Windows 11 版本 24H2 所需的诊断事件和字段

适用范围

  • Windows 11 版本 24H2

必需的诊断数据收集的是一组有限信息,此类信息对了解设备及其配置至关重要,包括基本设备信息、与质量相关的信息、应用兼容性和 Microsoft Store。

必需的诊断数据有助于发现特定设备硬件或软件配置可能会出现的问题。 例如,它可以帮助确定具有特定内存量或运行特定驱动程序版本的设备上的崩溃是否更加频繁。 这有助于 Microsoft 修复操作系统或应用问题。

阅读本文,了解与诊断事件(按事件区域分组)及每个事件内的字段相关的信息。 每个字段均提供简要描述。 生成的每个事件均包括用于收集设备数据的常见数据。

你可以通过以下文章了解与 Windows 功能和诊断数据相关的详细信息:

评估程序事件

Microsoft.Windows.Appraiser.General.ChecksumTotalPictureCount

此事件列出了对象的类型以及客户端设备上每一类对象的数量。 这可以快速确保服务器上的记录与客户端上的记录匹配。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • DatasourceApplicationFile_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceApplicationFile_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DatasourceApplicationFile_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceApplicationFile_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceApplicationFile_RS1 此设备上存在的此类型的对象总数。
  • DatasourceApplicationFile_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceApplicationFile_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DatasourceApplicationFile_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DatasourceApplicationFileBackup 此设备上存在的此特定对象类型的数量计数。
  • DatasourceBackupApplicationRestore 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDevicePnp_20H1Setup 此设备上存在的此类型的对象总数。
  • DatasourceDevicePnp_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceDevicePnp_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DatasourceDevicePnp_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDevicePnp_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceDevicePnp_RS1 此设备上面向 Windows 10 版本 1607 的 DataSourceDevicePnp 对象总数。
  • DatasourceDevicePnp_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDevicePnp_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDevicePnp_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDriverPackage_20H1Setup 此设备上存在的此类型的对象总数。
  • DatasourceDriverPackage_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceDriverPackage_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DatasourceDriverPackage_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDriverPackage_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceDriverPackage_RS1 此设备上存在的此类型的对象总数。
  • DatasourceDriverPackage_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDriverPackage_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DatasourceDriverPackage_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoBlock_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoBlock_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DataSourceMatchingInfoBlock_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoBlock_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoBlock_RS1 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoBlock_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoBlock_ZN23H2Exp 此设备上存在的这一特定对象类型的数量计数。
  • DataSourceMatchingInfoBlock_ZN23H2Setup 此设备上存在的这一特定对象类型的数量计数。
  • DataSourceMatchingInfoPassive_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPassive_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DataSourceMatchingInfoPassive_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPassive_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPassive_RS1 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPassive_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPassive_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPassive_ZN23H2Setup 此设备上的这一特定对象类型的计数。
  • DataSourceMatchingInfoPostUpgrade_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPostUpgrade_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DataSourceMatchingInfoPostUpgrade_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPostUpgrade_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPostUpgrade_RS1 此设备上存在的此类型的对象总数。
  • DataSourceMatchingInfoPostUpgrade_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPostUpgrade_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DataSourceMatchingInfoPostUpgrade_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DatasourceSystemBios_20H1Setup 此设备上存在的此类型的对象总数。
  • DatasourceSystemBios_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceSystemBios_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DatasourceSystemBios_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceSystemBios_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DatasourceSystemBios_RS1 此设备上存在的面向 Windows 10 版本 1607 的 DatasourceSystemBios 对象总数。
  • DatasourceSystemBios_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DatasourceSystemBios_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DatasourceSystemBios_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionApplicationFile_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionApplicationFile_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionApplicationFile_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionApplicationFile_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionApplicationFile_RS1 此设备上存在的此类型的对象总数。
  • DecisionApplicationFile_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionApplicationFile_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionApplicationFile_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionDevicePnp_20H1Setup 此设备上存在的此类型的对象总数。
  • DecisionDevicePnp_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionDevicePnp_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionDevicePnp_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionDevicePnp_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionDevicePnp_RS1 此设备上存在的此类型的对象总数。
  • DecisionDevicePnp_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionDevicePnp_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionDevicePnp_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionDriverPackage_20H1Setup 此设备上存在的此类型的对象总数。
  • DecisionDriverPackage_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionDriverPackage_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionDriverPackage_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionDriverPackage_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionDriverPackage_RS1 此设备上存在的此类型的对象总数。
  • DecisionDriverPackage_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionDriverPackage_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionDriverPackage_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoBlock_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoBlock_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionMatchingInfoBlock_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoBlock_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoBlock_RS1 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoBlock_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoBlock_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoBlock_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPassive_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoPassive_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionMatchingInfoPassive_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPassive_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoPassive_RS1 此设备上面向 Windows 10 版本 1607 的 DecisionMatchingInfoPassive 对象总数。
  • DecisionMatchingInfoPassive_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPassive_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPassive_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPostUpgrade_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoPostUpgrade_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionMatchingInfoPostUpgrade_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPostUpgrade_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMatchingInfoPostUpgrade_RS1 此设备上面向 Windows 10 版本 1607 的 DecisionMatchingInfoPostUpgrade 对象总数。
  • DecisionMatchingInfoPostUpgrade_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPostUpgrade_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionMatchingInfoPostUpgrade_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionMediaCenter_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMediaCenter_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionMediaCenter_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMediaCenter_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionMediaCenter_RS1 此设备上存在的此类型的对象总数。
  • DecisionMediaCenter_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionMediaCenter_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionMediaCenter_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSModeState_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSModeState_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionSModeState_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSModeState_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSModeState_RS1 在此设备上存在的此类型的对象总数。
  • DecisionSModeState_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSModeState_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSModeState_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemBios_20H1Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemBios_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemBios_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionSystemBios_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemBios_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemBios_RS1 此设备上存在的此类型的对象总数。
  • DecisionSystemBios_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemBios_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemBios_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemDiskSize_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemDiskSize_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionSystemDiskSize_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemDiskSize_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemDiskSize_RS1 在此设备上存在的此类型的对象总数。
  • DecisionSystemDiskSize_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemDiskSize_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemDiskSize_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemMemory_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemMemory_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionSystemMemory_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemMemory_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemMemory_RS1 在此设备上存在的此类型的对象总数。
  • DecisionSystemMemory_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemMemory_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemMemory_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuCores_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuCores_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionSystemProcessorCpuCores_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuCores_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuCores_RS1 在此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuCores_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuCores_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuCores_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuModel_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuModel_CU23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuModel_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuModel_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuModel_RS1 在此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorCpuModel_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuModel_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuModel_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionSystemProcessorCpuSpeed_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionSystemProcessorPopCnt 此设备上存在的此特定对象类型的数量计数。
  • DecisionTest_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionTest_CU23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionTest_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionTest_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionTest_RS1 此设备上存在的此类型的对象总数。
  • DecisionTest_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionTest_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionTest_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionTpmVersion_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionTpmVersion_CU23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionTpmVersion_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionTpmVersion_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionTpmVersion_RS1 在此设备上存在的此类型的对象总数。
  • DecisionTpmVersion_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionTpmVersion_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionTpmVersion_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • DecisionUefiSecureBoot_CO21H2Setup 此设备上存在的此类型的对象总数。
  • DecisionUefiSecureBoot_CU23H2Setup 此设备上的这一特定对象类型的计数。
  • DecisionUefiSecureBoot_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionUefiSecureBoot_NI22H2Setup 此设备上存在的此类型的对象总数。
  • DecisionUefiSecureBoot_RS1 在此设备上存在的此类型的对象总数。
  • DecisionUefiSecureBoot_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • DecisionUefiSecureBoot_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • DecisionUefiSecureBoot_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • InventoryApplicationFile 此设备上存在的此特定对象类型的数量计数。
  • InventoryLanguagePack 此设备上存在的此特定对象类型的数量计数。
  • InventoryMediaCenter 此设备上存在的此特定对象类型的数量计数。
  • InventorySystemBios 此设备上存在的此特定对象类型的数量计数。
  • InventoryTest 此设备上存在的此特定对象类型的数量计数。
  • InventoryUplevelDriverPackage 此设备上存在的此特定对象类型的数量计数。
  • PCFP 此设备上存在的此特定对象类型的数量计数。
  • SystemMemory 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorCompareExchange 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorLahfSahf 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorNx 此设备上存在的此类型的对象总数。
  • SystemProcessorPopCnt 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPopCnt_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPopCnt_RS1 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPopCnt_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPopCnt_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPopCnt_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • SystemProcessorPrefetchW 此设备上存在的此类型的对象总数。
  • SystemProcessorSse2 此设备上存在的此类型的对象总数。
  • SystemTouch 此设备上存在的此特定对象类型的数量计数。
  • SystemWim 此设备上存在的此类型的对象总数。
  • SystemWindowsActivationStatus 此设备上存在的此特定对象类型的数量计数。
  • SystemWlan 此设备上存在的此类型的对象总数。
  • Wmdrm_CO21H2Setup 此设备上存在的此类型的对象总数。
  • Wmdrm_CU23H2Setup 此设备上存在的此特定对象类型的数量计数。
  • Wmdrm_NI22H2 此设备上存在的此特定对象类型的数量计数。
  • Wmdrm_NI22H2Setup 此设备上存在的此类型的对象总数。
  • Wmdrm_RS1 此设备上存在的此类型的对象总数。
  • Wmdrm_ZN23H2 此设备上存在的此特定对象类型的数量计数。
  • Wmdrm_ZN23H2Exp 此设备上存在的此特定对象类型的数量计数。
  • Wmdrm_ZN23H2Setup 此设备上存在的此特定对象类型的数量计数。

