域的类型。
- CommercialId 表示设备所属商业实体的 GUID。 用于将见解反映回客户。
- ContainerType 容器的类型,如处理器或所托管的虚拟机。
- EnrollmentType 定义设备上的 MDM 注册类型。
- HashedDomain 用于登录的用户域的哈希表示。
- IsCloudDomainJoined 此设备是否已加入 Microsoft Entra 租户? True/False
- IsDERequirementMet 表示设备是否可以进行设备加密。
- IsDeviceProtected 表示设备是否受 BitLocker/设备加密保护
- IsEDPEnabled 表示设备上的企业数据是否受保护。
- IsMDMEnrolled 此设备是否已进行 MDM 注册。
- MDMServiceProvider:管理设备的特定 MDM 机构(如 Microsoft Intune)的哈希。
- MPNId 从注册表项返回合作伙伴 ID/MPN ID。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\DeployID
- SCCMClientId 此 ID 将向 Compat Analytics (OMS) 和其他基于 OMS 系统发送数据的系统与企业 Configuration Manager 环境中的系统关联在一起。
- ServerFeatures 表示 Windows 服务器上安装的功能。 它可供需要自动化用于确定一组服务器计算机上所安装功能的流程的开发人员和管理员使用。
- SystemCenterID Configuration Manager ID 是 Active Directory 组织标识符的匿名单向哈希
Census.Memory
此事件发送有关设备内存的数据,包括 ROM 和 RAM。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- TotalPhysicalRAM 表示物理内存 (MB)。
- TotalVisibleMemory 表示系统未保留的内存。
Census.Network
此事件发送与设备所使用的手机和移动网络相关的数据(移动服务提供商、网络、设备 ID 和服务成本因素)。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- CellularModemHWInstanceId0 PnP 系统报告并用于标识 Windows 系统中 WWAN 调制解调器设备的嵌入式移动宽带调制解调器的 HardwareInstanceId。 空的字符串 (空字符串) 指示此属性对于遥测未知。
- IMEI0 表示国际移动台设备标识。 此编号通常是唯一的,供移动运营商用于区分不同的手机硬件。 Microsoft 没有权限访问移动运营商账单数据,因此,收集此数据不会暴露或标识用户。 这两个字段表示带双 SIM 卡覆盖的手机。
- IMEI1 表示国际移动台设备标识。 此编号通常是唯一的,供移动运营商用于区分不同的手机硬件。 Microsoft 没有权限访问移动运营商账单数据,因此,收集此数据不会暴露或标识用户。 这两个字段表示带双 SIM 卡覆盖的手机。
- MCC0 表示移动国家/地区代码 (MCC)。 它与移动网络代码 (MNC) 结合使用,以唯一标识移动网络运营商。 这两个字段表示带双 SIM 卡覆盖的手机。
- MCC1 表示移动国家/地区代码 (MCC)。 它与移动网络代码 (MNC) 结合使用,以唯一标识移动网络运营商。 这两个字段表示带双 SIM 卡覆盖的手机。
- MNC0 检索移动网络代码 (MNC)。 它与移动国家/地区代码 (MCC) 结合使用,以唯一标识移动网络运营商。 这两个字段表示带双 SIM 卡覆盖的手机。
- MNC1 检索移动网络代码 (MNC)。 它与移动国家/地区代码 (MCC) 结合使用,以唯一标识移动网络运营商。 这两个字段表示带双 SIM 卡覆盖的手机。
- MobileOperatorNetwork0 表示设备当前所处的移动网络的运营商。 (AT&T、T-Mobile、Vodafone)。 这两个字段表示带双 SIM 卡覆盖的手机。
- MobileOperatorNetwork1 表示设备当前所处的移动网络的运营商。 (AT&T、T-Mobile、Vodafone)。 这两个字段表示带双 SIM 卡覆盖的手机。
- ModemOptionalCapabilityBitMap0 调制解调器中的可选功能位图,例如 eSIM 支持。
- NetworkAdapterGUID 主网络适配器的 GUID。
- SPN0 检索服务提供商名称 (SPN)。 例如,可以是 AT&T、Sprint、T-Mobile 或 Verizon。 这两个字段表示带双 SIM 卡覆盖的手机。
- SPN1 检索服务提供商名称 (SPN)。 例如,可以是 AT&T、Sprint、T-Mobile 或 Verizon。 这两个字段表示带双 SIM 卡覆盖的手机。
- SupportedDataClassBitMap0 调制解调器能够支持的数据类(如 5g 4g...)位图。
- SupportedDataSubClassBitMap0 调制解调器可使用数据子类的位图。
Census.OS
此事件发送与操作系统相关的信息(如版本、区域设置、更新服务配置、初次安装的时间和方式、是否为虚拟设备)。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ActivationChannel 检索计算机的零售许可证密钥或卷许可证密钥。
- AssignedAccessStatus 展台配置模式。
- CompactOS 指示是否已启用 Win10 的压缩操作系统功能。
- DeveloperUnlockStatus 表示设备是否已由用户或组策略针对开发人员解锁。
- DeviceTimeZone 设备上设置的时区。 示例:太平洋标准时间
- GenuineState 检索用于指定操作系统正版检查的 ID 值。
- InstallationType 检索操作系统安装的类型。 (清洁、升级、重置、刷新、更新)。
- InstallLanguage 用户计算机上安装的第一种语言。
- IsDeviceRetailDemo 检索设备是否在演示模式下运行。
- IsEduData 返回启用教育版数据策略时的布尔值。
- IsPortableOperatingSystem 检索操作系统是否运行 Windows-To-Go
- IsSecureBootEnabled 检索是否已在 UEFI 下签署启动链。
- LanguagePacks 设备上安装的语言包列表。
- LicenseStateReason 检索系统授权或取消授权的原因(或方式)。 HRESULT 可指示用于指示一个关键阻止错误的错误代码,或者它可指示我们运行的是 MS 商店授权的操作系统许可证。
- OA3xOriginalProductKey 检索 OEM 为计算机标记的许可证密钥。
- OSEdition 检索当前操作系统的版本。
- OSInstallType 检索设备上所使用安装类型(即升级、刷新、重置等)的数字描述
- OSOOBEDateTime 检索开箱即用体验 (OOBE) 日期,以协调世界时 (UTC) 表示。
- OSSKU 检索操作系统版本的友好名称。
- OSSubscriptionStatus 表示 PRO 计算机的企业订阅功能的现有状态。
- OSSubscriptionTypeId 返回选定 PRO 计算机的企业订阅功能的布尔值。
- OSUILocale 检索操作系统当前使用的 UI 的区域设置。
- ProductActivationResult 返回成功激活操作系统时的布尔值。
- ProductActivationTime 返回操作系统的激活时间,以跟踪盗版问题。
- ProductKeyID2 检索计算机通过新的许可证密钥进行更新时的许可证密钥。
- RACw7Id 检索 Microsoft 可靠性分析组件 (RAC) Win7 标识符。 RAC 用于监视和分析系统的使用情况和可靠性。
- ServiceMachineIP 检索用于防盗版的 KMS 主机的 IP 地址。
- ServiceMachinePort 检索用于防盗版的 KMS 主机的端口。
- ServiceProductKeyID 检索 KMS 的许可证密钥
- SharedPCMode 为已启用配置 EnableSharedPCMode 的设备返回布尔值。
- Signature 检索它是否为 Microsoft Store 售出的签名计算机。
- SLICStatus 设备上是否存在 SLIC 表。
- SLICVersion 返回 SLIC 表中的操作系统类型/版本。
Census.Speech
此事件用于收集设备上的基本语音设置。 随此事件收集的数据用于帮助使 Windows 保持安全。
包含以下字段:
- AboveLockEnabled Cortana 设置,用于表示是否能在设备锁定时调用 Cortana。
- GPAllowInputPersonalization 指示组策略设置是否已启用语音功能。
- HolographicSpeechInputDisabled Holographic 设置,用于表示连接的 HMD 设备是否具有用户禁用的语音功能。
- HolographicSpeechInputDisabledRemote 指示远程策略是否已禁用 HMD 设备的语音功能。
- KeyVer 统计语音事件的版本信息。
- KWSEnabled Cortana 设置,用于表示用户是否已启用“你好小娜”关键字定位程序 (KWS)。
- MDMAllowInputPersonalization 指示 MDM 策略是否已启用语音功能。
- RemotelyManaged 指示设备在语音功能上下文中是否由远程管理员(MDM 或组策略)控制。
- SpeakerIdEnabled Cortana 设置,用于表示是否已调整关键字检测以尝试响应单个用户语音。
- SpeechServicesEnabled Windows 设置,用于表示用户是否在设备上选择语音服务。
- SpeechServicesValueSource 指示有效在线语音识别隐私策略设置的决定因素:远程管理员、本地管理员或用户首选项。
Census.UserDisplay
此事件发送与逻辑/物理显示大小、内部/外部显示器的分辨率及数目和系统上的 VRAM 相关的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- InternalPrimaryDisplayLogicalDPIX 检索内部显示器 x 方向的逻辑 DPI。
- InternalPrimaryDisplayLogicalDPIY 检索内部显示器 y 方向的逻辑 DPI。
- InternalPrimaryDisplayPhysicalDPIX 检索内部显示器 x 方向的物理 DPI。
- InternalPrimaryDisplayPhysicalDPIY 检索内部显示器 y 方向的物理 DPI。
- InternalPrimaryDisplayResolutionHorizontal 检索内部显示器水平方向的像素。
- InternalPrimaryDisplayResolutionVertical 检索内部显示器垂直方向的像素。
- InternalPrimaryDisplaySizePhysicalH 检索显示器的物理水平长度 (mm)。 用于计算对角长度(以英寸为单位)。
- InternalPrimaryDisplaySizePhysicalY 检索显示器的物理垂直长度 (mm)。 用于计算对角长度(以英寸为单位)
- NumberofExternalDisplays 检索连接到此计算机的外部显示器数量
- NumberofInternalDisplays 检索计算机中的内部显示器数量。
- VRAMDedicated 检索视频 RAM (MB)。
- VRAMDedicatedSystem 检索专用视频卡的内存大小。
- VRAMSharedSystem 检索视频卡可使用的 RAM 内存大小。
Census.Xbox
此事件发送与 Xbox 控制台相关的数据,如序列号和 DeviceId,以帮助使 Windows 保持最新。
包含以下字段:
- XboxConsolePreferredLanguage 检索用户在 Xbox 控制台上选择的首选语言。
- XboxConsoleSerialNumber 检索 Xbox 主机的序列号。
- XboxLiveDeviceId 检索主机的唯一设备 ID。
- XboxLiveSandboxId 如果设备位于 Microsoft 内部,则检索开发人员沙盒 ID。
代码完整性事件
Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.IsRegionDisabledLanguage
检测到不兼容的语言包时触发。
提供有以下字段:
- Language 包含检测到的不兼容语言包的字符串。
常见数据扩展
Common Data Extensions.app
描述正在运行的应用程序的属性。 可以通过客户端应用或 Web 应用填充此扩展。
包含以下字段:
- asId 用于表示应用会话的整数值。 首次启动应用时,此值为 0,后续启动应用(按启动会话计算)后将会递增。
- env 从中记录事件的环境。
- expId 将外部测试版(如操作系统外部测试版)或试验(如网站 UX 试验)与事件相关联。
- id 表示当前已加载到生成事件进程中的客户端应用程序的唯一标识符;它用于按应用程序将事件组合在一起并了解使用模式和错误。
- locale 应用的区域设置。
- name 应用的名称。
- userId 应用程序已知的 userID。
- ver 表示应用程序的版本号。 用于了解应用中的版本错误和版本使用情况。
Common Data Extensions.container
描述容器内记录的事件的容器属性。
包含以下字段:
- epoch 针对每个 SDK 初始化递增的 ID。
- localId 客户端已知的设备 ID。
- osVer 操作系统版本。
- seq 针对每个事件递增的 ID。
- type 容器类型。 示例:进程或 VMHost
Common Data Extensions.device
描述与设备相关的字段。
包含以下字段:
- deviceClass 设备分类。 例如,桌面设备、服务器或移动电话。
- localId 在本地为设备定义的唯一 ID。 这不是用户可读的设备名称。 最有可能等于在 HKLM\Software\Microsoft\SQMClient\MachineId 中存储的值
- make 设备制造商。
- model 设备型号。
Common Data Extensions.Envelope
表示包含所有常见数据扩展的信封。
包含以下字段:
- data 表示特定事件架构的可选唯一诊断数据。
- ext_app 描述正在运行的应用程序的属性。 可以通过客户端应用或 Web 应用填充此扩展。 请参阅 Common Data Extensions.app。
- ext_container 描述容器内记录的事件的容器属性。 请参阅 Common Data Extensions.container。
- ext_device 描述与设备相关的字段。 请参阅 Common Data Extensions.device。
- ext_mscv 描述相关矢量的相关字段。 请参阅 Common Data Extensions.mscv。
- ext_os 描述将由客户端填充的操作系统属性。 请参阅 Common Data Extensions.os。
- ext_sdk 描述与特定 SDK 所需的平台库相关的字段。 请参阅 Common Data Extensions.sdk。
- ext_user 描述与用户相关的字段。 请参阅 Common Data Extensions.user。
- ext_utc 描述可能由 Windows 上的日志记录库填充的字段。 请参阅 Common Data Extensions.utc。
- ext_xbl 描述与 XBOX Live 相关的字段。 请参阅 Common Data Extensions.xbl。
- iKey 表示应用程序或其他事件逻辑分组的 ID。
- name 表示事件的唯一限定名称。
- time 表示事件在客户端上生成时的事件日期时间,采用协调世界时 (UTC) 表示。 这应该采用 ISO 8601 格式。
- ver 表示扩展的主要和次要版本。
Common Data Extensions.mscv
描述相关矢量的相关字段。
包含以下字段:
- cV 表示相关矢量:用于跨组件边界跟踪相关事件的部分顺序的单个字段。
Common Data Extensions.os
描述操作系统的某些属性。
包含以下字段:
- bootId 用于表示启动会话的整数值。 操作系统安装后首次启动时,此值为 0,每次重启之后将会递增。
- expId 表示试验 ID。 将诸如操作系统外部测试版(预发行版本)之类的外部测试版或诸如网站 UX 试验之类的试验与事件相关联的标准是将外部测试版/试验 ID 记录在常见架构的 A 部分中。
- locale 表示操作系统的区域设置。
- name 表示操作系统名称。
- ver 表示扩展的主要和次要版本。
Common Data Extensions.sdk
由特定于平台的库用于记录特定 SDK 所需的字段。
包含以下字段:
- epoch 针对每个 SDK 初始化递增的 ID。
- installId 第一次初始化 SDK 时创建的 ID。
- libVer SDK 版本。
- seq 针对每个事件递增的 ID。
- ver 日志记录 SDK 的版本。
Common Data Extensions.user
描述与用户相关的字段。
包含以下字段:
- authId 这是与此事件关联的用户的 ID,该 ID 从诸如 Microsoft 帐户票证或 XBOX 令牌之类的令牌中推断得出。
- locale 语言和地区。
- localId 表示客户端本地创建和添加的唯一用户标识。 这不是用户帐户 ID。
Common Data Extensions.utc
描述可由 Windows 上的日志记录库填充的属性。
包含以下字段:
- aId 表示 ETW ActivityId。 通过 TraceLogging 或直接通过 ETW 登录。
- bSeq 上传缓冲区序列号,格式为 buffer identifier:sequence number
- cat 表示与事件关联的 ETW 关键字的位掩码。
- cpId 编辑器 ID,如引用、桌面设备、手机、全息系统、中心、IoT 编辑器。
- epoch 表示 epoch 和 seqNum 字段,这两个字段有助于跟踪触发的事件数量和上传的事件数量,并且还可以标识在入口服务器上对事件进行上传和重复数据消除操作时丢失的数据。
- eventFlags 表示用于描述“已连接的用户体验和遥测”组件管道应如何处理事件的位集合。 最低位字节表示事件的持久性。 倒数第二位字节表示事件的延迟。
- flags 表示用于捕获各种 Windows 特定标记的位图。
- loggingBinary 激发事件的二进制文件(可执行文件、库、驱动程序等)。
- mon 组合的监视器和事件序列号,格式为 monitor sequence : event sequence
- op 表示 ETW 操作码。
- pgName 与事件关联的提供程序组名称的简写形式。
- popSample 表示此事件由客户端生成时的有效采样率。
- providerGuid 与提供程序名称关联的 ETW 提供程序 ID。
- raId 表示 ETW 相关 ActivityId。 通过 TraceLogging 或直接通过 ETW 登录。
- seq 表示用于跟踪已上传事件的绝对顺序的序列字段。 对于每个已添加到上传队列的事件,它是一个递增标识符。 序列有助于跟踪触发的事件数量和上传的事件数量,并且还可以标识在入口服务器上对事件进行上传和重复数据消除操作时丢失的数据。
- sqmId Windows SQM(软件质量度量 - Windows 10 诊断数据收集的提示)设备标识符。
- stId 表示方案入口点 ID。 这是诊断方案中每个事件的唯一 GUID。 它过去被称为方案触发器 ID。
- wcmp Windows Shell 编辑器 ID。
- wPId Windows 核心操作系统产品 ID。
- wsId Windows 核心操作系统会话 ID。
Common Data Extensions.xbl
描述与 XBOX Live 相关的字段。
包含以下字段:
- claims 短声明名称尚未添加到此结构的任何其他声明。
- did XBOX 设备 ID
- dty XBOX 设备类型
- dvr 设备上的操作系统版本。
- eid 表示开发人员实体的唯一 ID。
- exp 过期时间
- ip 客户端设备的 IP 地址。
- nbf 最早时间
- pid 以 base10 数字列出的 PUID 的逗号分隔列表。
- sbx XBOX 沙盒标识符
- sid 服务实例 ID。
- sty 服务类型。
- tid XBOX Live 标题 ID。
- tvr XBOX Live 标题版本。
- uts 位字段,且 2 个位分配给 xid 中所列的每个用户 ID。 如果所有用户为零售帐户,则此字段将省略。
- xid 采用 base10 编码的 XBOX 用户 ID 的列表。
常见数据字段
Ms.Device.DeviceInventoryChange
描述特定设备上所有可用硬件和软件组件的安装状态。
包含以下字段:
- action 在设备清单对象上调用的更改。
- inventoryId 用于兼容性测试的设备 ID
- objectInstanceId 在设备范围内唯一的对象标识。
- objectType 指示事件所适用的对象类型。
- syncId 用于对属于一起的 StartSync、EndSync、Add 和 Remove 操作进行分组的字符串。 此字段为同步期所独有,用于在多个代理对相同对象执行重叠清单的情况下消除歧义。
基于组件的维护事件
CbsServicingProvider.CbsCapabilitySessionFinalize
此事件提供有关从 Windows 更新中安装或卸载可选 Windows 内容的结果的信息。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- capabilities 已安装的可选内容包的名称。
- clientId 请求可选内容的应用程序的名称。
- currentID 当前安装会话的 ID。
- downloadSource 下载的源。
- highestState 可选内容的最高最终安装状态。
- hrLCUReservicingStatus 指示可选内容是否已更新到最新的可用版本。
- hrStatus 安装操作的 HReturn 代码。
- rebootCount 完成安装所需的重启数。
- retryID 用于重试失败操作的会话 ID。
- retryStatus 指示是否在发生故障时重试安装。
- stackBuild 服务堆栈的内部版本号。
- stackMajorVersion 服务堆栈的主要版本号。
- stackMinorVersion 服务堆栈的次要版本号。
- stackRevision 服务堆栈的修订号。
CbsServicingProvider.CbsLateAcquisition
此事件发送数据,以指示某些操作系统软件包是否无法在升级过程中进行更新,从而帮助使 Windows 保持最新。
提供有以下字段:
- Features 无法更新的功能包列表。
- RetryID 用于标识更新所列程序包的重试尝试的 ID。
CbsServicingProvider.CbsQualityUpdateInstall
此事件报告为使 Windows 保持最新而从 Windows 更新安装服务内容的性能和可靠性结果。
包含以下字段:
- buildVersion 更新包的内部版本号。
- clientId 请求可选内容的应用程序的名称。
- corruptionHistoryFlags 在设备上导致更新失败的组件存储损坏类型的位掩码。
- corruptionType 一个列出造成当前更新失败的数据损坏类型的枚举。
- currentStateEnd 操作完成后包的最终状态。
- doqTimeSeconds 更新驱动程序所用的时间(以秒为单位)。
- executeTimeSeconds 执行安装所需的秒数。
- failureDetails 导致更新失败的驱动程序或安装程序。
- failureSourceEnd 一个指示失败发生在更新的哪个阶段的枚举。
- hrStatusEnd 安装操作的返回代码。
- initiatedOffline 一个指示是否已将程序包安装到脱机 Windows 映像格式 (WIM) 文件的 true 或 false 值。
- majorVersion 更新包的主要版本号。
- minorVersion 更新包的次要版本号。
- originalState 程序包的起始状态。
- overallTimeSeconds 执行整个服务操作的时间(以秒为单位)。
- planTimeSeconds 计划更新操作所需的时间(以秒为单位)。
- poqTimeSeconds 处理文件和注册表操作所用的时间(以秒为单位)。
- postRebootTimeSeconds 为更新执行启动处理的时间(以秒为单位)。
- preRebootTimeSeconds 执行安装和重新启动之间的间隔时间(以秒为单位)。
- primitiveExecutionContext 一个指示在关闭或启动的哪个阶段安装了更新的枚举。
- rebootCount 安装更新所需的重启次数。
- rebootTimeSeconds 开始为更新执行启动处理之前等待的时间(以秒为单位)。
- resolveTimeSeconds 解析更新中的程序包所需的时间(以秒为单位)。
- revisionVersion 更新包的修订版本号。
- rptTimeSeconds 执行安装程序插件所用的时间(以秒为单位)。
- shutdownTimeSeconds 为更新执行关闭处理所需的时间(以秒为单位)。
- stackRevision 服务堆栈的修订号。
- stageTimeSeconds 暂存更新中的所有文件所需的时间(以秒为单位)。
CbsServicingProvider.CbsSelectableUpdateChangeV2
此事件报告启用或禁用可选 Windows 内容以使 Windows 保持最新的结果。
包含以下字段:
- applicableUpdateState 指示可选内容的最高可用状态。
- buildVersion 正在安装的程序包的内部版本。
- clientId 请求可选内容更改的应用程序的名称。
- downloadSource 指示可选内容是否是从 Windows 更新或本地可访问文件获取的。
- downloadtimeInSeconds 指示可选内容是否是从 Windows 更新或本地可访问文件获取的。
- executionID 用于标识与单个服务操作相关联的事件且不重复用于将来操作的唯一 ID。
- executionSequence 跟踪在设备上尝试的服务操作数量的计数器。
- firstMergedExecutionSequence 要与当前操作合并的之前的 executionSequence 计数器的值(如果适用)。
- firstMergedID 要与此操作合并的之前的服务操作的唯一 ID(如果适用)。
- hrDownloadResult 下载操作的返回代码。
- hrStatusUpdate 服务操作的返回代码。
- identityHash 正在安装或卸载的 Windows 程序包的假名化(哈希)标识符。
- initiatedOffline 指示是否对脱机 Windows 映像文件或运行的 Windows 实例执行操作。
- majorVersion 正在安装的程序包的主要版本。
- minorVersion 正在安装的程序包的次要版本。
- packageArchitecture 正在安装的程序包的体系结构。
- packageLanguage 正在安装的程序包的语言。
- packageName 正在安装的程序包的名称。
- rebootRequired 指示是否需要重启才能完成操作。
- revisionVersion 正在安装的程序包的版本号。
- stackBuild 执行安装的服务堆栈二进制文件的内部版本号。
- stackMajorVersion 执行安装的服务堆栈二进制文件的主版本号。
- stackMinorVersion 执行安装的服务堆栈二进制文件的次要版本号。
- stackRevision 执行安装的服务堆栈二进制文件的修订号。
- updateName 要启用或禁用的可选 Windows 操作系统功能的名称。
- updateStartState 指示操作开始之前可选内容的状态的值。
- updateTargetState 指示可选内容所需状态的值。
诊断数据事件
TelClientSynthetic.AbnormalShutdown_0
此事件发送有关未观察到正常干净关机的启动 ID 的数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- AbnormalShutdownBootId 此事件报告异常关闭的 BootId。
- AbsCausedbyAutoChk 当 AutoCheck 强制设备重启以指示关机不是异常关机时,将设置此标志。
- AcDcStateAtLastShutdown 标识设备是使用电池电量还是已插入电源。
- BatteryLevelAtLastShutdown 上次记录的电池剩余电量。
- BatteryPercentageAtLastShutdown 上次关机时的电池电量百分比。
- CrashDumpEnabled 是否启用了故障转储?
- CumulativeCrashCount 自 BootId 重置后,操作系统故障的累计次数。
- CurrentBootId 报告异常关闭事件时的 BootId。
- Firmwaredata->ResetReasonEmbeddedController 固件提供的重置原因。
- Firmwaredata->ResetReasonEmbeddedControllerAdditional 与固件提供的重置原因相关的其他数据。
- Firmwaredata->ResetReasonPch 由硬件提供的重置原因。
- Firmwaredata->ResetReasonPchAdditional 与硬件提供的重置原因相关的其他数据。
- Firmwaredata->ResetReasonSupplied 指示固件是否提供了任何重置原因。
- FirmwareType 在 DimFirmwareType 中枚举的 FirmwareType 的 ID。
- HardwareWatchdogTimerGeneratedLastReset 指示上次重置是否由硬件监视器计时器所导致。
- HardwareWatchdogTimerPresent 指示是否存在硬件监视器计时器。
- InvalidBootStat 确保 bootstat 文件有效性的完整性检查标志。
- LastBugCheckBootId 上次捕获的故障的 BootId。
- LastBugCheckCode 指示错误类型的代码。
- LastBugCheckContextFlags 其他故障转储设置。
- LastBugCheckOriginalDumpType 系统要保存的故障转储的类型。
- LastBugCheckOtherSettings 其他故障转储设置。
- LastBugCheckParameter1 包含其他错误类型信息的第一个参数。
- LastBugCheckProgress 上次故障转储的写出进度。
- LastBugCheckVersion 故障期间写入的信息结构的版本。
- LastSuccessfullyShutdownBootId 上次完全成功关机的 BootId。
- LongPowerButtonPressDetected 标识用户是否长按了电源按钮。
- LongPowerButtonPressInstanceGuid 按住电源按钮的用户状态的实例 GUID。
- OOBEInProgress 标识 OOBE 是否正在运行。
- OSSetupInProgress 标识操作系统设置是否正在运行。
- PowerButtonCumulativePressCount 按下电源按钮的次数。
- PowerButtonCumulativeReleaseCount 松开电源按钮的次数。
- PowerButtonErrorCount 指示尝试记录电源按钮指标时出错的次数。
- PowerButtonLastPressBootId 上次按下电源按钮时的 BootId。
- PowerButtonLastPressTime 上次按下电源按钮时的日期和时间。
- PowerButtonLastReleaseBootId 上次松开电源按钮时的 BootId。
- PowerButtonLastReleaseTime 上次松开电源按钮时的日期和时间。
- PowerButtonPressCurrentCsPhase 表示按下电源按钮时连接待机退出的阶段。
- PowerButtonPressIsShutdownInProgress 指示上次按下电源按钮时系统是否正在关闭。
- PowerButtonPressLastPowerWatchdogStage 打开显示器时的进度。
- PowerButtonPressPowerWatchdogArmed 指示上次按下电源按钮时监视器的监视程序是否处于活动状态。
- ShutdownDeviceType 标识关闭的触发方式。 包括电池触发、热区域触发或通过内核 API 触发。
- SleepCheckpoint 在休眠转换期间出现故障时提供上一个检查点。
- SleepCheckpointSource 指示源是 EFI 变量还是 bootstat 文件。
- SleepCheckpointStatus 指示检查点信息是否有效。
- StaleBootStatData 标识来自 bootstat 的数据是否过时。
- TransitionInfoBootId 捕获的转换信息的 BootId。
- TransitionInfoCSCount l 系统从连接待机模式转换的次数。
- TransitionInfoCSEntryReason 指示设备上次进入连接待机模式的原因。
- TransitionInfoCSExitReason 指示设备上次退出连接待机模式的原因。
- TransitionInfoCSInProgress 保存最后一个标记时,系统处于或正在进入连接待机模式。
- TransitionInfoLastBootDiagCode 通过诊断代码告诉我们上次启动的情况。
- TransitionInfoLastBootDiagStatus 告诉我们上次启动诊断代码是否有效。
- TransitionInfoLastReferenceTimeChecksum TransitionInfoLastReferenceTimestamp 的校验和。
- TransitionInfoLastReferenceTimestamp 上次保存标记的日期和时间。
- TransitionInfoLidState 描述笔记本电脑盖的状态。
- TransitionInfoPowerButtonTimestamp 上次按下电源按钮时的日期和时间。
- TransitionInfoSleepInProgress 保存最后一个标记时,系统处于或正在进入休眠模式。
- TransitionInfoSleepTranstionsToOn 设备从休眠模式转换的总次数。
- TransitionInfoSystemRunning 保存最后一个标记时,设备正在运行。
- TransitionInfoSystemShutdownInProgress 指示按下电源按钮时设备是否正在关闭。
- TransitionInfoUserShutdownInProgress 指示按下电源按钮时用户是否正在关闭。
- TransitionLatestCheckpointId 表示设备状态转换期间检查点的唯一标识符。
- TransitionLatestCheckpointSeqNumber 表示检查点的时间顺序编号。
- TransitionLatestCheckpointType 表示检查点的类型,类型可以是阶段开始、阶段结束,也可以仅供参考。
- VirtualMachineId 如果操作系统位于虚拟机上,则它会提供可用于关联主机上的事件的虚拟机 ID (GUID)。
TelClientSynthetic.AuthorizationInfo_Startup
此事件由启动时的 UTC 触发,指示允许我们收集哪些数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- CanAddMsaToMsTelemetry 当我们可以将 MSA PUID 和 CID 添加到遥测时为 true,否则为 false。
- CanCollectAnyTelemetry 当允许我们收集合作伙伴遥测时为 true,否则为 false。
- CanCollectClearUserIds 如果允许收集清除用户 ID,则为 true;如果只能收集省略的 ID,则为 false。
- CanCollectCoreTelemetry 当我们可以收集核心/基本遥测时为 true,否则为 false。
- CanCollectHeartbeats 当我们可以收集检测信号遥测时为 true,否则为 false。
- CanCollectOsTelemetry 当我们可以收集诊断数据遥测时为 true,否则为 false。
- CanCollectWindowsAnalyticsEvents 当我们可以收集 Windows Analytics 数据时为 true,否则为 false。
- CanIncludeDeviceNameInDiagnosticData 如果允许将设备名称添加到诊断数据,则为 true,否则为 false。
- CanPerformDiagnosticEscalations 当我们可以执行诊断升级收集时为 true,否则为 false。
- CanPerformSiufEscalations 如果可以执行系统发起的用户反馈呈报收集,则为 true,否则为 false。
- CanReportScenarios 当我们可以报告方案完成时为 true,否则为 false。
- CanReportUifEscalations 如果可以执行用户发起的反馈呈报收集,则为 true,否则为 false。
- CanUseAuthenticatedProxy 如果可以使用经过身份验证的代理发送数据,则为 true,否则为 false。
- IsProcessorMode 如果为处理器模式,则其为 true,否则为 false。
- PreviousPermissions 以前遥测状态的位掩码。
- TransitionFromEverythingOff 当我们正在从禁用的所有遥测转换时为 true,否则为 false。
TelClientSynthetic.ConnectivityHeartBeat_0
此事件发送与“已连接用户体验和遥测组件”(用于上传遥测事件)的连接状态相关的数据。 如果免费的受限网络(例如 WLAN)可用,则此事件将更新最后成功上传的时间。 否则,它将检查在过去 24 小时内是否发送了连接信号检测事件,如果没有,则它将会发送事件。 当设备从付费网络恢复为免费网络时,也会发送连接信号检测事件。
包含以下字段:
- CensusExitCode 统计任务的最后一个退出代码。
- CensusStartTime 返回与上次成功运行统计对应的时间戳。
- CensusTaskEnabled 返回客户端计算机上的统计任务(启用/禁用)的布尔值。
- LastConnectivityLossTime 免费网络丢失上次发生时的 FILETIME。
- NetworkState 检索网络状态:0 = 无网络。 1 = 受限网络。 2 = 免费网络。
- NoNetworkTime 检索处于无网络状态时间(最后时间之后),以秒为单位。
- RestrictedNetworkTime 此检测信号期间网络受限的总秒数。
TelClientSynthetic.HeartBeat_5
此事件发送与给定设备中诊断数据的健康状况和质量相关的数据,以帮助使 Windows 保持最新。 此外,它还使数据分析师能够确定给定设备中数据的“受信任”程度。
包含以下字段:
- AgentConnectionErrorsCount 与主机/代理通道关联的非超时错误的数量。
- CensusExitCode 最后一个统计任务退出代码。
- CensusStartTime 最后运行统计的时间。
- CensusTaskEnabled 当统计已启用时为 true,否则为 false。
- CompressedBytesUploaded 上传的压缩字节数。
- ConsumerDroppedCount 在遥测客户端的消费者层丢弃的事件数量。
- CriticalDataDbDroppedCount 在数据库层丢弃的关键数据采样事件的数量。
- CriticalDataThrottleDroppedCount 因限制而丢弃的关键数据采样事件的数量。
- CriticalOverflowEntersCounter 事件数据库进入关键溢出模式的次数。
- DbCriticalDroppedCount 事件数据库中丢弃的关键事件的总数。
- DbDroppedCount 因数据库已满而丢弃的事件数量。
- DbDroppedFailureCount 因数据库故障而丢弃的事件数量。
- DbDroppedFullCount 因数据库已满而丢弃的事件的数量。
- DecodingDroppedCount 因解码故障而丢弃的事件数量。
- EnteringCriticalOverflowDroppedCounter 因启动关键溢出模式而丢弃的事件数量。
- EtwDroppedBufferCount UTC ETW 会话中丢弃的缓冲区数量。
- EtwDroppedCount 在遥测客户端的 ETW 层丢弃的事件数量。
- EventsPersistedCount 到达 PersistEvent 阶段的事件数量。
- EventStoreLifetimeResetCounter 为 UTC 的生命周期重置事件数据库的次数。
- EventStoreResetCounter 事件数据库重置的次数。
- EventStoreResetSizeSum 此实例中所有重置报告中的事件数据库的总大小。
- EventsUploaded 已上传的事件数量。
- Flags 指示设备状态(如网络状态、电池状态和选择状态)的标记。
- FullTriggerBufferDroppedCount 因触发器缓冲器已满而丢弃的事件数量。
- HeartBeatSequenceNumber 此检测信号的序列号。
- InvalidHttpCodeCount 通过联系 Vortex 接收的无效 HTTP 代码的数量。