Microsoft.Windows.Appraiser.General.DatasourceApplicationFileRemove

此事件指示 DatasourceApplicationFile 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

此事件中包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。

Microsoft.Windows.Appraiser.General.DatasourceBackupApplicationRestoreAdd

表示有关要在系统上还原的相关备份的应用程序的基本元数据。 此事件描述备份的应用程序是否与即将推出的 Windows 功能更新不兼容。 Microsoft 使用此信息来了解和解决接收更新的计算机的问题。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。
  • BackupLabel 指示有关在备份设备上找到的应用程序的兼容性信息。
  • CatalogSource 应用程序的类型。
  • CreatePlaceholder 表示有关是否应还原应用程序的决策。
  • Name 应用程序的名称。
  • ProgramId 用于进行标识的应用程序名称、版本、发布者和语言的哈希。
  • SdbEntryGuid 指示应用于此文件的 SDB 项。
  • SdbRestoreAction 指示有关在备份设备上找到的应用程序的兼容性信息。

Microsoft.Windows.Appraiser.General.DatasourceBackupApplicationRestoreStartSync

此事件指示将发送一组新的 DatasourceBackupApplicationRestoreAdd 事件。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 生成事件的评估程序二进制文件的版本。

Microsoft.Windows.Appraiser.General.DataSourceMatchingInfoPassiveRemove

此事件指示 DataSourceMatchingInfoPassive 对象不再存在。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

此事件中包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。

Microsoft.Windows.Appraiser.General.DataSourceMatchingInfoPassiveStartSync

此事件指示将发送新的 DataSourceMatchingInfoPassiveAdd 事件集。 此事件用于建立有关文件的兼容性决策,帮助使 Windows 保持最新状态。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。

Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPassiveAdd

此事件发送有关系统上的非阻止条目(并非通过应用程序或设备键入)的兼容性决策数据,以帮助使 Windows 保持最新状态。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。
  • BlockingApplication 是否存在任何因匹配信息块而干扰升级的应用程序问题?
  • DisplayGenericMessageGated 指示是否因匹配信息块而显示一条一般产品/服务块消息。
  • MigApplication 是否存在具有适合于当前升级模式的 mig 的匹配信息块?