- LastAgentConnectionError 主机/代理通道中发生的最后一个非超时错误。
- LastEventSizeOffender 超出最大事件大小的最后事件的事件名称。
- LastInvalidHttpCode 从 Vortex 接收到的最后一个无效 HTTP 代码。
- MaxActiveAgentConnectionCount 在此信号检测时间框架内的最大活动代理数量。
- MaxInUseScenarioCounter UTC 加载的方案的最大数量。
- PreviousHeartBeatTime 最后一个检测信号事件的时间(允许链接事件)。
- PrivacyBlockedCount 由于隐私设置或标记而被阻止的事件数。
- RepeatedUploadFailureDropped 由于单个缓冲区重复上传失败而丢失的事件数。
- SettingsHttpAttempts 尝试联系 OneSettings 服务的次数。
- SettingsHttpFailures 联系 OneSettings 服务的失败次数。
- ThrottledDroppedCount 因杂音提供商限制而丢弃的事件数量。
- TopUploaderErrors 从上传终结点收到的主要错误列表。
- UploaderDroppedCount 在遥测客户端的上载器层丢弃的事件数量。
- UploaderErrorCount 从上传终结点收到的错误数。
- VortexFailuresTimeout 从 Vortex 接收到的超时故障的次数。
- VortexHttpAttempts 尝试联系 Vortex 的次数。
- VortexHttpFailures4xx 从 Vortex 接收到的 400-499 错误代码的数量。
- VortexHttpFailures5xx 从 Vortex 接收到的 500-599 错误代码的数量。
- VortexHttpResponseFailures 非 2XX 或 400 Vortex 响应的数量。
- VortexHttpResponsesWithDroppedEvents 包含至少 1 个丢弃事件的 Vortex 响应的数量。
TelClientSynthetic.PrivacyGuardReport
报告连接的用户体验和遥测服务遇到可能包含隐私数据的事件。 该事件包含识别和研究触发报表的源事件所需的信息。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- EventEpoch 触发报表的源事件触发的时期。
- EventName 触发报表的源事件的名称。
- EventSeq 触发报告的源事件的序列号。
- FieldName 触发报表的源事件中的感兴趣的字段。
- IsAllowedToSend 如果在触发报告的源事件中未修改感兴趣的字段,则为 true;如果匿名化了感兴趣的字段,则为 false。
- IsDebug 如果事件是在 Windows 调试版本中记录的,则为 True。
- TelemetryApi 用于记录触发报表的源事件的应用程序编程接口。 此字段的当前值可以是"etw"或"rpc"。
- TypeAsText 触发报告的源事件中检测到的问题类型。 此字段的当前值可以是"UserName"或"DeviceName"。
驱动程序安装事件
Microsoft.Windows.DriverInstall.NewDevInstallDeviceEnd
此事件会在驱动程序安装完成后发送有关驱动程序安装的数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
包含以下字段:
- DeviceInstanceId 系统中设备的唯一标识符。
- DriverUpdated 指示是否更新了驱动程序。
- Error 安装的 Win32 错误代码。
- InstallDate 安装驱动程序的日期。
- InstallFlags 驱动程序安装标志。
- OptionalData 与驱动程序关联的 WU(Windows 更新)特定元数据(外部测试版 ID、恢复 ID 等)
- RebootRequired 指示安装后是否需要重启。
- RollbackPossible 指示此驱动程序是否可以回退。
Microsoft.Windows.DriverInstall.NewDevInstallDeviceStart
此事件将发送有关新驱动程序安装正在替换的驱动程序的数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
包含以下字段:
- DeviceInstanceId 系统中设备的唯一标识符。
- FirstInstallDate 第一次在此设备上安装驱动程序的时间。
- InstallFlags 指示如何调用驱动程序设置的标志。
- LastDriverDate 正在更换的驱动程序的日期。
- LastDriverInbox 指示 Windows 是否附带以前的驱动程序。
- LastDriverInfName 要替换的驱动程序的 INF 文件(设置信息文件)的名称。
- LastDriverPackageId 当前安装操作开始前,设备上安装的驱动程序包的 ID。 ID 包含名称 + 体系结构 + 哈希。
- LastDriverVersion 要替换的驱动程序版本。
- LastFirmwareDate 从 EFI 系统资源表 (ESRT) 中报告的最后一个固件的日期。
- LastFirmwareRevision 从 EFI 系统资源表 (ESRT) 中报告的最后一个固件版本号。
- LastFirmwareVersion 从 EFI 系统资源表 (ESRT) 中报告的最后一个固件版本。
- LastInstallDate 上次在此设备上安装驱动程序的日期。
- LastMatchingDeviceId Windows 上次安装设备实例所使用的硬件 ID 或兼容 ID。
- LastProblem 在设备上设置的上一个问题代码。
- LastProblemStatus 在设备上设置的上一个问题代码。
- LastSubmissionId 正在被替换的驱动程序的驱动程序提交标识符。
故障报告事件
Microsoft.Windows.FaultReporting.AppCrashEvent
此事件发送与本地和托管应用程序崩溃相关的数据,以帮助使 Windows 保持最新。 此数据包括与奔溃流程及其异常记录汇总相关的信息。 它不包含任何 Watson 存储桶信息。 存储桶记录在 WER 客户端报告 Watson 服务崩溃时生成的 Windows 错误报告 (WER) 事件中,并且 WER 事件包含与所报告的崩溃事件相同的 ReportID(请查看崩溃事件的字段 14、WER 事件的字段 19)。 每个由 WER 处理的崩溃(如,来自未处理的异常或 FailFast 或 ReportException)均会发出 AppCrash 一次。 请注意,被用户视为崩溃的通用 Watson 事件类型(例如,来自 PLM)不会发出此事件。
提供有以下字段:
- AppName 已崩溃的应用名称。
- AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
- AppTimeStamp 应用的日期和时间戳。
- AppVersion 已崩溃的应用版本。
- ExceptionCode 已崩溃进程返回的异常代码。
- ExceptionOffset 发生异常的地址。
- Flags 指示报告完成方式的标记。 例如,将报告排队、不提供 JIT 调试或报告后不终止进程。
- FriendlyAppName 已崩溃应用的描述(如果不同于 AppName)。 否则为进程名称。
- IsFatal True/False,用于指示故障是否导致进程终止。
- ModName 异常模块名称(如 bar.dll)。
- ModTimeStamp 模块的日期/时间戳。
- ModVersion 已崩溃模块的版本。
- PackageFullName Microsoft Store 应用程序标识。
- PackageRelativeAppId Store 应用程序标识。
- ProcessArchitecture 崩溃进程的体系结构,作为以下 PROCESSOR_ARCHITECTURE_* 常量之一:0: PROCESSOR_ARCHITECTURE_INTEL。 5: PROCESSOR_ARCHITECTURE_ARM。 9: PROCESSOR_ARCHITECTURE_AMD64。 12: PROCESSOR_ARCHITECTURE_ARM64。
- ProcessCreateTime 已崩溃进程的创建时间。
- ProcessId 已崩溃进程的 ID。
- ReportId 用于标识报告的 GUID。 它可用于跟踪 Watson 内的报告。
- TargetAppId 所报告应用程序的内核报告 AppId。
- TargetAppVer 所报告的特定版本的应用程序。
- TargetAsId 挂起进程的序列号。
功能质量事件
Microsoft.Windows.FeatureQuality.Heartbeat
此事件指示功能状态检测信号。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- Features 特征数组。
Microsoft.Windows.FeatureQuality.StateChange
此事件指示功能状态的更改。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- flightID 外部测试版 id。
- 状态 新状态。
Microsoft.Windows.FeatureQuality.Status
此事件指示功能状态。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- featureId 功能 ID。
- flightID 外部测试版 id。
- time 状态更改时间。
- variantId 变体 ID。
挂起报告事件
Microsoft.Windows.HangReporting.AppHangEvent
此事件发送与本地和托管应用程序挂起相关的数据,以帮助使 Windows 保持最新。 它不包含任何 Watson 存储桶信息。 存储桶记录在 WER 客户端报告 Watson 服务挂起时生成的 Windows 错误报告 (WER) 事件中,并且 WER 事件包含与所报告的挂起事件相同的 ReportID(请查看挂起事件的字段 13、WER 事件的字段 19)。 AppHang 仅在电脑设备上报告。 它用于处理经典 Win32 挂起,并且每个报告只会发出一次。 对于某些可能会被用户视为挂起的行为,应用管理员(如 PLM/RM/EM)会将其报告为 Watson 通用并且不会生成 AppHang 事件。
提供有以下字段:
- AppName 已挂起的应用名称。
- AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
- AppVersion 已挂起的应用版本。
- IsFatal True/False,具体取决于挂起的应用程序是否导致创建致命的挂起报告。
- PackageFullName Microsoft Store 应用程序标识。
- PackageRelativeAppId Store 应用程序标识。
- ProcessArchitecture 挂起进程的体系结构,作为以下 PROCESSOR_ARCHITECTURE_* 常量之一:0: PROCESSOR_ARCHITECTURE_INTEL。 5: PROCESSOR_ARCHITECTURE_ARM。 9: PROCESSOR_ARCHITECTURE_AMD64。 12: PROCESSOR_ARCHITECTURE_ARM64。
- ProcessCreateTime 已挂起进程的创建时间。
- ProcessId 已挂起进程的 ID。
- ReportId 用于标识报告的 GUID。 它可用于跟踪 Watson 内的报告。
- TargetAppId 所报告应用程序的内核报告 AppId。
- TargetAppVer 所报告的特定版本的应用程序。
- TargetAsId 挂起进程的序列号。
- TypeCode 用于描述挂起类型的位图。
- WaitingOnAppName 如果它是等待应用程序的跨进程挂起,则其具有应用程序的名称。
- WaitingOnAppVersion 如果它为跨进程挂起,则其具有所等待应用程序的版本。
- WaitingOnPackageFullName 如果它是等待包的跨进程挂起,则其具有所等待包的完整名称。
- WaitingOnPackageRelativeAppId 如果它为等待包的跨进程挂起,则其具有该包的相对应用程序 ID。
全息事件
Microsoft.Windows.Analog.Spectrum.TelemetryHolographicSpaceCreated
此事件指示 Windows 全息场景的状态。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
- IsForCompositor True/False 指示全息空间是否用于合成器进程。
- 源 指示日志源的枚举。
- WindowInstanceId 每个窗口实例的唯一值。
Microsoft.Windows.Shell.HolographicFirstRun.AppActivated
此事件指示 Windows 混合现实门户应用激活状态。 此事件还用于计数 WMR 设备。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- IsDemoMode Windows 混合现实门户应用演示模式状态。
- IsDeviceSetupComplete Windows 混合现实门户应用设备安装完成状态。
- PackageVersion Windows 混合现实门户应用包版本。
- PreviousExecutionState Windows 混合现实门户应用的先前执行状态。
- wilActivity Windows 混合现实门户应用 wilActivity ID。
TraceLoggingOasisUsbHostApiProvider.DeviceInformation
此事件提供 Windows Mixed Reality 设备信息。 此事件还用于计数 WMR 设备和设备类型。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- BootloaderMajorVer Windows Mixed Reality 设备启动加载程序主要版本。
- BootloaderMinorVer Windows Mixed Reality 设备启动加载程序次要版本。
- BootloaderRevisionNumber Windows Mixed Reality 设备启动加载程序修订号。
- CalibrationBlobSize Windows Mixed Reality 设备校准 blob 大小。
- CalibrationFwMajorVer Windows Mixed Reality 设备校准固件主要版本。
- CalibrationFwMinorVer Windows Mixed Reality 设备校准固件次要版本。
- CalibrationFwRevNum Windows Mixed Reality 设备校准固件修订号。
- DeviceInfoFlags Windows Mixed Reality 设备信息标志。
- FirmwareMajorVer Windows Mixed Reality 设备固件主要版本。
- FirmwareMinorVer Windows Mixed Reality 设备固件次要版本。
- FirmwareRevisionNumber Windows Mixed Reality 设备校准固件修订号。
- FpgaFwMajorVer Windows Mixed Reality 设备 FPGA 固件主要版本。
- FpgaFwMinorVer Windows Mixed Reality 设备 FPGA 固件次要版本。
- FpgaFwRevisionNumber Windows Mixed Reality 设备 FPGA 固件修订号。
- FriendlyName Windows Mixed Reality 设备友好名称。
- HashedSerialNumber Windows Mixed Reality 设备哈希序列号。
- HeaderSize Windows Mixed Reality 设备标头大小。
- HeaderVersion Windows Mixed Reality 设备标头版本。
- LicenseKey Windows Mixed Reality 设备标头许可密钥。
- Make Windows Mixed Reality 设备品牌。
- ManufacturingDate Windows Mixed Reality 设备制造日期。
- Model Windows Mixed Reality 设备型号。
- PresenceSensorHidVendorPage Windows Mixed Reality 设备状态传感器 HID 供应商页面。
- PresenceSensorHidVendorUsage Windows Mixed Reality 设备状态传感器 HID 供应商使用情况。
- PresenceSensorUsbVid Windows Mixed Reality 设备状态传感器 USB VId。
- ProductBoardRevision Windows Mixed Reality 设备产品主板修订号。
- SerialNumber Windows Mixed Reality 设备序列号。
清单事件
Microsoft.Windows.Inventory.Core.AmiTelCacheChecksum
此事件捕获与缓存中存储的设备清单项相关的基本校验和数据,用于验证 Microsoft.Windows.Inventory.Core 事件的数据完整性。 此事件中的字段可随时间更改,但它们始终表示给定对象的计数。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- DriverPackageExtended 缓存中的 driverpackageextended 对象计数。
- InventoryAcpiPhatHealthRecord 缓存中 ACPI PHAT 运行状况记录对象的计数。
- InventoryAcpiPhatVersionElement 缓存中 ACPI PHAT 版本元素对象的计数。
- InventoryApplication 缓存中的应用程序对象计数。
- InventoryApplicationDriver 缓存中的应用程序驱动程序对象计数
- InventoryApplicationFramework 缓存中的应用程序框架对象计数
- InventoryDeviceContainer 缓存中的设备容器对象计数。
- InventoryDeviceInterface 缓存中的即插即用设备接口对象计数。
- InventoryDeviceMediaClass 缓存中的设备媒体对象计数。
- InventoryDevicePnp 缓存中的设备即插即用对象计数。
- InventoryDeviceSensor 缓存中设备传感器对象的计数。
- InventoryDeviceUsbHubClass 缓存中的设备 USB 对象计数
- InventoryDriverBinary 缓存中的驱动程序二进制对象计数。
- InventoryDriverPackage 缓存中的设备对象计数。
- InventoryVersion 测试
Microsoft.Windows.Inventory.Core.InventoryApplicationFrameworkAdd
此事件提供与应用程序可能依赖的框架相关的基本元数据。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- FileId 唯一标识文件的哈希。
- Frameworks 此文件所依赖的框架列表。
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryApplicationFrameworkStartSync
此事件指示将发送新的 InventoryApplicationFrameworkAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryApplicationRemove
此事件指示将发送新的 InventoryDevicePnpAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDeviceContainerAdd
此事件发送有关设备容器(如监视器或打印机,而不是即插即用设备)的基本元数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态,并使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- Categories 容器所属的功能类别列表(以逗号分隔)。
- DiscoveryMethod 设备容器的发现方法。
- FriendlyName 设备容器的名称。
- InventoryVersion 生成事件的清单文件的版本。
- IsActive 设备是否已连接或者是否在过去 14 天内显示过?
- IsConnected 对于以物理方式连接的设备,此值与 IsPresent 相同。 对于无线连接的设备,此值表示通信链接。
- IsMachineContainer 容器是否是根设备本身?
- IsNetworked 这是否是一个已联网设备?
- IsPaired 设备容器是否需要配对?
- Manufacturer 设备容器的制造商名称。
- ModelId 唯一的模型 ID。
- ModelName 型号名称。
- ModelNumber 设备容器的型号。
- PrimaryCategory 设备容器的主类别。
Microsoft.Windows.Inventory.Core.InventoryDeviceContainerStartSync
此事件指示将发送新的 InventoryDeviceContainerAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDeviceInterfaceAdd
此事件检索与设备上的可用传感器接口相关的信息。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- Accelerometer3D 指示是否已找到 Accelerator3D 传感器。
- ActivityDetection 指示是否已找到活动检测传感器。
- AmbientLight 指示是否已找到氛围光传感器。
- Barometer 指示是否已找到气压计传感器。
- Custom 指示是否已找到自定义传感器。
- EnergyMeter 指示是否已找到能源传感器。
- FloorElevation 指示是否已找到地面提升传感器。
- GeomagneticOrientation 指示是否已找到地磁方向传感器。
- GravityVector 指示是否已找到重力检测器传感器。
- Gyrometer3D 指示是否已找到 Gyrometer3D 传感器。
- Humidity 指示是否已找到湿度传感器。
- InventoryVersion 生成事件的清单文件的版本。
- LinearAccelerometer 指示是否已找到线性加速计传感器。
- Magnetometer3D 指示是否已找到 Magnetometer3D 传感器。
- Orientation 指示是否已找到方向传感器。
- Pedometer 指示是否已找到步程计传感器。
- Proximity 指示是否已找到邻近感应传感器。
- RelativeOrientation 指示是否已找到相对方向传感器。
- SimpleDeviceOrientation 指示是否已找到简单设备方向传感器。
- Temperature 指示是否已找到温度传感器。
Microsoft.Windows.Inventory.Core.InventoryDeviceInterfaceStartSync
此事件指示将发送新的 InventoryDeviceInterfaceAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDevicePnpRemove
此事件指示 InventoryDevicePnpRemove 对象不再存在。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDevicePnpStartSync
此事件指示将发送新的 InventoryDevicePnpAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDeviceSensorAdd
此事件发送有关计算机上传感器设备的基本元数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单二进制的版本。
- Manufacturer 传感器制造商。
Microsoft.Windows.Inventory.Core.InventoryDeviceUsbHubClassAdd
此事件发送与设备上的 USB 集线器相关的基本元数据。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
- TotalUserConnectablePorts 可连接的 USB 端口总数。
- TotalUserConnectableTypeCPorts 可连接的 USB Type C 端口总数。
Microsoft.Windows.Inventory.Core.InventoryDriverBinaryStartSync
此事件指示将发送新的 InventoryDriverBinaryAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- InventoryVersion 生成事件的清单文件的版本。
Microsoft.Windows.Inventory.Core.InventoryDriverPackageAdd
此事件发送与系统上安装的驱动器包有关的基本元数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- Class 设备驱动程序的类名称。
- ClassGuid 设备驱动程序的类 GUID。
- Date 驱动程序包日期。
- Directory 驱动程序包的路径。
- DriverInBox 操作系统中是否包含驱动程序?
- FlightIds:驱动程序外部测试版 ID。
- Inf 驱动程序包的 INF 名称。
- InventoryVersion 生成事件的清单文件的版本。
- Provider 驱动程序包的提供商。
- RecoveryIds:驱动程序恢复 ID。
- SubmissionId 驱动程序包的 HLK 提交 ID。
- Version 驱动程序包的版本。
Microsoft.Windows.Inventory.General.InventoryMiscellaneousMemorySlotArrayInfoRemove
此事件指示 objectInstanceId 所表示的特定数据对象不再存在。
此事件中包含 Ms.Device.DeviceInventoryChange 中的字段。
Microsoft.Windows.Inventory.General.InventoryMiscellaneousMemorySlotArrayInfoStartSync
此诊断事件指示正在为此对象类型生成新的同步。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
Microsoft.Windows.Inventory.General.InventoryMiscellaneousUUPInfoAdd
此事件提供有关统一更新平台 (UUP) 产品以及产品所属版本的数据。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- Identifier UUP 标识符
- LastActivatedVersion 上次激活的版本
- PreviousVersion 以前版本
- Source UUP 源
- Version UUP 版本
Microsoft.Windows.Inventory.General.InventoryMiscellaneousUUPInfoStartSync
此诊断事件指示正在为此对象类型生成新的同步。 随此事件收集的数据用于使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
Microsoft.Windows.Inventory.Indicators.Checksum
此事件对 InventoryMiscellaneousUexIndicatorAdd 事件的计数进行汇总。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- ChecksumDictionary 每个操作系统指示器的计数。
- PCFP 相当于其他核心事件中找到的 InventoryId 字段。
Microsoft.Windows.Inventory.Indicators.InventoryMiscellaneousUexIndicatorAdd
此事件表示有关系统上安装的操作系统指示器的基本元数据。 随此事件收集的数据有助于确保设备处于最新状态,并使 Windows 保持正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
包含以下字段:
- IndicatorValue 指示器值。
Microsoft.Windows.Inventory.Indicators.InventoryMiscellaneousUexIndicatorRemove
此事件指示 objectInstanceId 所表示的特定数据对象不再存在。 此事件用于了解系统上安装的操作系统指示器。 随此事件收集的数据有助于确保设备是最新的、 Windows 处于最新状态,并且能够正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
Microsoft.Windows.Inventory.Indicators.InventoryMiscellaneousUexIndicatorStartSync
此事件指示 objectInstanceId 所表示的特定数据对象不再存在。 此事件用于了解系统上安装的操作系统指示器。 随此事件收集的数据有助于确保设备是最新的、 Windows 处于最新状态,并且能够正常运行。
此事件包含 Ms.Device.DeviceInventoryChange 中的字段。
内核事件
Microsoft.Windows.Kernel.PnP.AggregateClearDevNodeProblem
从设备中清除问题代码时,将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
包含以下字段:
- Count 事件总数。
- DeviceInstanceId 系统上设备的唯一标识符。
- LastProblem 已清除的上一个问题。
- LastProblemStatus 已清除的上一个 NTSTATUS 值。
- ServiceName 附加到设备的驱动程序或服务的名称。
Microsoft.Windows.Kernel.Power.AbnormalShutdown
此事件提供最近异常关机的诊断信息。
提供有以下字段:
- BootEnvironment 启动环境中的错误。
- BootStatValid 启动文件的状态。
- Bugcheck Bug 检查信息。
- CrashDump 故障转储信息。
- CurrentBootId 此启动的 ID。
- FirmwareReset 按固件进行系统重置。
- LastShutdownBootId 上次关闭的 BootID。
- LongPowerButtonHold 长电源按钮保持信息。
- SystemStateTransition 状态转换信息。
- Watchdog 监视器信息。
Microsoft Edge 事件
Aria.af397ef28e484961ba48646a5d38cf54.Microsoft.WebBrowser.Installer.EdgeUpdate.Ping
此 Ping 事件发送有关 Edge 更新服务、Edge 应用程序和当前系统环境(包括应用配置、更新配置和硬件功能)的详细硬件和软件清单信息。 此事件包含设备连接和配置、产品和服务性能、软件设置和库存数据。 每当 EdgeUpdate 服务或 Edge 应用程序发生任何安装、更新或卸载时,将发送一个或多个事件。 此事件用于度量 EdgeUpdate 服务的可靠性和性能,以及 Edge 应用程序是否是最新的。 这表示该事件旨在使 Windows 保持安全和最新状态。
包含以下字段:
- appAp:指定的应用程序的其他任何参数。 默认值:''。
- appAppId:用于标识产品的 GUID。 兼容的客户端必须传输此属性。 默认值:未定义。
- appBrandCode:产品安装时使用的品牌代码(若有)。 品牌代码是一个短字符串(4 个字符),用于标识由合作伙伴交易或网站促销促成的安装。 默认值:''。
- appChannel:指明安装渠道(即 Canary 或 Dev 渠道)的整数。
- appClientId 可接受更广的值范围并用于类似用途的品牌代码的通用形式。 默认值:''。
- appCohort:计算机可读的字符串,用于标识应用所属的发布队列(渠道)。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
- appCohortHint 一个指示客户端希望切换到其他发布队列的计算机可读的枚举。 确切的合法值是特定于应用的,并应在服务器和应用实现之间共享。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
- appCohortName 一个稳定的非本地化用户可读枚举,用于指示应用应向用户显示哪组消息(如果有)。 例如,具有“beta”队列名称的应用可能会向用户显示特定于 beta 的品牌。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
- appConsentState 描述诊断数据泄漏和响应流的位标志,其中 1 表示肯定,0 表示否定或未指定的数据。 位 1 表示已表示同意,位 2 表示数据源于下载页面,位 18 表示选择发送有关浏览器使用情况的数据,位 19 表示选择发送有关所访问网站的数据。
- appDayOfInstall 基于日期的计数,等效于 appInstallTimeDiffSec(安装应用所在的数字日历日)。 此值由服务器在响应安装流中的第一个请求时提供。 客户端可能会将此值模糊处理到周粒度(例如,发送“0”表示 0-6,发送“7”表示 7-13 等)。 与服务器的第一次通信应使用特殊值“-1”。 值“-2”表示此值是未知的。 默认值:“-2”。
- appExperiments:实验标识符的键/值列表。 实验标签用于跟踪不同实验组中的成员身份,可以在安装或更新时设置。 实验字符串的格式为,实验标签字符串的分号分隔串联。 实验标签字符串是以实验名称开头,后面依次跟“=”字符和实验标签值。 例如,“crdiff=got_bsdiff;optimized=O3”。 即使服务器曾指定特定到期日期,客户端也不得传输它包含的任何实验的到期日期。 默认值:''。
- appInstallTime 产品安装时间(以秒为单位)。 如果未知,则为“0”。 默认值:“-1”。
- appInstallTimeDiffSec 当前时间与安装日期之间的时差(以秒为单位)。 如果未知,则为“0”。 默认值:“-1”。
- appLang IETF BCP 47 表示形式中产品安装的语言。 默认值:''。
- appLastLaunchTime 上次启动浏览器的时间。
- appNextVersion:此事件所属的更新流尝试访问的应用版本,与更新操作是否成功无关。 默认值:“0.0.0.0”。
- appPingEventAppSize 所有已下载包的总字节数。 默认值:“0”。
- appPingEventDoneBeforeOOBEComplete 指示安装或更新是否在 Windows 开箱即用体验结束之前完成。 1 表示事件在 OOBE 完成之前完成;0 表示事件未在 OOBE 完成之前完成;-1 表示该字段不适用。
- appPingEventDownloadMetricsCdnCCC 与国家或地区更新的二进制文件相匹配的 ISO 2 字符国家或地区代码将从中传递。 例如:US。
- appPingEventDownloadMetricsCdnCID 用于内部跟踪已更新二进制文件来源的数值。 例如:2。
- appPingEventDownloadMetricsDownloadedBytes 对于表示下载的事件,是指预计要下载的字节数。 对于表示整个更新流的事件,是指更新流过程中所有此类预计字节的总和。 默认值:“0”。
- appPingEventDownloadMetricsDownloader 一个标识下载算法和/或堆栈的字符串。 示例值包括:“bits”、“direct”、“winhttp”、“p2p”。 仅在事件类型为“14”的事件中发送。 默认值:''。
- appPingEventDownloadMetricsDownloadTimeMs 对于表示下载的事件,是指从下载开始到下载结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指更新流过程中所有此类下载时间的总和。 仅在事件类型为“1”、“2”、“3”和“14”的事件中发送。 默认值:“0”。
- appPingEventDownloadMetricsError 操作的错误代码(如果有),编码为带符号的基数为 10 的整数。 默认值:“0”。
- appPingEventDownloadMetricsServerIpHint 对于表示下载的事件,是指与更新文件服务器对应的 CDN 主机 IP 地址。 CDN 主机由 Microsoft 服务器控制,并且始终映射到托管 *.delivery.mp.microsoft.com 或 msedgesetup.azureedge.net 的 IP 地址。 默认值:''。
- appPingEventDownloadMetricsTotalBytes 对于表示下载的事件,是指预计要下载的字节数。 对于表示整个更新流的事件,是指更新流过程中所有此类预计字节的总和。 默认值:“0”。
- appPingEventDownloadMetricsUrl 对于表示下载的事件,是指由更新服务器所提供的供客户端下载更新的 CDN URL,该 URL 由 Microsoft 服务器控制,并且始终映射回 *.delivery.mp.microsoft.com 或 msedgesetup.azureedge.net。 默认值:''。
- appPingEventDownloadTimeMs 对于表示下载的事件,是指从下载开始到下载结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指更新流过程中所有此类下载时间的总和。 仅在事件类型为“1”、“2”、“3”和“14”的事件中发送。 默认值:“0”。
- appPingEventErrorCode 操作的错误代码(如果有),编码为带符号的基数为 10 的整数。 默认值:“0”。
- appPingEventEventResult:指明事件结果的枚举。 默认值:“0”。
- appPingEventEventType:指明事件类型的枚举。 兼容的客户端必须传输此属性。
- appPingEventExtraCode1 有关操作结果的其他数字信息,编码为带符号的基数为 10 的整数。 默认值:“0”。
- appPingEventInstallTimeMs 对于表示安装的事件,是指从安装开始到安装结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指所有此类持续时间的总和。 仅在事件类型为“2”和“3”的事件中发送。 默认值:“0”。