Microsoft.Windows.Appraiser.General.DecisionMatchingInfoPassiveStartSync

此事件指示将发送新的 DecisionMatchingInfoPassiveAdd 事件集。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

此事件中包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 正在生成事件的评估程序文件的版本。

Microsoft.Windows.Appraiser.General.RestoreContext

此事件指示还原鉴定的结果。

包含以下字段:

  • AppraiserBranch 在其中构建当前运行的鉴定程序版本的源分支。
  • AppraiserVersion 生成事件的评估程序二进制文件的版本。
  • Context 指示鉴定程序正在运行的模式,应为“还原”。
  • PCFP 通过对硬件标识符进行哈希操作计算得出的系统 ID。
  • Result 指示还原鉴定结果的 HRESULT。
  • Time 事件的客户端时间。

Microsoft.Windows.Appraiser.General.SystemProcessorPopCntAdd

此事件发送用于指示系统是否支持较新版本的 PopCnt CPU 要求的数据,以帮助使 Windows 保持最新状态。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 评估程序版本
  • Blocking 升级是否因处理器缺少 PopCnt 指令而受阻?
  • PopCntPassed 计算机是否通过 PopCnt 指令的最新 OS 硬件要求。

Microsoft.Windows.Appraiser.General.SystemProcessorPopCntStartSync

SystemProcessorPopCntStartSync 事件指示将发送一组新的 SystemProcessorPopCntAdd 事件。 此事件用于了解系统是否支持较新版 Windows 的 PopCnt CPU 要求。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AppraiserVersion 评估程序版本。

统计事件

Census.Xbox

此事件发送与 Xbox 控制台相关的数据,如序列号和 DeviceId,以帮助使 Windows 保持最新。

包含以下字段:

  • XboxConsolePreferredLanguage 检索用户在 Xbox 控制台上选择的首选语言。
  • XboxConsoleSerialNumber 检索 Xbox 主机的序列号。
  • XboxLiveDeviceId 检索主机的唯一设备 ID。
  • XboxLiveSandboxId 如果设备位于 Microsoft 内部,则检索开发人员沙盒 ID。

代码完整性事件

Microsoft.Windows.Security.CodeIntegrity.Driver.AggregatedBlock

AggregatedBlock 是一个事件,其中包含代码完整性阻止的驱动程序的非 PII 详细信息。 每个驱动程序每 25 天最多触发一次。

包含以下字段:

  • CertificateInfo 被阻止加载的驱动程序二进制文件的数字签名和数字副署的非 PII 详细信息。
  • DriverInfo 有关驱动程序二进制文件及其数字签名和数字副署的非 PII 详细信息。
  • EventVersion DriverInfo 字段中使用的架构的版本。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.AutoEnablementIsBlocked

指示 OEM 是否已尝试通过 regkey 阻止自动启用。

包含以下字段:

  • BlockHvciAutoenablement 如果已成功阻止自动启用,则为 true;否则为 false。
  • BlockRequested 是否请求了自动启用块。
  • Scenario 用于区分 VBS 和 HVCI 路径。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.Compatibility

兼容性检查完成时触发。 提供检查的结果。

包含以下字段:

  • IsRecommended 表示是否已通过所有兼容性检查,如果已通过,则返回 true。 否则返回 false。
  • Issues如果兼容性检查失败,则提供检测到的问题的位索引指示器。 位于此处的表:检查 HVCI 默认启用的结果
  • Scenario 表示 SysPrep 尝试启用 HVCI (0) 还是 VBS (1)。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.Enabled

当自动启用成功并在设备上启用 HVCI 时触发。

提供有以下字段:

  • Error 启用期间出现问题时的错误代码
  • Scenario 指示启用是针对 VBS 还是 HVCI
  • SuccessfullyEnabled 指示启用是否成功
  • Upgrade 指示事件是否是在升级(而不是全新安装)期间触发的

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.HVCIActivity

在 sysprep 中 HVCI 自动启用过程的开始和结束时触发。

包含以下字段:

  • wilActivity 包含用于匹配开始和结束事件的线程 ID,对于结束事件,也包含指示成功或失败的 HResult。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.HvciAlreadyEnabled

如果已启用 HVCI,则触发,因此无需继续自动启用。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.HvciScanGetResultFailed

当驱动程序扫描无法获取结果时触发。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.HvciScanningDriverInSdbError

检查特定驱动程序的 SDB 时出错时触发。

包含以下字段:

  • DriverPath 检查遇到错误时在 SDB 中接受检查的驱动程序的路径。
  • Error 检查 SDB 期间遇到错误。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.HvciScanningDriverNonCompliantError

发现不符合 HVCI 的驱动程序时触发。

包含以下字段:

  • DriverPath 驱动程序的路径。
  • NonComplianceMask 指示驱动程序冲突的错误代码。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.IsRegionDisabledLanguage

检测到不兼容的语言包时触发。

提供有以下字段:

  • Language 包含检测到的不兼容语言包的字符串。

Microsoft.Windows.Security.CodeIntegrity.HVCISysprep.KcetHvciDisabled

该事件指示,内核模式控制流强制措施技术 (CET) 无法启用(该技术是一种基于 CPU 的安全功能,可防范恶意软件的返回地址劫持攻击),因为 HVCI(一种从属安全功能)也未启用。

Microsoft.Windows.Security.CodeIntegrity.State.DefenderSwitchedNWOff

此事件跟踪 Defender 何时通过云关闭智能应用控制。

Microsoft.Windows.Security.CodeIntegrity.State.DefenderSwitchedNWOffIgnored

此事件指示,由于设备仍在 OOBE 后的宽限期内,因此 Defender 从云发出的关闭智能应用控制的请求被忽略。

提供有以下字段:

  • Count 聚合窗口中的事件计数。
  • CurrentTimeMax 最新事件的时间。
  • CurrentTimeMin 第一个事件的时间。
  • NightsWatchDesktopIgnoreAutoOptOut 注册表中 NightsWatchDesktopIgnoreAutoOptOut 的值。
  • OOBECompleteTime 注册表中 OOBECompleteTime 的值。
  • OOBESafetyTime 智能应用控制设置的计时器的开始时间(如果未设置 OOBECompleteTime)。

Microsoft.Windows.Security.CodeIntegrity.State.SwitchedNWOff

此事件跟踪何时关闭智能应用控制。

Microsoft.Windows.Security.CodeIntegrity.State.SwitchedNWToEnforcementMode

此事件跟踪何时将智能应用控制从评估模式更改为强制模式。

常见数据扩展

Common Data Extensions.app

描述正在运行的应用程序的属性。 可以通过客户端应用或 Web 应用填充此扩展。

包含以下字段:

  • asId 用于表示应用会话的整数值。 首次启动应用时,此值为 0,后续启动应用(按启动会话计算)后将会递增。
  • env 从中记录事件的环境。
  • expId 将外部测试版(如操作系统外部测试版)或试验(如网站 UX 试验)与事件相关联。
  • id 表示当前已加载到生成事件进程中的客户端应用程序的唯一标识符;它用于按应用程序将事件组合在一起并了解使用模式和错误。
  • locale 应用的区域设置。
  • name 应用的名称。
  • userId 应用程序已知的 userID。
  • ver 表示应用程序的版本号。 用于了解应用中的版本错误和版本使用情况。

Common Data Extensions.container

描述容器内记录的事件的容器属性。

包含以下字段:

  • epoch 针对每个 SDK 初始化递增的 ID。
  • localId 客户端已知的设备 ID。
  • osVer 操作系统版本。
  • seq 针对每个事件递增的 ID。
  • type 容器类型。 示例:进程或 VMHost

Common Data Extensions.device

描述与设备相关的字段。

包含以下字段:

  • deviceClass 设备分类。 例如,桌面设备、服务器或移动电话。
  • localId 在本地为设备定义的唯一 ID。 这不是用户可读的设备名称。 最有可能等于在 HKLM\Software\Microsoft\SQMClient\MachineId 中存储的值
  • make 设备制造商。
  • model 设备型号。

Common Data Extensions.Envelope

表示包含所有常见数据扩展的信封。

包含以下字段:

  • data 表示特定事件架构的可选唯一诊断数据。
  • ext_app 描述正在运行的应用程序的属性。 可以通过客户端应用或 Web 应用填充此扩展。 请参阅 Common Data Extensions.app
  • ext_container 描述容器内记录的事件的容器属性。 请参阅 Common Data Extensions.container
  • ext_device 描述与设备相关的字段。 请参阅 Common Data Extensions.device
  • ext_mscv 描述相关矢量的相关字段。 请参阅 Common Data Extensions.mscv
  • ext_os 描述将由客户端填充的操作系统属性。 请参阅 Common Data Extensions.os
  • ext_sdk 描述与特定 SDK 所需的平台库相关的字段。 请参阅 Common Data Extensions.sdk
  • ext_user 描述与用户相关的字段。 请参阅 Common Data Extensions.user
  • ext_utc 描述可能由 Windows 上的日志记录库填充的字段。 请参阅 Common Data Extensions.utc
  • ext_xbl 描述与 XBOX Live 相关的字段。 请参阅 Common Data Extensions.xbl
  • iKey 表示应用程序或其他事件逻辑分组的 ID。
  • name 表示事件的唯一限定名称。
  • time 表示事件在客户端上生成时的事件日期时间,采用协调世界时 (UTC) 表示。 这应该采用 ISO 8601 格式。
  • ver 表示扩展的主要和次要版本。

Common Data Extensions.mscv

描述相关矢量的相关字段。

包含以下字段:

  • cV 表示相关矢量:用于跨组件边界跟踪相关事件的部分顺序的单个字段。

Common Data Extensions.os

描述操作系统的某些属性。

包含以下字段:

  • bootId 用于表示启动会话的整数值。 操作系统安装后首次启动时,此值为 0,每次重启之后将会递增。
  • expId 表示试验 ID。 将诸如操作系统外部测试版(预发行版本)之类的外部测试版或诸如网站 UX 试验之类的试验与事件相关联的标准是将外部测试版/试验 ID 记录在常见架构的 A 部分中。
  • locale 表示操作系统的区域设置。
  • name 表示操作系统名称。
  • ver 表示扩展的主要和次要版本。

Common Data Extensions.sdk

由特定于平台的库用于记录特定 SDK 所需的字段。

包含以下字段:

  • epoch 针对每个 SDK 初始化递增的 ID。
  • installId 第一次初始化 SDK 时创建的 ID。
  • libVer SDK 版本。
  • seq 针对每个事件递增的 ID。
  • ver 日志记录 SDK 的版本。

Common Data Extensions.user

描述与用户相关的字段。

包含以下字段:

  • authId 这是与此事件关联的用户的 ID,该 ID 从诸如 Microsoft 帐户票证或 XBOX 令牌之类的令牌中推断得出。
  • locale 语言和地区。
  • localId 表示客户端本地创建和添加的唯一用户标识。 这不是用户帐户 ID。

Common Data Extensions.utc

描述可由 Windows 上的日志记录库填充的属性。

包含以下字段:

  • aId 表示 ETW ActivityId。 通过 TraceLogging 或直接通过 ETW 登录。
  • bSeq 上传缓冲区序列号,格式为 buffer identifier:sequence number
  • cat 表示与事件关联的 ETW 关键字的位掩码。
  • cpId 编辑器 ID,如引用、桌面设备、手机、全息系统、中心、IoT 编辑器。
  • epoch 表示 epoch 和 seqNum 字段,这两个字段有助于跟踪触发的事件数量和上传的事件数量,并且还可以标识在入口服务器上对事件进行上传和重复数据消除操作时丢失的数据。
  • eventFlags 表示用于描述“已连接的用户体验和遥测”组件管道应如何处理事件的位集合。 最低位字节表示事件的持久性。 倒数第二位字节表示事件的延迟。
  • flags 表示用于捕获各种 Windows 特定标记的位图。
  • loggingBinary 激发事件的二进制文件(可执行文件、库、驱动程序等)。
  • mon 组合的监视器和事件序列号,格式为 monitor sequence : event sequence
  • op 表示 ETW 操作码。
  • pgName 与事件关联的提供程序组名称的简写形式。
  • popSample 表示此事件由客户端生成时的有效采样率。
  • providerGuid 与提供程序名称关联的 ETW 提供程序 ID。
  • raId 表示 ETW 相关 ActivityId。 通过 TraceLogging 或直接通过 ETW 登录。
  • seq 表示用于跟踪已上传事件的绝对顺序的序列字段。 对于每个已添加到上传队列的事件,它是一个递增标识符。 序列有助于跟踪触发的事件数量和上传的事件数量,并且还可以标识在入口服务器上对事件进行上传和重复数据消除操作时丢失的数据。
  • sqmId Windows SQM(软件质量度量 - Windows 10 诊断数据收集的提示)设备标识符。
  • stId 表示方案入口点 ID。 这是诊断方案中每个事件的唯一 GUID。 它过去被称为方案触发器 ID。
  • wcmp Windows Shell 编辑器 ID。
  • wPId Windows 核心操作系统产品 ID。
  • wsId Windows 核心操作系统会话 ID。