- appPingEventNumBytesDownloaded 为指定的应用程序下载的字节数。 默认值:“0”。
- appPingEventPackageCacheResult 指示系统中是否存在要更新或安装的现有包。 1 表示预期密钥下有一个缓存命中,2 表示其他密钥下有一个缓存命中,0 表示缓存未命中。 -1 表示该字段不适用。
- appPingEventSequenceId:标识一个 requestId 中的特定事件的唯一 ID。 由于请求可能包含多个 ping 事件,因此,若要唯一标识每个可能的事件,必须填写此字段。
- appPingEventSourceUrlIndex:对于表示下载的事件,这是指下载 URL 在“urls”标记内服务器所提供的 URL 列表中的位置。
- appPingEventUpdateCheckTimeMs 对于表示整个更新流的事件,是指更新检查开始和更新检查结束之间经历的时间(以毫秒为单位)。 仅在事件类型为“2”和“3”的事件中发送。 默认值:“0”。
- appReferralHash 用于安装产品的引荐代码的哈希。 如果未知,则为“0”。 默认值:“0”。
- appUpdateCheckIsUpdateDisabled 应用更新是否受组策略限制的状态。 如果更新已受组策略限制,则为 True,否则为 False。
- appUpdateCheckTargetVersionPrefix 版本号的组件前缀,或带有 $ 字符后缀的完整版本号。 服务器不得将更新指令返回到与版本号前缀或完整版本号不匹配的版本号。 前缀的解释为,指定完全匹配元素的点状元组;它不是词法前缀(例如,“1.2.3”必须匹配“1.2.3.4”,但不得匹配“1.2.34”)。 默认值:''。
- appUpdateCheckTtToken 一个不透明的访问令牌,可用于将发出请求的客户端标识为受信任的测试人员组的成员。 如果不为空,应通过 SSL 或其他安全协议发送请求。 默认值:''。
- appVersion 安装的产品版本。 默认值:“0.0.0.0”。
- EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
- eventType:指明事件类型的字符串。
- expETag 表示当前更新发生时所有服务应用的配置和实验的标识符。 仅用于测试。
- hwDiskType 设备的硬件磁盘类型。
- hwHasAvx:如果客户端的硬件支持 AVX 指令集,则为“1”。 如果客户端的硬件不支持 AVX 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSse 如果客户端的硬件支持 SSE 指令集,则为“1”。 如果客户端的硬件不支持 SSE 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSse2 如果客户端的硬件支持 SSE2 指令集,则为“1”。 如果客户端的硬件不支持 SSE2 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSse3 如果客户端的硬件支持 SSE3 指令集,则为“1”。 如果客户端的硬件不支持 SSE3 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSse41 如果客户端的硬件支持 SSE4.1 指令集,则为“1”。 如果客户端的硬件不支持 SSE4.1 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSse42 如果客户端的硬件支持 SSE4.2 指令集,则为“1”。 如果客户端的硬件不支持 SSE4.2 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwHasSsse3 如果客户端的硬件支持 SSSE3 指令集,则为“1”。 如果客户端的硬件不支持 SSSE3 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
- hwLogicalCpus 设备的逻辑 CPU 数。
- hwPhysmemory 可供客户端使用的物理内存(向下截断到最接近的 GB 数)。 如果未知,则为“-1”。 此值旨在反映客户端的最大理论存储容量,不包括任何硬盘或对硬盘或外设的分页。 默认值:“-1”。
- isMsftDomainJoined 如果客户端是 Microsoft 域的成员,则为“1”。 否则为“0”。 默认值:“0”。
- oemProductManufacturer 设备制造商名称。
- oemProductName 设备制造商定义的设备产品名称。
- osArch 操作系统的体系结构(例如,“x86”、“x64”、“arm”)。 如果未知,则为 ''。 默认值:''。
- osPlatform Omaha 客户端正在其中运行的操作系统系列(例如“win”、“mac”、“linux”、“ios”、“android”)。 如果未知,则为 ''。 操作系统名称应以小写形式传输,格式尽量简洁。 默认值:''。
- osServicePack 操作系统的次要版本。 如果未知,则为 ''。 默认值:''。
- osVersion 操作系统的主要版本。 如果未知,则为 ''。 默认值:''。
- requestCheckPeriodSec 更新间隔(以秒为单位)。 将从注册表中读取该值。 默认值:“-1”。
- requestDlpref 以逗号分隔的值列表,用于指定首选的下载 URL 行为。 第一个值具有最高优先级,而其他值则反映第二、第三等优先级。 合法值为 ''(在这种情况下,整个列表必须为空,表示未知或无首选项)或“可缓存”(服务器应优先发送易于缓存的 URL)。 默认值:''。
- requestDomainJoined:如果计算机属于托管企业域,则为“1”。 否则为“0”。
- requestInstallSource 一个指定更新流的原因的字符串。 例如:“ondemand”或“scheduledtask”。 默认值:''。
- requestIsMachine 如果已知安装客户端时使用的是系统级特权或管理员特权,则为“1”。 否则为“0”。 默认值:“0”。
- requestOmahaShellVersion Omaha 安装文件夹的版本。 默认值:''。
- requestOmahaVersion Omaha 更新程序本身的版本(发送此请求的实体)。 默认值:“0.0.0.0”。
- requestProtocolVersion Omaha 协议的版本。 兼容的客户端必须提供值“3.0”。 兼容的客户端必须始终传输此属性。 默认值:未定义。
- requestRequestId 随机生成(均匀分布)的 GUID,对应于 Omaha 请求。 每次请求尝试都应(很有可能)有一个唯一的请求 ID。默认值:''。
- requestSessionCorrelationVectorBase 客户端生成的随机 MS 关联向量基本代码,用于将更新会话与更新和 CDN 服务器关联。 默认值:''。
- requestSessionId 随机生成(均匀分布)的 GUID。 每个更新流(例如,更新检查、更新应用程序、事件 ping 序列)都应该(很有可能)有唯一会话 ID。 默认值:''。
- requestTestSource ''、“dev”、“qa”、“prober”、“auto”或“ossdev”。 除 '' 之外的任何值都表示请求是一个测试,不应计入正常指标。 默认值:''。
- requestUid 随机生成(均匀分布)的 GUID,对应于 Omaha 请求。 每次请求尝试都应该(很有可能)有唯一请求 ID。默认值:''。
Microsoft.Edge.Crashpad.HangEvent
此事件在挂起/冻结的 Microsoft Edge 浏览器进程上发送简单的产品和服务性能数据,以帮助缓解将来的挂起实例。
提供有以下字段:
- app_name 挂起进程的名称。
- app_session_guid 对启动会话、进程和进程开始时间进行编码。
- app_version 挂起进程的版本。
- client_id_hash 浏览器客户端 ID 的哈希,用于标识安装。
- etag 用于帮助标识正在运行的浏览器试验的标识符。
- hang_source 标识如何检测挂起。
- process_type 挂起浏览器进程的类型,例如 gpu-process、呈现器等。
- stack_hash 挂起堆栈的哈希。 当前未使用或设置为零。
OneSettings 事件
Microsoft.Windows.OneSettingsClient.Status
此事件指示状态更新的配置使用情况。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。
包含以下字段:
- flightID 外部测试版 id。
- time 时间。
OOBE 事件
Microsoft.Windows.Shell.Oobe.ZDP.ZdpTaskCancelled
此事件是尝试取消 ZDP 任务的结果。
包含以下字段:
- cancelReason 枚举取消的源/原因。
- resultCode 取消的 HR 结果。
其他事件
Microsoft.Windows.Analog.HydrogenCompositor.ExclusiveMode_Entered
此事件发送指示增强现实应用程序体验开始的数据。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- SessionId 每次尝试的唯一值。
- TargetAsId 挂起进程的序列号。
- windowInstanceId 每个窗口实例的唯一值。
Microsoft.Windows.Analog.HydrogenCompositor.ExclusiveMode_Leave
此事件发送指示增强现实应用程序体验结束的数据。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- EventHistory 事件历史记录的唯一数目。
- ExternalComponentState 外部组件的状态。
- LastEvent 最后一个事件的唯一数目。
- SessionId 每次尝试的唯一值。
- TargetAsId 挂起进程的序列号。
- windowInstanceId 每个窗口实例的唯一值。
Microsoft.Windows.Defender.Engine.Maps.Heartbeat
检测信号每天发送一次,以指示 Defender 正在运行并正常运行。 事件包括了解设备上 Defender 运行状况的必要信息。
包含以下字段:
- AppVersion Defender 平台版本
- CampRing 用于每月部署的锁紧环
- CfaMode 受控文件夹访问权限状态
- ConsumerAsrMode 攻击面减少状态
- CountAsrRules 已实施的攻击面减少规则数
- EngineRing 用于每月部署的引擎环
- EngineVersion 反恶意软件引擎版本
- IsAsrAnyAudit 用于指示是否在审核模式下运行任何攻击面减少规则的标志
- IsAsrAnyBlock 用于指示是否有任何攻击面减少规则在阻止模式下运行的标志
- IsBeta 用于指示用户是否已选择加入 Defender 的 Beta 更新的标志。
- IsManaged 用于指示 Defender 是否在管理模式下运行的标志
- IsPassiveMode 用于指示 Defender 是否处于 ATP 的被动模式的标志
- IsSxsPassiveMode 用于指示 Defender 是否处于被动模式以进行有限定期扫描的标志
- ProductGuid Defender 产品 Guid(适用于 Defender 的静态)。
- PusMode 用于阻止可能不需要软件的标志
- ShouldHashIds 我们是否有 ISO 合规要求为 e5 设置哈希 ID
- SignatureRing 签名环用于部署
- SigVersion 签名 VDM 的版本
Microsoft.Windows.Security.SBServicing.ApplySecureBootUpdateFveAction
指示在安全启动更新期间触发了 BitLocker TPM 重新密封操作的事件
包含以下字段:
- Action:指示故障位置的操作字符串
- hr:返回 HRESULT 代码
Microsoft.Windows.Security.SBServicing.ApplySecureBootUpdateStarted
指示安全启动更新已启动的事件。
包含以下字段:
- AvailableUpdates:可用的安全启动更新数。
- SecureBootUpdateCaller 枚举值,指示这是服务还是升级。
MicrosoftWindowsCodeIntegrityTraceLoggingProvider.CodeIntegrityHvciSysprepHvciAlreadyEnabled
如果已启用 HVCI,则触发此事件,因此无需继续自动启用。
ShellWNSRegistration.SLSChannelRegistrationFailed
将通道 URI 上传到 SLS 服务失败时,会记录此事件。
包含以下字段:
- baseData JSON Blob。
- baseType PartB 架构类型。
- RetryAttempt 尝试打开和注册通道的重试尝试次数。
- RetryTimeInMilliseconds 重试通道请求所花费的时间(以毫秒为单位)。
ShellWNSRegistration.SLSChannelRegistrationSuccess
当通道 URI 成功上传到 SLS 服务时,会记录此事件。
提供有以下字段:
- RegistrationPayload 包含上传到 SLS 的通道 URI 和其他数据的 JSON 有效负载。
- RetryAttempts 尝试打开和注册通道的重试尝试次数。
- RetryTimeInMilliseconds 重试通道请求所花费的时间(以毫秒为单位)。
- TitleId 要为其上传通道的 TitleId。
ShellWNSRegistration.WNSChannelRequestFailed
通道请求失败时会记录此事件。 包含错误代码和已请求通道的 AppUserModelId。
提供有以下字段:
- baseData JSON Blob。
- baseType PartB 架构类型。
- RetryAttempt 尝试打开和注册通道的重试尝试次数。
- RetryTimeInMilliseconds 重试通道请求所花费的时间(以毫秒为单位)。
ShellWNSRegistration.WNSChannelRequestSuccess
通道请求 API 调用完成后,会立即触发此事件。 包含为其请求通道的通道 URI 和 AppUserModelId。
包含以下字段:
- AppUserModelId 请求通道的应用的唯一标识符。
- ChannelUri WNS 返回的通道 URI。
- RetryAttempt 尝试打开和注册通道的重试尝试次数。
- RetryTimeInMilliseconds 重试通道请求所花费的时间(以毫秒为单位)。
隐私同意日志记录事件
Microsoft.Windows.Shell.PrivacyConsentLogging.PrivacyConsentCompleted
此事件用于确定用户是否已成功完成了隐私同意体验。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- presentationVersion 用户完成了哪个显示版本的隐私同意体验
- privacyConsentState 隐私同意体验的当前状态
- settingsVersion 用户完成了哪个设置版本的隐私同意体验
- userOobeExitReason 退出隐私同意体验的原因
设置事件
Microsoft.Windows.Setup.WinSetupMon.ProtectionViolation
此事件提供有关在功能更新期间为数据安全而监视的文件或目录的移动或删除的信息。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- Path 要移动或删除的文件或目录的路径。
- Process 请求移动或删除的进程的路径。
- SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
- TargetPath (可选)如果操作是移动操作,则是要将文件或目录移动到的目标路径。
Microsoft.Windows.Setup.WinSetupMon.TraceError
提供有关升级数据安全监视筛选器驱动程序运行中的错误的详细信息。
包含以下字段:
- 消息 描述错误条件的文本字符串。
- SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
- 状态 与错误相关的 NTSTATUS 代码。
Microsoft.Windows.Setup.WinSetupMon.TraceErrorVolume
提供有关升级数据安全监视筛选器驱动程序运行中与特定卷(驱动器)相关的错误的详细信息。
包含以下字段:
- 消息 描述错误条件的文本字符串。
- SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
- 状态 与错误相关的 NTSTATUS 代码。
- 卷 发生错误的卷的路径
SetupPlatformTel.SetupPlatformTelEvent
此服务检索 SetupPlatform(用于驱动各种部署方案的引擎)生成的事件,以帮助使 Windows 保持最新。
包含以下字段:
- FieldName 检索事件名称/数据点。 示例:InstallStartTime、InstallEndtime、OverallResult 等
- GroupName 检索事件所属的组名称。 示例:安装信息、DU 信息、磁盘空间信息等
- Value 检索与对应的事件名称(字段名称)关联的值。 例如:对于时间相关事件,它将包括系统时间。
表面事件
Microsoft.Surface.Battery.Prod.BatteryInfoEvent
拒绝
包含以下字段:
- batteryData.data() 电池性能数据。
- BatteryDataSize: 电池性能数据的大小。
Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_BPM
此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- BPMCurrentlyEngaged 如果在设备上激活 BPM,则为即时快照。
- BPMExitCriteria BPM 退出条件是什么 - 20%SOC 或 50%SOC?
- BPMHvtCountA BPM 计数器 A 的当前 HVT 计数。
- BPMHvtCountB BPM 计数器 B 的当前 HVT 计数。
- bpmOptOutLifetimeCount BPM OptOut 生存期计数。
- BPMRsocBucketsHighTemp_Values 在温度范围 46°C - 60°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
- BPMRsocBucketsLowTemp_Values 在温度范围 0°C - 20°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
- BPMRsocBucketsMediumHighTemp_Values 在温度范围 36°C - 45°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
- BPMRsocBucketsMediumLowTemp_Values 在温度范围 21°C - 35°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
- BPMTotalEngagedMinutes BPM 参与的总时间。
- BPMTotalEntryEvents 输入 BPM 的总次数。
- ComponentId 组件 ID。
- FwVersion 创建此日志的 FW 版本。
- LogClass LOG 类。
- LogInstance 类中的日志实例 (1..n)。
- LogVersion Log MGR 版本。
- MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
- ProductId 产品 ID。
- SeqNum 序列号。
- TimeStamp 创建日志时的 UTC 秒数。
- Ver 架构版本。
Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_CTT
此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- BPMKioskModeStartDateInSeconds 已启用首次电池限制。
- BPMKioskModeTotalEngagedMinutes 已启用电池限制总时间(SOC 值为 50%)。
- CTTMinSOC1day 滚动 1 天的最小 SOC。 最初设置为 0 的值。
- CTTMinSOC28day 滚动 28 天的最小 SOC。 最初设置为 0 的值。
- CTTMinSOC3day 滚动 3 天的最小 SOC。 最初设置为 0 的值。
- CTTMinSOC7day 滚动 7 天的最小 SOC。 最初设置为 0 的值。
- CTTStartDateInSeconds 开始使用设备的日期。
- currentAuthenticationState 当前身份验证状态。
- ProtectionPolicy 电池电量限制。 True (0 False)。
- SeqNum 序列号。
- Ver 架构版本。
- VoltageOptimization 电流 CTT 减小(以 mV 为单位)。
Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_GG
此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- cbTimeCell_Values 不同电池的 cb 时间。
- ComponentId 组件 ID。
- cycleCount 循环计数。
- deltaVoltage 增量电压。
- eocChargeVoltage_Values EOC 充电电压值。
- fullChargeCapacity 完全充电容量。
- FwVersion 创建此日志的 FW 版本。
- lastCovEvent 上次 Cov 事件。
- lastCuvEvent 上次 Cuv 事件。
- LogClass LOG_CLASS。
- LogInstance 类中的日志实例 (1..n)。
- LogVersion LOG_MGR_VERSION。
- manufacturerName 制造商名称。
- maxChargeCurrent 最大充电电流。
- maxDeltaCellVoltage 最大增量电池电压。
- maxDischargeCurrent 最大释放电流。
- maxTempCell 最大临时电池。
- maxVoltage_Values 最大电压值。
- MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
- minTempCell 最小临时电池。
- minVoltage_Values 最小电压值。
- numberOfCovEvents Cov 事件数。
- numberOfCuvEvents Cuv 事件数。
- numberOfOCD1Events OCD1 事件数。
- numberOfOCD2Events OCD2 事件数。
- numberOfQmaxUpdates Qmax 更新数。
- numberOfRaUpdates Ra 更新数。
- numberOfShutdowns 关闭次数。
- pfStatus_Values pf 状态值。
- ProductId 产品 ID。
- qmax_Values 不同电池的 Qmax 值。
- SeqNum 序列号。
- TimeStamp 创建日志时的 UTC 秒数。
- Ver 架构版本。
Microsoft.Surface.Battery.Prod.BatteryInfoEventV3
此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。
提供有以下字段:
- BatteryTelemetry 有关电池性能的硬件级别数据。
- ComponentId 组件 ID。
- FwVersion 创建此日志的 FW 版本。
- LogClass LOG 类。
- LogInstance 类中的日志实例 (1..n)。
- LogVersion Log MGR 版本。
- MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
- ProductId ProductId ID。
- SeqNum 序列号。
- TimeStamp 创建日志时的 UTC 秒数。
- Ver 架构版本。
Microsoft.Surface.Mcu.Prod.CriticalLog
来自 Surface 设备固件的错误信息。
包含以下字段:
- CrashLog:MCU 崩溃日志
- criticalLogSize:志大小
- CUtility::GetTargetNameA(target):产品标识符。
- productId:产品标识符
- uniqueId 可与 Waston 一起使用的相关 ID,用于获取有关故障的更多详细信息。
Microsoft.Surface.SystemReset.Prod.ResetCauseEventV2
此事件发送 SAM、PCH 和 SoC 重置的原因。 随此事件收集的数据用于使 Windows 保持正常运行。
包含以下字段:
- HostResetCause 主机重置原因。
- PchResetCause PCH 重置原因。
- SamResetCause SAM 重置原因。
UEFI 事件
Microsoft.Windows.UEFI.ESRT
此事件在启动期间发送有关计算机上加载或最近安装的固件的基本数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
包含以下字段:
- DriverFirmwareFilename 设备硬件键报告的固件文件名。
- DriverFirmwareIntegrityFilename 在固件包中提供的完整性包的文件名。
- DriverFirmwarePolicy 可选的版本更新策略值。
- DriverFirmwareStatus 设备硬件键报告的固件状态。
- DriverFirmwareVersion 设备硬件键报告的固件版本。
- FirmwareId UEFI(统一可扩展固件接口)标识符。
- FirmwareLastAttemptStatus 由 EFI 系统资源表 (ESRT) 报告的最近固件安装尝试的报告状态。
- FirmwareLastAttemptVersion 由 EFI 系统资源表 (ESRT) 报告的最近所尝试固件安装的版本。
- FirmwareType UEFI(统一可扩展固件接口)类型。
- FirmwareVersion 由 EFI 系统资源表 (ESRT) 报告的 UEFI(统一可扩展固件接口)版本。
- InitiateUpdate 指示系统是否已准备好启动更新。
- LastAttemptDate 最近尝试的固件安装日期。
- LastAttemptStatus 最近尝试的固件安装的结果。
- LastAttemptVersion 最近尝试的固件安装的版本。
- LowestSupportedFirmwareVersion 支持的固件的最早(最低)版本。
- MaxRetryCount 由固件类别键定义的最大重试次数。
- RetryCount 由驱动程序软件键报告的尝试安装(重试)次数。
- Status 返回到 PnP(即插即用)管理器的状态。
- UpdateAttempted 指示以前是否尝试过安装当前更新。
更新助手事件
Microsoft.Windows.UpdateAssistantApp.UpdateAssistantStartState
此事件标记更新助手状态的开始。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- CV 相关矢量。
- GlobalEventCounter 设备上所有遥测数据的全局事件计数器。
- UpdateAssistantStateDownloading 开始下载时为 True。
- UpdateAssistantStateInitializingApplication 状态 InitializingApplication 开始时为 True。
- UpdateAssistantStateInitializingStates InitializingStates 开始时为 True。
- UpdateAssistantStateInstalling 安装开始时为 True。
- UpdateAssistantStatePostInstall 在 PostInstall 开头设为 True。
- UpdateAssistantVersion 更新助手的当前程序包版本。
更新事件
Update360Telemetry.FellBackToDownloadingAllPackageFiles
此事件指示在生成缺少文件列表期间是否发生失败,并且适用于质量更新下载。
包含以下字段:
- ErrorCode 在缺少文件列表生成期间返回的错误代码。
- FlightId 每个外部测试版的唯一 ID。
- ObjectId 每个外部测试版的唯一 ID。
- 包 缺少文件列表生成失败的包的名称,我们回退到下载所有包文件。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- ScenarioId 指示更新方案。
- SessionId 每次尝试的唯一值(与初始化、下载、安装提交阶段的值相同)。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentDownloadRequest
此事件通过新的统一更新平台 (UUP) 方案发送更新 Windows 的下载请求阶段的数据。 适用于电脑和移动设备。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- CancelRequested 指示是否已请求取消的布尔。
- ContainsSafeOSDUPackage 用于指示安全 DU 程序包是否为有效负载的一部分的布尔值。
- DeletedCorruptFiles 指示损坏的有效负载是否已被删除的布尔值。
- DownloadComplete 指示下载是否已完成。
- DownloadedSizeBundle 已下载捆绑软件内容的累积大小(单位:字节)。
- DownloadedSizeCanonical 已下载规范内容的累积大小(以字节为单位)。
- DownloadedSizeDiff 已下载不同内容的累积大小(以字节为单位)。
- DownloadedSizeExpress 已下载速成内容的累积大小(以字节为单位)。
- DownloadedSizePSFX 已下载 PSFX 内容的累积大小(以字节为单位)。
- DownloadRequests 已重试下载的次数。
- ErrorCode 为当前的下载请求阶段返回的错误代码。
- ExtensionName 指示有效负载是否与操作系统内容或插件有关。
- FlightId 每个外部测试版的唯一 ID。
- InternalFailureResult 指示插件中的非致命错误。
- NumberOfHops 用于达到目标版本的中间程序包数量。
- ObjectId 每个更新代理模式的唯一值(与 Setup360 的 InstanceId 概念相同)。
- PackageCategoriesSkipped 指示已跳过的程序包类别(如果适用)。
- PackageCountOptional 请求的可选包数。
- PackageCountRequired 请求的必需包数。
- PackageCountTotal 必需包总数。
- PackageCountTotalBundle 捆绑包总数。
- PackageCountTotalCanonical 规范包总数。
- PackageCountTotalDiff 差异包总数。
- PackageCountTotalExpress 快速包总数。
- PackageCountTotalPSFX PSFX 程序包的总数。
- PackageExpressType 快速程序包的类型。
- PackageSizeCanonical 规范包大小(以字节为单位)。
- PackageSizeDiff 差异包大小(以字节为单位)。
- PackageSizeExpress 快速包大小(以字节为单位)。
- PackageSizePSFX PSFX 程序包的大小(以字节为单位)。
- RangeRequestState 指示所使用的范围请求类型。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- Result 更新的下载请求阶段的结果。
- SandboxTaggedForReserves 保留的沙盒。
- ScenarioId 指示更新方案。
- SessionId 每次尝试的唯一值(与初始化、下载、安装提交阶段的值相同)。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentExpand
此事件收集有关移动设备和桌面设备都使用的新统一更新平台 (UUP) 更新方案的扩展阶段的信息。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- CancelRequested 指示是否已请求取消的布尔。
- CanonicalRequestedOnError 指示错误是否已导致恢复为其他类型的压缩更新(TRUE 或 FALSE)。
- ElapsedTickCount 扩展阶段所用的时间。
- EndFreeSpace 扩展阶段后的可用空间。
- EndSandboxSize 扩展阶段后的沙盒大小。
- ErrorCode 为当前的安装阶段返回的错误代码。
- FlightId 每个外部测试版的唯一 ID。
- ObjectId 每个更新代理模式的唯一值。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- ScenarioId 指示更新方案。
- SessionId 每次更新尝试的唯一值。
- StartFreeSpace 扩展阶段前的可用空间。
- StartSandboxSize 扩展阶段后的沙盒大小。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentInitialize
此事件通过适用于电脑和移动设备的新统一更新平台 (UUP) 方案发送更新 Windows 的初始化阶段的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ErrorCode 为当前的安装阶段返回的错误代码。
- FlightId 每个外部测试版的唯一 ID。
- FlightMetadata 包含进行外部测试的 FlightId 和版本。
- ObjectId 每个更新代理模式的唯一值。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- Result 更新的安装阶段的结果。
- ScenarioId 指示更新方案。
- SessionData 包含用于更新处理 FOD 和 DUIC 代理的指令(如果为其他情况,则为 Null)的字符串。
- SessionId 每次更新尝试的唯一值。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentInstall
此事件发送更新 Windows 的安装阶段的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- CancelRequested 指示是否已请求取消的布尔。
- ErrorCode 为当前的安装阶段返回的错误代码。
- ExtensionName 指示有效负载是否与操作系统内容或插件有关。
- FlightId 每个更新代理模式(与 Setup360 的 InstanceId 概念相同)的唯一值。
- InternalFailureResult 指示插件中的非致命错误。
- ObjectId 由最新 USO 扫描生成的相关矢量值。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- Result 当前安装阶段的结果。
- ScenarioId 指示更新方案。
- SessionId 每次更新尝试的唯一值。
- UpdateId 每个更新的唯一 ID。
- UpdatePriority 指示在更新安装阶段中请求运行更新代理的优先级。
Update360Telemetry.UpdateAgentMitigationResult
此事件发送用于指示每个更新代理缓解操作结果的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- Applicable 指示缓解操作是否适用于当前的更新。
- CommandCount 缓解项中的命令操作数。
- CustomCount 缓解项中的自定义操作数。
- FileCount 缓解项中的文件操作数。
- FlightId 每个外部测试版的唯一标识符。
- Index 此特定缓解的缓解索引。
- MitigationScenario 在其中执行缓解的更新方案。
- Name 缓解的易记名称。
- ObjectId 每个更新代理模式的唯一值。
- OperationIndex 缓解操作索引(在发生故障时)。
- OperationName 缓解操作的易记名称(发生失败时)。
- RegistryCount 缓解项中的注册表操作数。
- RelatedCV 最新 USO 扫描生成的相关矢量值。
- Result 此操作的 HResult。
- ScenarioId 更新代理方案 ID。
- SessionId 每次更新尝试的唯一值。
- TimeDiff 执行缓解所用的时间量(以 100 纳秒增量为单位)。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentMitigationSummary
此事件发送适用于此更新的所有更新代理缓解的摘要。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- Applicable 适用于系统和方案的缓解的计数。
- Failed 失败缓解的计数。
- FlightId 每个外部测试版的唯一标识符。
- MitigationScenario 在其中尝试缓解的更新方案。
- ObjectId 每个更新代理模式的唯一值。
- RelatedCV 最新 USO 扫描生成的相关矢量值。
- Result 此操作的 HResult。
- ScenarioId 更新代理方案 ID。
- SessionId 每次更新尝试的唯一值。
- TimeDiff 执行所有缓解所用的时间(以 100 纳秒增量为单位)。
- Total 可用的总缓解数。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentModeStart
此事件发送在通过新的统一更新平台 (UUP) 方案更新 Windows 的过程中启动每个模式的数据。 适用于电脑和移动设备。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- FlightId 每个外部测试版的唯一 ID。
- Mode 指示已启动的模式。
- ObjectId 每个更新代理模式的唯一值。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- ScenarioId 指示更新方案。
- SessionId 每次更新尝试的唯一值。
- UpdateId 每个更新的唯一 ID。
- Version 更新的版本
Update360Telemetry.UpdateAgentPostRebootResult
此事件为移动设备和桌面设备收集有关新统一更新平台 (UUP) 更新方案的重启后阶段的信息。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ErrorCode 为当前的重启后阶段返回的错误代码。
- FlightId 设备所获得的 Windows 预览体验成员版的特定 ID。
- ObjectId 每个更新代理模式的唯一值。
- PostRebootResult 指示 Hresult。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- ScenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
- SessionId 每次更新尝试的唯一值。
- UpdateId 每个更新的唯一 ID。
Update360Telemetry.UpdateAgentReboot
此事件发送用于指示已发送暂停更新请求的信息。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ErrorCode 当前重启返回的错误代码。
- FlightId 外部测试版(测试实例版本)的唯一 ID。
- IsSuspendable 指示更新是否能够在重新启动时暂停和恢复。 如果计算机已重新启动,更新处于预下载或安装过程中,并且 Setup.exe 正在运行,则该字段为 TRUE,否则为 FALSE。
- ObjectId 每个更新代理模式的唯一值。
- Reason 指示无法暂停计算机的原因的相应 HResult。 如果已成功暂停计算机,则结果为 0。
- RelatedCV 通过最新 USO(更新服务 Orchestrator)扫描生成的相关矢量值。
- ScenarioId 更新方案的 ID。
- SessionId 更新尝试的 ID。
- UpdateId 更新的 ID。
- UpdateState 指示调用“暂停”时计算机的状态。 例如,安装、下载、提交。
Update360Telemetry.UpdateAgentSetupBoxLaunch
UpdateAgent_SetupBoxLaunch 事件发送在通过新的统一更新平台 (UUP) 方案更新 Windows 时启动设置框的数据。 此事件仅适用于电脑。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ContainsExpressPackage 指示下载程序包是否是快速程序包。
- FlightId 每个外部测试版的唯一 ID。
- FreeSpace 操作系统分区上的可用空间。
- InstallCount 使用相同沙盒尝试安装的次数。
- ObjectId 每个更新代理模式的唯一值。
- Quiet 指示是否在静默模式下运行设置。
- RelatedCV 由最新 USO 扫描生成的相关矢量值。
- SandboxSize 沙盒的大小。
- ScenarioId 指示更新方案。
- SessionId 每次更新尝试的唯一值。
- SetupLaunchAttemptCount 指示尝试为当前更新代理实例启动安装程序的次数。
- SetupMode 要启动的设置模式。
- UpdateId 每个更新的唯一 ID。
- UserSession 指示用户操作是否调用了安装。
升级事件
Setup360Telemetry.Finalize
此事件发送用于指示设备已启动完成升级阶段的数据,以帮助使 Windows 保持最新状态和保护其安全。
包含以下字段:
- ClientId 如果使用 Windows 更新,则此值为传递至安装程序的 Windows 更新客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- FlightData 标识外部测试版的唯一值。
- HostOSBuildNumber 先前的操作系统的版本号。
- HostOsSkuName 运行 Setup360 实例的操作系统版本(先前的操作系统)。
- InstanceId 用于标识每个 setuphost.exe 实例的唯一 GUID
- ReportId 如果使用 Windows 更新,则此值为传递至安装程序的 updateID。 在介质设置中,此值为 install.wim 的 GUID。