Common Data Extensions.xbl

描述与 XBOX Live 相关的字段。

包含以下字段:

  • claims 短声明名称尚未添加到此结构的任何其他声明。
  • did XBOX 设备 ID
  • dty XBOX 设备类型
  • dvr 设备上的操作系统版本。
  • eid 表示开发人员实体的唯一 ID。
  • exp 过期时间
  • ip 客户端设备的 IP 地址。
  • nbf 最早时间
  • pid 以 base10 数字列出的 PUID 的逗号分隔列表。
  • sbx XBOX 沙盒标识符
  • sid 服务实例 ID。
  • sty 服务类型。
  • tid XBOX Live 标题 ID。
  • tvr XBOX Live 标题版本。
  • uts 位字段,且 2 个位分配给 xid 中所列的每个用户 ID。 如果所有用户为零售帐户,则此字段将省略。
  • xid 采用 base10 编码的 XBOX 用户 ID 的列表。

常见数据字段

Ms.Device.DeviceInventoryChange

描述特定设备上所有可用硬件和软件组件的安装状态。

包含以下字段:

  • action 在设备清单对象上调用的更改。
  • inventoryId 用于兼容性测试的设备 ID
  • objectInstanceId 在设备范围内唯一的对象标识。
  • objectType 指示事件所适用的对象类型。
  • syncId 用于对属于一起的 StartSync、EndSync、Add 和 Remove 操作进行分组的字符串。 此字段为同步期所独有,用于在多个代理对相同对象执行重叠清单的情况下消除歧义。

基于组件的维护事件

CbsServicingProvider.CbsCapabilityEnumeration

此事件报告 Windows 更新上可选 Windows 内容的扫描结果,以帮助使 Windows 保持最新。

包含以下字段:

  • architecture 指示扫描仅限于指定的架构。
  • capabilityCount 在扫描期间找到的可选内容包的数量。
  • clientId 请求可选内容的应用程序的名称。
  • duration 完成扫描所花费的时间量。
  • hrStatus 扫描的 HReturn 代码。
  • language 指示扫描仅限于指定的语言。
  • majorVersion 指示扫描仅限于指定的主要版本。
  • minorVersion 指示扫描仅限于指定的次要版本。
  • namespace 指示扫描仅限于指定命名空间中的程序包。
  • sourceFilter 指示通过扫描检查本地可用的可选内容的位掩码。
  • stackBuild 服务堆栈的内部版本号。
  • stackMajorVersion 服务堆栈的主要版本号。
  • stackMinorVersion 服务堆栈的次要版本号。
  • stackRevision 服务堆栈的修订号。

CbsServicingProvider.CbsCapabilitySessionFinalize

此事件提供有关从 Windows 更新中安装或卸载可选 Windows 内容的结果的信息。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • capabilities 已安装的可选内容包的名称。
  • clientId 请求可选内容的应用程序的名称。
  • currentID 当前安装会话的 ID。
  • downloadSource 下载的源。
  • highestState 可选内容的最高最终安装状态。
  • hrLCUReservicingStatus 指示可选内容是否已更新到最新的可用版本。
  • hrStatus 安装操作的 HReturn 代码。
  • rebootCount 完成安装所需的重启数。
  • retryID 用于重试失败操作的会话 ID。
  • retryStatus 指示是否在发生故障时重试安装。
  • stackBuild 服务堆栈的内部版本号。
  • stackMajorVersion 服务堆栈的主要版本号。
  • stackMinorVersion 服务堆栈的次要版本号。
  • stackRevision 服务堆栈的修订号。

CbsServicingProvider.CbsCapabilitySessionPended

此事件提供有关安装可选 Windows 内容的结果的信息,需要重启才能使 Windows 保持最新状态。

包含以下字段:

  • clientId 请求可选内容的应用程序的名称。
  • pendingDecision 指示重启原因(如果适用)。

CbsServicingProvider.CbsFodInventory

此事件报告从 Windows 更新获取的当前可选 Windows 内容的状态。

提供有以下字段:

  • capabilities 一个位掩码,每个位置指示当前是否启用了每种可选的 Windows 内容。
  • initiatedOffline 一个 true 或 false 值,指示清单是否描述了脱机 WIM 文件。
  • stackBuild 服务堆栈的内部版本号。
  • stackMajorVersion 服务堆栈的主要版本号。
  • stackMinorVersion 服务堆栈的次要版本号。
  • stackRevision 服务堆栈的修订号。

CbsServicingProvider.CbsLateAcquisition

此事件发送数据,以指示某些操作系统软件包是否无法在升级过程中进行更新,从而帮助使 Windows 保持最新。

提供有以下字段:

  • Features 无法更新的功能包列表。
  • RetryID 用于标识更新所列程序包的重试尝试的 ID。

CbsServicingProvider.CbsPackageRemoval

此事件提供有关卸载 Windows 累积安全更新的结果的信息,以帮助使 Windows 保持最新状态。

包含以下字段:

  • buildVersion 要卸载的安全更新的内部版本号。
  • clientId 请求卸载的应用程序的名称。
  • currentStateEnd 操作后的更新的最终状态。
  • failureDetails 有关故障原因的信息(如果适用)。
  • failureSourceEnd 因发生故障而卸载的阶段。
  • hrStatusEnd 操作的总体退出代码。
  • initiatedOffline 指示是否已为装载的 Windows 映像启动卸载。
  • majorVersion 要卸载的安全更新的主要版本号。
  • minorVersion 要卸载的安全更新的次要版本号。
  • originalState 操作前的更新的起始状态。
  • pendingDecision 指示重启原因(如果适用)。
  • primitiveExecutionContext 完成卸载时系统启动期间的状态。
  • revisionVersion 要卸载的安全更新的修订号。
  • transactionCanceled 指示是否已取消卸载。

CbsServicingProvider.CbsPostponedReserveInstallDecision

此事件报告 Windows 累积安全更新的安装的计划。

包含以下字段:

  • hardReserveSize 用于更新 Windows OS 内容的磁盘空间保留大小。
  • hardReserveUsedSpace 用于更新 Windows OS 内容的保留中当前使用的磁盘空间。
  • postponed 一个布尔值,指示更新处理是否由于磁盘空间不足而延迟关闭。
  • userFreeSpace OS 卷上可用的可用磁盘空间量。
  • usingReserves 一个布尔值,指示是否正在使用磁盘空间保留来安装更新。

CbsServicingProvider.CbsQualityUpdateInstall

此事件报告为使 Windows 保持最新而从 Windows 更新安装服务内容的性能和可靠性结果。

包含以下字段:

  • buildVersion 更新包的内部版本号。
  • clientId 请求可选内容的应用程序的名称。
  • corruptionHistoryFlags 在设备上导致更新失败的组件存储损坏类型的位掩码。
  • corruptionType 一个列出造成当前更新失败的数据损坏类型的枚举。
  • currentStateEnd 操作完成后包的最终状态。
  • doqTimeSeconds 更新驱动程序所用的时间(以秒为单位)。
  • executeTimeSeconds 执行安装所需的秒数。
  • failureDetails 导致更新失败的驱动程序或安装程序。
  • failureSourceEnd 一个指示失败发生在更新的哪个阶段的枚举。
  • hrStatusEnd 安装操作的返回代码。
  • initiatedOffline 一个指示是否已将程序包安装到脱机 Windows 映像格式 (WIM) 文件的 true 或 false 值。
  • majorVersion 更新包的主要版本号。
  • minorVersion 更新包的次要版本号。
  • originalState 程序包的起始状态。
  • overallTimeSeconds 执行整个服务操作的时间(以秒为单位)。
  • planTimeSeconds 计划更新操作所需的时间(以秒为单位)。
  • poqTimeSeconds 处理文件和注册表操作所用的时间(以秒为单位)。
  • postRebootTimeSeconds 为更新执行启动处理的时间(以秒为单位)。
  • preRebootTimeSeconds 执行安装和重新启动之间的间隔时间(以秒为单位)。
  • primitiveExecutionContext 一个指示在关闭或启动的哪个阶段安装了更新的枚举。
  • rebootCount 安装更新所需的重启次数。
  • rebootTimeSeconds 开始为更新执行启动处理之前等待的时间(以秒为单位)。
  • resolveTimeSeconds 解析更新中的程序包所需的时间(以秒为单位)。
  • revisionVersion 更新包的修订版本号。
  • rptTimeSeconds 执行安装程序插件所用的时间(以秒为单位)。
  • shutdownTimeSeconds 为更新执行关闭处理所需的时间(以秒为单位)。
  • stackRevision 服务堆栈的修订号。
  • stageTimeSeconds 暂存更新中的所有文件所需的时间(以秒为单位)。

CbsServicingProvider.CbsSelectableUpdateChangeV2

此事件报告启用或禁用可选 Windows 内容以使 Windows 保持最新的结果。

包含以下字段:

  • applicableUpdateState 指示可选内容的最高可用状态。
  • buildVersion 正在安装的程序包的内部版本。
  • clientId 请求可选内容更改的应用程序的名称。
  • downloadSource 指示可选内容是否是从 Windows 更新或本地可访问文件获取的。
  • downloadtimeInSeconds 指示可选内容是否是从 Windows 更新或本地可访问文件获取的。
  • executionID 用于标识与单个服务操作相关联的事件且不重复用于将来操作的唯一 ID。
  • executionSequence 跟踪在设备上尝试的服务操作数量的计数器。
  • firstMergedExecutionSequence 要与当前操作合并的之前的 executionSequence 计数器的值(如果适用)。
  • firstMergedID 要与此操作合并的之前的服务操作的唯一 ID(如果适用)。
  • hrDownloadResult 下载操作的返回代码。
  • hrStatusUpdate 服务操作的返回代码。
  • identityHash 正在安装或卸载的 Windows 程序包的假名化(哈希)标识符。
  • initiatedOffline 指示是否对脱机 Windows 映像文件或运行的 Windows 实例执行操作。
  • majorVersion 正在安装的程序包的主要版本。
  • minorVersion 正在安装的程序包的次要版本。
  • packageArchitecture 正在安装的程序包的体系结构。
  • packageLanguage 正在安装的程序包的语言。
  • packageName 正在安装的程序包的名称。
  • rebootRequired 指示是否需要重启才能完成操作。
  • revisionVersion 正在安装的程序包的版本号。
  • stackBuild 执行安装的服务堆栈二进制文件的内部版本号。
  • stackMajorVersion 执行安装的服务堆栈二进制文件的主版本号。
  • stackMinorVersion 执行安装的服务堆栈二进制文件的次要版本号。
  • stackRevision 执行安装的服务堆栈二进制文件的修订号。
  • updateName 要启用或禁用的可选 Windows 操作系统功能的名称。
  • updateStartState 指示操作开始之前可选内容的状态的值。
  • updateTargetState 一个指示可选内容的所需状态的值。

CbsServicingProvider.CbsUpdateDeferred

此事件报告延迟 Windows 内容的结果以使 Windows 保持最新状态。

部署事件

Microsoft.Windows.Deployment.Imaging.AppExit

映像应用程序退出时发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • hr 应用程序退出时返回的 HResult。
  • totalTimeInMs 总时间(单位:毫秒)。

Microsoft.Windows.Deployment.Imaging.AppInvoked

调用要创建映像的应用时,将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • branch 图像的相应分支。
  • isInDbg 应用是否处于调试模式。
  • isWSK 应用是否使用 WSK 生成图像。

DISM 事件

Microsoft.Windows.StartRepairCore.DISMPendingInstall

DISM 待定安装事件发送信息以报告找到的待定程序包安装。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • dismPendingInstallPackageName 待定程序包的名称。

Microsoft.Windows.StartRepairCore.DISMRevertPendingActions

DISM 待定安装事件发送信息以报告找到的待定程序包安装。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • errorCode 事件返回的结果代码。