- Setup360Extended 有关发生潜在故障时的阶段/操作的更多详细信息。
- Setup360Mode Setup360 的阶段。 示例:预下载、安装、完成、回退。
- Setup360Result Setup360 的结果。 它是一个用于诊断错误的 HRESULT 错误代码。
- Setup360Scenario Setup360 流类型。 示例:启动、介质、更新、MCT。
- SetupVersionBuildNumber Setup360 的版本号(目标操作系统的版本号)。
- State Setup360 运行的退出状态。 示例:成功、失败、已阻止、已取消。
- TestId 唯一标识一组事件的 ID。
- WuId 这是 Windows 更新客户端 ID。 如果使用 Windows 更新,则此值与 clientId 相同。
Setup360Telemetry.OsUninstall
此事件发送有关 Windows 7、Windows 8 和 Windows 10 中的操作系统更新和升级的数据。 具体来说,它指示操作系统卸载的结果。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ClientId 对于 Windows 更新,此值为传递至安装程序的 Windows 更新客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- FlightData 标识外部测试版的唯一值。
- HostOSBuildNumber 先前的操作系统的版本号。
- HostOsSkuName 运行 Setup360 实例的操作系统版本(先前的操作系统)。
- InstanceId 用于标识每个 setuphost.exe 实例的唯一 GUID。
- ReportId 对于 Windows 更新,此值为传递至安装程序的 Windows 更新客户端 ID。 在介质设置中,此值为 install.wim 的 GUID。
- Setup360Extended 有关发生潜在故障时的阶段或操作的详细信息。
- Setup360Mode Setup360 的阶段。 示例:预下载、安装、完成、回退。
- Setup360Result Setup360 的结果。 它是一个用于诊断错误的 HRESULT 错误代码。
- Setup360Scenario Setup360 流类型。 示例:启动、媒体、更新、MCT
- SetupVersionBuildNumber Setup360 的版本号(目标操作系统的版本号)。
- State Setup360 运行的退出状态。 示例:成功、失败、已阻止、已取消。
- TestId 唯一标识一组事件的 ID。
- WuId Windows 更新客户端 ID。
Setup360Telemetry.PreInstallUX
此事件发送与 Windows 7、Windows 8 和 Windows 10 的操作系统更新和升级有关的数据,以帮助使 Windows 保持最新。 具体来说,它指示更新过程的 PreinstallUX 部分的结果。
包含以下字段:
- ClientId 对于 Windows 更新,此值为传递至安装程序的 Windows 更新客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- FlightData 标识外部测试版的唯一值。
- HostOSBuildNumber 先前的操作系统的版本号。
- HostOsSkuName 运行 Setup360 实例的操作系统版本(先前的操作系统)。
- InstanceId 用于标识每个 setuphost.exe 实例的唯一 GUID。
- ReportId 对于 Windows 更新,此值为传递至安装程序的 Windows 更新客户端 ID。 在介质设置中,此值为 install.wim 的 GUID。
- Setup360Extended 有关潜在失败发生时的阶段/操作的详细信息。
- Setup360Mode Setup360 的阶段。 示例:预下载、安装、完成、回退。
- Setup360Result Setup360 的结果。 它是一个用于诊断错误的 HRESULT 错误代码。
- Setup360Scenario Setup360 流类型,示例:启动、介质、更新、MCT。
- SetupVersionBuildNumber Setup360 的版本号(目标操作系统的版本号)。
- State Setup360 运行的退出状态。 示例:成功、失败、已阻止、已取消。
- TestId 用于唯一标识一组事件的字符串。
- WuId Windows 更新客户端 ID。
Setup360Telemetry.Setup360MitigationResult
此事件发送用于指示每个安装程序缓解结果的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- Applicable 如果缓解适用于当前更新,则为 TRUE。
- ClientId 在 Windows 更新方案中,这是传递给安装程序的客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- CommandCount 缓解项中的命令操作数。
- CustomCount 缓解项中的自定义操作数。
- FileCount 缓解项中的文件操作数。
- FlightData 每个外部测试版(测试版本)的唯一标识符。
- Index 此特定缓解的缓解索引。
- InstanceId 标识每个 SetupHost.EXE 实例的 GUID(全局唯一 ID)。
- MitigationScenario 在其中执行缓解的更新方案。
- Name 缓解的友好(描述性)名称。
- OperationIndex 缓解操作索引(在发生故障时)。
- OperationName 缓解操作的友好(描述性)名称(在发生故障时)。
- RegistryCount 缓解项中的注册表操作数。
- ReportId 在 Windows 更新方案中,传递给安装程序的更新 ID。 在介质设置中,这是 INSTALL.WIM 的 GUID。
- Result 此操作的 HResult。
- ScenarioId Setup360 流类型。
- TimeDiff 执行缓解所用的时间量(以 100 纳秒增量为单位)。
Setup360Telemetry.Setup360MitigationSummary
此事件发送适用于此更新的所有安装程序缓解的摘要。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- Applicable 适用于系统和方案的缓解的计数。
- ClientId 传递给安装程序的 Windows 更新客户端 ID。
- Failed 失败缓解的计数。
- FlightData 每个外部测试版(测试版本)的唯一标识符。
- InstanceId 标识每个 SetupHost.EXE 实例的 GUID(全局唯一 ID)。
- MitigationScenario 在其中尝试缓解的更新方案。
- ReportId 在 Windows 更新方案中,传递给安装程序的更新 ID。 在介质设置中,这是 INSTALL.WIM 的 GUID。
- Result 此操作的 HResult。
- ScenarioId Setup360 流类型。
- TimeDiff 执行缓解所用的时间量(以 100 纳秒增量为单位)。
- Total 可用缓解的总数。
Setup360Telemetry.Setup360OneSettings
此事件收集有关新 UUP(统一更新平台)更新方案的重启后阶段的信息,这些信息由移动设备和桌面设备使用。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- ClientId 传递给安装程序的 Windows 更新客户端 ID。
- Count 适用于设备的 OneSettings 计数。
- FlightData 外部测试版(测试实例版本)的 ID。
- InstanceId 标识每个 setuphost.exe 实例的 GUID(全局唯一 ID)。
- Parameters 发送到 OneSettings 以确定是否有任何适用 OneSettings 的名称值对参数集。
- ReportId 传递给安装程序的更新 ID。
- Result 事件错误的 HResult。
- ScenarioId 更新方案 ID。
- Values 发送回设备的值(如果适用)。
Setup360Telemetry.UnexpectedEvent
此事件发送用于指示设备已调用升级的意外事件阶段的数据,以帮助使 Windows 保持最新。
提供有以下字段:
- ClientId 如果使用 Windows 更新,则此值为传递至安装程序的 Windows 更新客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- HostOSBuildNumber 先前的操作系统的版本号。
- HostOsSkuName 运行 Setup360 实例的操作系统版本(先前的操作系统)。
- InstanceId 用于标识每个 setuphost.exe 实例的唯一 GUID
- ReportId 如果使用 Windows 更新,则此值为传递至安装程序的 updateID。 在介质设置中,此值为 install.wim 的 GUID。
- Setup360Extended 有关潜在失败发生时的阶段/操作的详细信息。
- Setup360Mode Setup360 的阶段。 示例:预下载、安装、完成、回退。
- Setup360Result Setup360 的结果。 它是一个可用于诊断错误的 HRESULT 错误代码。
- Setup360Scenario Setup360 流类型。 示例:启动、介质、更新、MCT。
- SetupVersionBuildNumber Setup360 的版本号(目标操作系统的版本号)。
- State Setup360 运行的退出状态。 示例:成功、失败、已阻止、已取消。
- TestId 用于唯一标识一组事件的字符串。
- WuId 这是 Windows 更新客户端 ID。 如果使用 Windows 更新,则此值与 clientId 相同。
Windows 即服务诊断事件
Microsoft.Windows.WaaSMedic.StackDataResetPerformAction
此事件会删除数据存储,从而允许损坏的设备重新尝试更新。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- DatastoreSizeInMB Datastore.edb 文件的大小。 默认值: -1(如果未设置/未知)。
- 在删除数据存储之前,FreeSpaceInGB释放设备上的空间。 默认值: -1(如果未设置/未知)。
- HrLastFailure 失败删除中的错误代码。
- HrResetDatastore 尝试删除的结果。
- HrStopGroupOfServices 停止服务的结果。
- MaskServicesStopped 位字段指示哪些服务已成功停止。 按位表示成功。 服务列表:usosvc(1<<0)、dosvc(1<<1)、wuauserv(1<<2)、bits(1<<3)。
- NumberServicesToStop 需要手动停止的服务数。
Microsoft.Windows.WaaSMedic.SummaryEvent
此事件提供 WaaSMedic 操作的结果。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- callerApplication 调用应用程序的名称。
- capsuleCount Sediment 程序包封装程序的数量。
- capsuleFailureCount 封装程序失败的次数。
- detectionSummary 运行的每次适用检测的结果。
- featureAssessmentImpact WaaS 评估对功能更新的影响。
- hrEngineBlockReason 指示停止 WaaSMedic 的原因。
- hrEngineResult 引擎操作的错误代码。
- hrLastSandboxError WaaSMedic 沙盒发送的最后一个错误。
- initSummary 初始化方法的摘要数据。
- isInteractiveMode 用户曾开始运行 WaaSMedic。
- isManaged 设备已进行更新。
- isWUConnected 设备已连接至 Windows 更新。
- noMoreActions 不再进行适用诊断。
- pluginFailureCount 失败的插件数。
- pluginsCount 插件的数量。
- qualityAssessmentImpact WaaS 评估对质量更新的影响。
- remediationSummary 在设备上为修复阻止设备获取更新的无效状态或配置所执行的每个操作的结果。 例如,如果 Windows 更新服务处于关闭状态,解决方法是打开它。
- usingBackupFeatureAssessment 依赖备份功能评估。
- usingBackupQualityAssessment 依赖备份质量评估。
- usingCachedFeatureAssessment WaaS Medic 运行未从上一次运行的网络中获取操作系统生成时间。
- usingCachedQualityAssessment WaaS Medic 运行未从上一次运行的网络中获取操作系统修订时间。
- uusVersion UUS 包的版本。
- versionString WaaSMedic 引擎的版本。
- waasMedicRunMode 指示 Medic 运行是后台常规运行还是由用户通过启动 Windows 更新疑难解答触发。
Microsoft Store 事件
Microsoft.Windows.StoreAgent.Telemetry.BeginGetInstalledContentIds
当启动所安装的应用清单以确定是否存在适用于这些应用的更新时,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。
Microsoft.Windows.StoreAgent.Telemetry.BeginUpdateMetadataPrepare
当使用任何可用数据包更新刷新 Microsoft Store 代理缓存时,将会发送此事件。 它用于帮助 Windows 保持最新和安全。
Microsoft.Windows.StoreAgent.Telemetry.CompleteInstallOperationRequest
应用安装或更新结束时发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- CatalogId 所安装应用的 Microsoft Store 产品 ID。
- HResult 所执行操作的 HResult 代码。
- IsBundle 这是否是捆绑包?
- PackageFamilyName 所安装数据包的名称。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SkuId 所安装项目的特定版本。
Microsoft.Windows.StoreAgent.Telemetry.EndAcquireLicense
安装产品时,在获取许可证之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。
包含以下字段:
- AggregatedPackageFullNames 包括适用于组成原子集的每个应用的数据包完整名称集。
- AttemptNumber 尝试获取产品的总次数。
- BundleId 捆绑包 ID。
- CategoryId 所安装的一个或多个数据包的标识。
- ClientAppId 发起此操作的应用的标识。
- HResult 用于显示操作结果(成功/失败)的 HResult 代码。
- IsBundle 这是否是捆绑包?
- IsInteractive 用户是否已启动安装?
- IsMandatory 这是否是强制更新?
- IsRemediation 这是否会修复先前的安装?
- IsRestore 这是否在设备还原之后发生?
- IsUpdate 这是更新吗?
- ParentBundleId 父捆绑包 ID(如果它是捆绑包的一部分的话)。
- PFN 所安装产品的产品系列名称。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SystemAttemptNumber 系统尝试获取此产品的次数。
- UserAttemptNumber 用户尝试获取此产品的次数
- WUContentId Windows 更新内容 ID。
Microsoft.Windows.StoreAgent.Telemetry.EndDownload
下载应用后发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
- AttemptNumber 取消之前的重试次数。
- BundleId 与此产品关联的 Windows 预览体验成员版本的标识。
- CategoryId 所安装的一个或多个数据包的标识。
- ClientAppId 发起此操作的应用的标识。
- DownloadSize 下载的总大小。
- ExtendedHResult 任何扩展的 HResult 错误代码。
- HResult 所执行的上一个操作的结果代码。
- IsBundle 这是否是捆绑包?
- IsInteractive 它是否是由用户发起?
- IsMandatory 这是否是强制安装?
- IsRemediation 这是否会修复先前的安装?
- IsRestore 这是否会还原先前获取的产品?
- IsUpdate 这是更新吗?
- ParentBundleId 父捆绑包 ID(如果它是捆绑包的一部分的话)。
- PFN 所下载应用的产品系列名称。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SystemAttemptNumber 系统尝试下载的次数。
- UserAttemptNumber 用户尝试下载的次数。
- WUContentId Windows 更新内容 ID。
Microsoft.Windows.StoreAgent.Telemetry.EndGetInstalledContentIds
发送所安装的产品清单以确定是否存在适用于这些产品的更新之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。
包含以下字段:
- HResult 在此操作之前执行的上一个操作的结果代码。
Microsoft.Windows.StoreAgent.Telemetry.EndInstall
安装产品后发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
- AttemptNumber 取消之前的重试次数。
- BundleId 与此产品关联的版本的标识。
- CategoryId 所安装的一个或多个数据包的标识。
- ClientAppId 发起此操作的应用的标识。
- ExtendedHResult 扩展的 HResult 错误代码。
- HResult 所执行的上一个操作的结果代码。
- IsBundle 这是否是捆绑包?
- IsInteractive 这是否是交互式安装?
- IsMandatory 这是否是强制安装?
- IsRemediation 这是否会修复先前的安装?
- IsRestore 这是否会自动还原先前获取的产品?
- IsUpdate 这是更新吗?
- ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
- PFN 所安装产品的产品系列名称。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SystemAttemptNumber 系统尝试总次数。
- UserAttemptNumber 用户尝试总次数。
- WUContentId Windows 更新内容 ID。
Microsoft.Windows.StoreAgent.Telemetry.EndScanForUpdates
在产品扫描更新以确定是否需要安装数据包之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。
包含以下字段:
- AutoUpdateWorkScheduledWithUOTime 首次使用 UO 计划工作的时间。 UO 调用 UnblockLowPriorityWorkItems 时删除的值。
- ClientAppId 发起此操作的应用的标识。
- HResult 所执行的上一个操作的结果代码。
- IsApplicability 此请求是否只用于确定是否需要安装任何适用的数据包?
- IsInteractive 这是否为用户所请求?
- IsOnline 此请求是否会执行在线检查?
- NumberOfApplicableUpdates 此操作返回的包数。
- PFN 计算机上当前安装的应用的 PackageFullName。 此操作正在扫描此应用的更新。 如果操作正在扫描多个应用的更新,则值将为空。
Microsoft.Windows.StoreAgent.Telemetry.EndSearchUpdatePackages
在搜索要安装的更新数据包之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。
包含以下字段:
- AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
- AttemptNumber 取消之前的重试总次数。
- BundleId 与此产品关联的版本的标识。
- CategoryId 所安装的一个或多个数据包的标识。
- ClientAppId 发起此操作的应用的标识。
- HResult 所执行的上一个操作的结果代码。
- IsBundle 这是否是捆绑包?
- IsInteractive 这是否为用户所请求?
- IsMandatory 这是否是强制更新?
- IsRemediation 这是否会修复先前的安装?
- IsRestore 这是否会还原先前获取的内容?
- IsUpdate 这是更新吗?
- ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
- PFN 请求安装的一个或多个数据包的名称。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SystemAttemptNumber 系统尝试总次数。
- UserAttemptNumber 用户尝试总次数。
- WUContentId Windows 更新内容 ID。
Microsoft.Windows.StoreAgent.Telemetry.EndUpdateMetadataPrepare
扫描可用的应用更新后会发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- HResult 所执行的上一个操作的结果代码。
Microsoft.Windows.StoreAgent.Telemetry.FulfillmentComplete
在应用安装或更新结束时发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- CatalogId 从中选择此应用的产品目录的名称。
- FailedRetry 指示安装或更新重试是否成功。
- HResult 操作的 HResult 代码。
- PFN 所安装或更新的应用的包系列名称。
- ProductId 所更新或安装的应用的产品 ID。
Microsoft.Windows.StoreAgent.Telemetry.FulfillmentInitiate
在应用安装或更新开始时发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- CatalogId 从中选择此应用的产品目录的名称。
- FulfillmentPluginId 安装产品包类型所需的插件的 ID。
- PFN 所安装或更新的应用的包系列名称。
- PluginTelemetryData 特定于包类型插件的诊断信息。
- ProductId 所更新或安装的应用的产品 ID。
Microsoft.Windows.StoreAgent.Telemetry.InstallOperationRequest
启动产品安装或更新时发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- BundleId 与此产品关联的版本的标识。
- CatalogId 如果此产品来自专用目录,则此值为所安装产品的 Microsoft Store 产品 ID。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- SkuId 所安装的特定版本 ID。
- VolumePath 安装的磁盘路径。
Microsoft.Windows.StoreAgent.Telemetry.ResumeInstallation
在用户或系统恢复产品安装或更新时发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
- AttemptNumber 取消之前的重试次数。
- BundleId 与此产品关联的版本的标识。
- CategoryId 所安装的一个或多个数据包的标识。
- ClientAppId 发起此操作的应用的标识。
- HResult 在此操作之前执行的上一个操作的结果代码。
- IsBundle 这是否是捆绑包?
- IsInteractive 这是否为用户所请求?
- IsMandatory 这是否是强制更新?
- IsRemediation 这是否会修复先前的安装?
- IsRestore 这是否会还原先前获取的内容?
- IsUpdate 这是更新吗?
- IsUserRetry 用户是否发起了重试?
- ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
- PFN 请求安装的一个或多个数据包的名称。
- PreviousHResult 先前的 HResult 错误代码。
- PreviousInstallState 安装暂停之前的先前状态。
- ProductId 所安装产品的 Microsoft Store 产品 ID。
- RelatedCV 恢复之前原始安装的相关矢量。
- ResumeClientId 启动恢复操作的应用的 ID。
- SystemAttemptNumber 系统尝试总次数。
- UserAttemptNumber 用户尝试总次数。
- WUContentId Windows 更新内容 ID。
Microsoft.Windows.StoreAgent.Telemetry.StateTransition
正在实施(已安装或已更新)的产品在列表中进行维护。 只要产品的实施状态(待处理、正在工作、已暂停、已取消或完成)发生变化,就会发送此事件,以帮助使 Windows 保持最新和安全。
包含以下字段:
- CatalogId 如果产品来自专用目录,如企业目录,则为要安装的产品的 ID。
- FulfillmentPluginId 安装产品包类型所需的插件的 ID。
- HResult 此操作生成的 HResult 错误/成功代码。
- NewState 此产品的当前实施状态。
- PFN 所安装或更新的应用的包系列名称。
- PluginLastStage 插件报告的最新产品实施步骤(不同于其状态)。
- PluginTelemetryData 特定于包类型插件的诊断信息。
- Prevstate 此产品的上一个实施状态。
- ProductId 所更新或安装的应用的产品 ID。
Windows 更新 CSP 事件
Microsoft.Windows.UpdateCsp.ExecuteRollBackFeatureNotApplicable
此事件发送有关功能回滚(回滚功能更新)是否适用于设备的基本遥测。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- current 货币检查结果。
- dismOperationSucceeded Dism 卸载操作状态。
- oSVersion 设备的内部版本号。
- paused 指示设备是否已暂停。
- rebootRequestSucceeded 重启配置服务提供程序 (CSP) 调用成功状态。
- sacDevice 表示设备信息。
- wUfBConnected WUfB 连接检查的结果。
Microsoft.Windows.UpdateCsp.ExecuteRollBackFeatureStarted
此事件发送指示已启动功能回滚的基本信息。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
Windows 更新传递优化事件
Microsoft.OSG.DU.DeliveryOptClient.DownloadCompleted
此事件描述通过传递优化完成下载的时间。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- background 此下载是否为后台下载?
- bytesFromCacheServer 从缓存主机接收到的字节数。
- bytesFromCDN 从 CDN 源接收到的字节数。
- bytesFromGroupPeers 从相同域组中的对等方接收到的字节数。
- bytesFromIntPeers 从非相同 LAN 或相同域组中的对等方接收到的字节数。
- bytesFromLedbat 使用已启用 Ledbat 的连接从源接收的字节数。
- bytesFromLinkLocalPeers 从本地对等方接收的字节数。
- bytesFromLocalCache 从本地(磁盘)缓存复制的字节数。
- bytesFromPeers 从相同 LAN 中的对等方接收到的字节数。
- bytesRequested 请求下载的总字节数。
- cacheServerConnectionCount 与缓存主机的连接数。
- cdnConnectionCount 与 CDN 的连接总数。
- cdnErrorCodes 上个 FailureCDNCommunication 事件之后的 CDN 连接错误列表。
- cdnErrorCounts 遇到 cdnErrorCodes 中的每个错误的次数。
- cdnIp 源 CDN 的 IP 地址。
- cdnUrl 源内容分发网络 (CDN) 的 Url。
- congestionPrevention 指示为防止网络拥塞可能已暂停下载。
- dataSourcesTotal 接收到的每种源类型的字节数(整个会话期间的累计值)。
- downlinkBps 测得的最大可用下载带宽(以字节/秒为单位)。
- downlinkUsageBps 下载速度(以字节/秒为单位)。
- downloadMode 用于此文件下载会话的下载模式。
- downloadModeReason 下载的原因。
- downloadModeSrc DownloadMode 设置的源。
- experimentId 运行测试时,它用于关联属于相同测试的其他事件。
- expiresAt 内容将从传递优化缓存中过期的时间。
- fileID 所下载文件的 ID。
- fileSize 所下载文件的大小。
- groupConnectionCount 与相同组中的对等方的连接总数。
- groupID 表示自定义设备组的 GUID。
- internetConnectionCount 与非相同 LAN 或相同组中的对等方的连接总数。
- isEncrypted 如果文件已加密并在下载后进行解密,则为 TRUE。
- isThrottled 事件率受到限制(事件表示聚合数据)。
- isVpn 设备是否已连接到虚拟专用网络?
- jobID Windows 更新作业的标识符。
- lanConnectionCount 与相同 LAN 中的对等方的连接总数。
- linkLocalConnectionCount 与同一链接-本地网络中的对等方建立的连接数。
- numPeers 用于此下载的对等方总数。
- numPeersLocal 用于此下载的本地对等方的总数。
- predefinedCallerName API 调用方的名称。
- restrictedUpload 上传是否受限?
- routeToCacheServer 缓存服务器设置、源和值。
- rttMs 到源的最小、最大、平均往返时间。
- rttRLedbatMs 启用了 Ledbat 的源的最小、最大、平均往返时间。
- sessionID 下载会话的 ID。
- sessionTimeMs 会话持续时间(以毫秒为单位)。
- totalTimeMs 下载持续时长(以秒为单位)。
- updateID 所下载更新的 ID。
- uplinkBps 测得的最大可用上传带宽(以字节/秒为单位)。
- uplinkUsageBps 上传速度(以字节/秒为单位)。
Microsoft.OSG.DU.DeliveryOptClient.FailureCdnCommunication
此事件表示通过传递优化从 CDN 中进行的下载失败。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- cdnHeaders CDN 返回的 HTTP 标题。
- cdnIp CDN 的 IP 地址。
- cdnUrl CDN 的 URL。
- errorCode 返回的错误代码。
- errorCount 遇到上一个 FailureCdnCommunication 事件之后此错误代码显示的总次数。
- experimentId 运行测试时,它用于关联属于相同测试的其他事件。
- fileID 所下载文件的 ID。
- httpStatusCode CDN 返回的 HTTP 状态代码。
- isHeadRequest 发送至 CDN 的 HTTP 请求的类型。 示例:HEAD 或 GET
- peerType 对等的类型(LAN、组、Internet、CDN、缓存主机等)。
- requestOffset 已发送请求中的文件内的字节偏移量。
- requestSize 从 CDN 请求的范围大小。
- responseSize 从 CDN 接收到的范围响应的大小。
- sessionID 下载会话的 ID。
Windows 更新事件
Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentAnalysisSummary
此事件收集与新设备清单 UUP(统一更新平台)更新方案的安装阶段过后,在重新启动之后系统中的设备和驱动程序状态相关的信息,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- activated 整个设备清单更新是否被视为已激活并在使用。
- analysisErrorCount 由于在分析过程中出错而无法分析的驱动程序包的数量。
- flightId 每个外部测试版的唯一 ID。
- missingDriverCount 设备清单提供的系统中缺少的驱动程序包数量。
- missingUpdateCount 设备清单提供的系统中缺少的更新数量。
- objectId 每个诊断会话的唯一值。
- publishedCount 设备清单提供的已发布并且可在设备上使用的驱动程序包数量。
- relatedCV 由最新 USO 扫描生成的相关矢量值。
- scenarioId 指示更新方案。
- sessionId 每个更新会话的唯一值。
- summary 一个摘要字符串,其中包含有关设备清单中的驱动程序包以及系统上与这些驱动程序包匹配的任何设备的基本信息。
- summaryAppendError 指示在向摘要字符串附加更多信息时是否发生错误的布尔值。
- truncatedDeviceCount 由于摘要字符串中空间不足而导致其中缺少的设备的数量。
- truncatedDriverCount 由于摘要字符串中空间不足而导致其中缺少的驱动程序包的数量。
- unpublishedCount 设备清单提供的驱动程序包中有多少仍未发布并不可在设备上使用。
- updateId 每个更新的唯一 ID。
Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentDownloadRequest
此事件收集与新设备清单 UUP(统一更新平台)更新方案的下载请求阶段相关的信息,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- deletedCorruptFiles 指示 UpdateAgent 是否发现任何损坏的有效负载文件以及是否已删除有效负载。
- errorCode 为当前会话初始化返回的错误代码。
- flightId 每个外部测试版的唯一标识符。
- objectId 每个更新代理模式的唯一值。
- packageCountOptional 请求的可选包数。
- packageCountRequired 请求的必需包数。
- packageCountTotal 必需包总数。
- packageCountTotalCanonical 规范包总数。
- packageCountTotalDiff 差异包总数。
- packageCountTotalExpress 快速包总数。
- packageSizeCanonical 规范包大小(以字节为单位)。
- packageSizeDiff 差异包大小(以字节为单位)。
- packageSizeExpress 快速包大小(以字节为单位)。
- rangeRequestState 指示下载范围请求的状态。
- relatedCV 由最新 USO 扫描生成的相关矢量值。
- result 更新的下载请求阶段的结果。
- scenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
- sessionId 每个更新代理模式尝试的唯一值。
- updateId 每个更新的唯一 ID。
Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentInitialize
此事件为新设备清单 UUP(统一更新平台)更新方案发送与启动新更新会话相关的数据,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- errorCode 为当前会话初始化返回的错误代码。
- flightId 每个外部测试版的唯一标识符。
- flightMetadata 包含进行外部测试的 FlightId 和版本。
- objectId 每个更新代理模式的唯一值。
- relatedCV 由最新 USO 扫描生成的相关矢量值。
- result 更新的初始化阶段的结果。 0 = 已成功、1 = 失败、2 = 已取消、3 = 已阻止、4 = 已取消阻止。
- scenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
- sessionData 包含用于更新处理 FOD 和 DUIC 代理的指令(如果为其他情况,则为 Null)。
- sessionId 每个更新代理模式尝试的唯一值。
- updateId 每个更新的唯一 ID。
Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentInstall
此事件收集与新设备清单 UUP(统一更新平台)更新方案的安装阶段相关的信息,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- errorCode 为当前的安装阶段返回的错误代码。
- flightId 每个外部测试版的唯一标识符。
- objectId 每个诊断会话的唯一标识符。
- relatedCV 由最新 USO 扫描生成的相关矢量值。
- result 更新的安装阶段的结果。
- scenarioId 更新方案的唯一标识符。
- sessionId 每个更新会话的唯一标识符。
- updateId 每个更新的唯一标识符。
Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentModeStart
此事件通过 UUP(统一更新平台)更新方案在更新设备清单资源过程中发送与每个模式启用相关的数据,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。
包含以下字段:
- flightId 每个外部测试版的唯一标识符。
- mode 正在启动的模式。
- objectId 每个诊断会话的唯一值。
- relatedCV 由最新 USO 扫描生成的相关矢量值。
- scenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
- sessionId 每个更新代理模式尝试的唯一值。
- updateId 每个更新的唯一标识符。
Microsoft.Windows.Update.Orchestrator.ScheduledScanBeforeInitialLogon
指示在计划初始登录之前进行扫描
包含以下字段:
- deferDurationInMinutes 执行更新扫描之前的延迟时间(分钟)。
Microsoft.Windows.Update.Orchestrator.UpdatePolicyCacheRefresh
此事件发送与是否已在设备上启用更新管理策略相关的数据,以帮助使 Windows 保持安全和最新状态。
包含以下字段:
- configuredPoliciescount 设备上的策略数。
- policiesNamevaluesource 策略名称和策略源(组策略、MDM 或外部测试版)。
- updateInstalluxsetting 指示用户是否已通过用户体验选项设置了策略。
Microsoft.Windows.Update.SIHClient.TaskRunCompleted
此事件是服务器启动的修复客户端的启动事件。
包含以下字段:
- CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
- CmdLineArgs 调用方传入的命令行参数。
- EventInstanceID 事件实例的全球唯一标识符。
- ServiceGuid 软件分发客户端所连接至的服务 (Windows 更新、Microsoft Store 等) 的标识符。
- StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
- UusVersion 更新未停靠堆栈的版本。
- WUDeviceID 软件分发客户端连接到的服务的标识符(Windows 更新、Windows 应用商店等)。
Microsoft.Windows.Update.SIHClient.TaskRunStarted
此事件是服务器启动的修复客户端的启动事件。
包含以下字段:
- CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
- CmdLineArgs 调用方传入的命令行参数。
- EventInstanceID 事件实例的全球唯一标识符。
- ServiceGuid 软件分发客户端所连接至的服务 (Windows 更新、Microsoft Store 等) 的标识符。
- UusVersion 更新未停靠堆栈的版本。
- WUDeviceID 软件分发客户端控制的唯一设备 ID。
Microsoft.Windows.Update.Ux.MusUpdateSettings.Derived.ClientAggregated.LaunchPageDuration
此事件是 LaunchPageDuration 方案的派生事件结果。
Microsoft.Windows.Update.WUClient.DownloadPaused
暂停下载阶段时会触发此事件。
包含以下字段:
- BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
- CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
- ClassificationId:更新内容的分类标识符。
- DownloadPriority 指示下载活动的优先级。
- EventType 指示事件的用途 - 是否因为扫描已启动、成功、失败等。
- FlightId StatusCode 不够具体的某些方案的辅助状态代码。
- HandlerInfo 与处理程序相关的 Blob 信息。
- HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
- Props 提交属性 {MergedUpdate}
- RegulationResult 上次尝试联系监督 Web 服务以对更新内容进行下载监督时产生的结果代码 (HResult)。
- RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
- ServiceGuid 软件分发客户端所连接至的服务 (Windows 更新、Microsoft Store 等) 的标识符。
- updateId 与某条特定内容关联的标识符。
- UusVersion 更新未停靠堆栈的版本。
Microsoft.Windows.Update.WUClientExt.UpdateMetadataIntegrityGeneral
确保 Windows 更新安全并完成。 事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。
包含以下字段:
- CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
- EndpointUrl 确保 Windows 更新安全并完成。 事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。
- ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
- MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知,1 - 忽略,2 - 审核,3 - 强制执行
- RawMode SLS 响应中的原始未分析模式字符串。 如果不适用,可能返回 null。
- ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
- SLSPrograms 可能选择计算机的测试程序。 示例包括“Canary”和“Insider Fast”。
- StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
- UusVersion 更新未停靠堆栈的版本。
Microsoft.Windows.WindowsUpdate.RUXIM.ICSExit
退出 RUXIM 交互市场活动计划程序 (RUXIMICS) 时生成此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
Microsoft.Windows.WindowsUpdate.RUXIM.ICSLaunch
启动 RUXIM 交互市场活动计划程序 (RUXIMICS.EXE) 时生成此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。
包含以下字段:
- CommandLine 用于启动 RUXIMICS 的命令行。
Microsoft.Windows.WindowsUpdate.RUXIM.ICSOneSettingsSyncExit
RUXIM 完成检查 OneSettings 以检索可能需要显示的任何 UX 交互活动时,将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- ETagValue 用于同步的 eTag。
- hrInitialize 初始化 OneSettings 时发生的错误(如有)。
- hrQuery 从 OneSettings 检索 UX 交互市场活动数据时发生的错误(如有)。
Microsoft.Windows.WindowsUpdate.RUXIM.ICSOneSettingsSyncLaunch
RUXIM 开始检查 OneSettings 以检索可能需要显示的任何 UX 交互活动时,将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
Windows 更新缓解事件
Mitigation360Telemetry.MitigationCustom.FixupWimmountSysPath
此事件发送用于操作系统更新的特定于 FixupWimmountSysPath 缓解的数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态。
包含以下字段:
- ClientId 在 WU 方案中,此值将是传递至安装程序的 WU 客户端 ID。 在媒体设置中,默认值为 Media360,但可被唯一值调用方覆盖。
- FlightId 每个外部测试版的唯一标识符。
- ImagePathDefault 系统注册表中定义的 wimmount.sys 驱动程序默认路径。
- ImagePathFixedup 指示 wimmount.sys 驱动程序路径是否已通过此缓解措施修复的布尔值。
- InstanceId 用于标识每个 setuphost.exe 实例的唯一 GUID。
- MitigationScenario 在其中尝试缓解的更新方案。
- RelatedCV 相关矢量值。
- Result 此操作的 HResult。
- ScenarioId Setup360 流类型。
- ScenarioSupported 是否支持传入的更新方案。
- SessionId UpdateAgent“SessionId”值。
- updateId 更新的唯一标识符。
- WuId Windows 更新客户端的唯一标识符。