Microsoft.Windows.StartRepairCore.SRTRepairActionEnd

SRT 修复操作开始事件发送信息,以报告针对给定插件结束的修复操作。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • errorCode 事件返回的结果代码。
  • failedUninstallCount 未能卸载的驱动程序更新的数量。
  • failedUninstallFlightIds 未能卸载的驱动程序更新的外部测试版 ID(beta 版本的标识符)。
  • foundDriverUpdateCount 找到的驱动程序更新的数目。
  • srtRepairAction 修复的方案名称。
  • successfulUninstallCount 成功卸载驱动程序更新的数目。
  • successfulUninstallFlightIds 成功卸载的驱动程序更新的外部测试版 ID(beta 版本的标识符)。

Microsoft.Windows.StartRepairCore.SRTRepairActionStart

SRT 修复操作开始事件将发送信息以报告针对给定插件开始的修复操作。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • srtRepairAction 修复的方案名称。

Microsoft.Windows.StartRepairCore.SRTRootCauseDiagEnd

SRT 根本原因诊断结束事件会发送信息以报告针对给定插件完成的诊断操作。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • errorCode 事件返回的结果代码。
  • flightIds 找到的驱动程序更新的外部测试版 ID(beta 版本的标识符)。
  • foundDriverUpdateCount 找到的驱动程序更新的数目。
  • srtRootCauseDiag 诊断事件的方案名称。

Microsoft.Windows.StartRepairCore.SRTRootCauseDiagStart

SRT 根本原因诊断开始事件会发送信息以报告针对给定插件开始的诊断操作。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • srtRootCauseDiag 诊断事件的方案名称。

DxgKernelTelemetry 事件

DxgKrnlTelemetry.GPUAdapterInventoryV2

此事件发送基本的 GPU 和显示器驱动程序信息,使 Windows 和显示器驱动程序保持最新。

包含以下字段:

  • AdapterTypeValue 指示图形适配器类型的数值。
  • aiSeqId 事件序列 ID。
  • bootId 系统启动 ID。
  • BrightnessVersionViaDDI 显示器亮度接口的版本。
  • ComputePreemptionLevel 适用于计算负载的 GPU 所支持的最大抢占级别。
  • DDIInterfaceVersion 设备驱动程序接口版本。
  • DedicatedSystemMemoryB 专用于 GPU 的系统内存大小(以字节为单位)。
  • DedicatedVideoMemoryB GPU 专用 VRAM 的大小(以字节为单位)。
  • Display1UMDFilePath 指向驱动程序存储中用户模式显示驱动程序的位置的文件路径。
  • DisplayAdapterLuid 显示适配卡 LUID。
  • DriverDate 显示器驱动程序的日期。
  • DriverRank 显示器驱动程序的排名。
  • DriverVersion 显示器驱动程序版本。
  • DriverWorkarounds 指明为此设备启用的驱动程序解决方法的数值。
  • DX10UMDFilePath 指向驱动程序存储中 DirectX 10 显示器用户模式驱动程序的位置的文件路径。
  • DX11UMDFilePath 指向驱动程序存储中 DirectX 11 显示器用户模式驱动程序的位置的文件路径。
  • DX12UMDFilePath 指向驱动程序存储中 DirectX 12 显示器用户模式驱动程序的位置的文件路径。
  • DX9UMDFilePath 指向驱动程序存储中 DirectX 9 显示器用户模式驱动程序的位置的文件路径。
  • DxDbCurrentVersion 设备上的 DirectX 数据库版本。
  • DxDbVersionCheckStatus 指示对设备 DirectX 数据库版本的最后一个检查的结果的数值。
  • GPUDeviceID GPU 设备 ID。
  • GPUPreemptionLevel 适用于图形负载的 GPU 所支持的最大抢占级别。
  • GPURevisionID GPU 版本 ID。
  • GPUVendorID GPU 供应商 ID。
  • HwFlipQueueSupportState 数值,指示适配器对硬件翻转队列的支持。
  • HwSchSupportState 指示适配器对硬件计划支持的数值。
  • IddPairedRenderAdapterLuid 与此显示适配卡配对的呈现适配卡的标识符。
  • InterfaceFuncPointersProvided1 所提供的设备驱动程序接口函数指针数。
  • InterfaceFuncPointersProvided2 所提供的设备驱动程序接口函数指针数。
  • InterfaceFuncPointersProvided3 所提供的设备驱动程序接口函数指针数。
  • InterfaceId GPU 接口 ID。
  • IsCrossAdapterScanOutSupported 指示适配器是否支持跨适配器扫描输出优化的布尔值。
  • IsDisplayDevice GPU 是否具有显示功能?
  • IsHwFlipQueueEnabled 指示是否启用硬件翻转队列的布尔值。
  • IsHwSchEnabled 指示是否已启用硬件计划的布尔值。
  • IsHybridDiscrete 在混合设备中,GPU 是否具有独立的 GPU 功能?
  • IsHybridIntegrated 在混合设备中,GPU 是否具有集成的 GPU 功能?
  • IsLDA GPU 是否是由链接显示器适配器组成?
  • IsMiracastSupported GPU 是否支持 Miracast?
  • IsMismatchLDA 链接显示器适配器链中是否至少有一个设备来自不同供应商?
  • IsMPOSupported GPU 是否支持多平面覆盖?
  • IsMsMiracastSupported GPU Miracast 功能是否由 Microsoft 解决方案驱动?
  • IsPostAdapter 此 GPU 是否是设备中的 POST GPU?
  • IsRemovable 如果适配器支持禁用或删除,则为 TRUE。
  • IsRenderDevice GPU 是否具有渲染功能?
  • IsSoftwareDevice 这是否是 GPU 的软件实施?
  • IsVirtualRefreshRateSupported 指示适配器是否支持虚拟刷新率的布尔值。
  • KMDFilePath 指向驱动程序存储中显示器内核模式驱动程序的位置的文件路径。
  • MdmSupportStatus 指示支持 Microsoft Display Mux 的数值。
  • MeasureEnabled 设备是否在侦听 MICROSOFT_KEYWORD_MEASURES?
  • NodeTypes 构成图形适配器的执行节点的类型。
  • NumExecutionNodes 构成图形适配器的执行节点数。
  • NumNonVidPnTargets 显示目标的数量。
  • NumPhysicalAdapters 物理图形适配器数。
  • NumVidPnSources 受支持的显示输出源的数量。
  • NumVidPnTargets 受支持的显示输出目标的数量。
  • SharedSystemMemoryB GPU 和 CPU 共享的系统内存量(以字节为单位)。
  • SubSystemID 子系统 ID。
  • SubVendorID GPU 子供应商 ID。
  • TelemetryEnabled 设备是否听取 MICROSOFT_KEYWORD_TELEMETRY?
  • TelInvEvntTrigger 触发记录此事件的原因是什么? 示例:0(GPU 枚举)或 1(DxgKrnlTelemetry 提供商切换)
  • version 事件版本。
  • WDDMVersion Windows 显示器驱动程序型号版本。

DxgKrnlTelemetry.GPUStartAdapter

此事件记录有关尝试启动图形适配器的信息。

包含以下字段:

  • DDIInterfaceVersion 显示驱动程序接口 (DDI) 的版本。
  • DriverDate 显示驱动程序的日期。
  • DriverRank 显示驱动程序的设置级别。
  • DriverVersion 显示驱动程序的版本。
  • FailureReason 指示启动尝试失败的阶段的数值。
  • GPUDeviceID 图形适配器的设备标识符。
  • GPURevisionID 图形适配器的修订标识符。
  • GPUVendorID 图形适配器的供应商标识符。
  • IsSoftwareDevice 指示图形适配器是否仅在软件中实现的布尔值。
  • StartAdapterFailedSequenceId 指示图形适配器启动尝试计数的数值。
  • Status 指示图形适配器启动尝试状态的数值。
  • SubSystemID 图形适配器的子系统标识符。
  • SubVendorID 图形标识符的子系统供应商标识符。
  • Version 事件的架构版本。

故障转移群集事件

Microsoft.Windows.Server.FailoverClusteringCritical.ClusterSummary2

此事件返回有关服务器群集中的资源数量和类型的信息。 收集此数据是为了使 Windows Server 保持安全、可靠和最新。 这些数据包括有关硬件配置是否正确以及软件是否经过正确修补的信息,并且会将问题(如错误)归因于工作负载和系统配置来帮助防止故障。

包含以下字段:

  • autoAssignSite 群集参数:自动站点。
  • autoBalancerLevel 群集参数:自动平衡器级别。
  • autoBalancerMode 群集参数:自动平衡器模式。
  • blockCacheSize 块缓存的配置大小。
  • ClusterAdConfiguration 群集的 AD 配置。
  • clusterAdType 群集参数:mgmt_point_type。
  • clusterDumpPolicy 群集配置转储策略。
  • clusterFunctionalLevel 当前的群集功能级别。
  • clusterGuid 群集的唯一标识符。
  • clusterWitnessType 配置群集所针对的见证类型。
  • countNodesInSite 群集中的节点数。
  • crossSiteDelay 群集参数:CrossSiteDelay。
  • crossSiteThreshold 群集参数:CrossSiteThreshold。
  • crossSubnetDelay 群集参数:CrossSubnetDelay。
  • crossSubnetThreshold 群集参数:CrossSubnetThreshold。
  • csvCompatibleFilters 群集参数:ClusterCsvCompatibleFilters。
  • csvIncompatibleFilters 群集参数:ClusterCsvIncompatibleFilters。
  • csvResourceCount 群集中的资源数目。
  • currentNodeSite 为群集的当前站点配置的名称。
  • dasModeBusType 存储空间直通存储总线类型。
  • downLevelNodeCount 群集中正在下层运行的节点数。
  • drainOnShutdown 指定节点在关闭时是否应该耗尽。
  • dynamicQuorumEnabled 指定是否启用了动态仲裁。
  • enforcedAntiAffinity 群集参数:已强制执行反相关性。
  • genAppNames 群集服务的 Win32 服务名称。
  • genSvcNames 群集 genapp 的命令行。
  • hangRecoveryAction 群集参数:挂起恢复操作。
  • hangTimeOut 指定群集的“挂起超时”参数。
  • isCalabria 指定是否启用了存储空间直通。
  • isMixedMode 标识是否正在使用不同版本的节点操作系统运行群集。
  • isMixedMode 标识当前节点是否正在下层运行。
  • logLevel 指定群集日志中记录的粒度。
  • logSize 指定群集日志的大小。
  • lowerQuorumPriorityNodeId 群集参数:较低仲裁优先级节点 ID。
  • minNeverPreempt 群集参数:最低永远不抢占。
  • minPreemptor 群集参数:最低抢占者优先级。
  • netftIpsecEnabled 参数:netftIpsecEnabled。
  • NodeCount 群集中的节点数。
  • nodeId 群集中的当前节点号。
  • nodeResourceCounts 指定节点资源数。
  • nodeResourceOnlineCounts 指定处于联机状态的节点资源数。
  • numberOfSites 不同站点数。
  • numNodesInNoSite 不属于站点的节点数。
  • plumbAllCrossSubnetRoutes 群集参数:跨子网路由全部联结。
  • preferredSite 首选的站点位置。
  • privateCloudWitness 指定此群集是否存在私有云见证。
  • quarantineDuration 隔离持续时间。
  • quarantineThreshold 隔离阈值。
  • quorumArbitrationTimeout 如果发生仲裁事件,此项指定仲裁超时时段。
  • rdmaConnectionsForStorage 这指定存储的 rdma 连接。
  • resiliencyLevel 指定复原的级别。
  • resourceCounts 指定资源数。
  • resourceTypeCounts 指定群集中的资源类型的数量。
  • resourceTypes 代表每种资源类型的数据。
  • resourceTypesPath 代表每种资源类型的 DLL 路径的数据。
  • sameSubnetDelay 群集参数:相同子网延迟。
  • sameSubnetThreshold 群集参数:相同子网阈值。
  • secondsInMixedMode 群集一直处于混合模式(相同群集中的节点具有不同的操作系统版本)的时间(以秒为单位)。
  • securityLevel 群集参数:安全级别。
  • securityLevelForStorage 群集参数:存储的安全级别。
  • sharedVolumeBlockCacheSize 为共享卷指定块缓存大小。
  • shutdownTimeoutMinutes 指定关闭时超时花费的时间量。
  • upNodeCount 指定启动(联机)的节点数。
  • useClientAccessNetworksForCsv 群集参数:针对 CSV 使用客户端访问网络。
  • useRdmaForStorage 使用 rdma 进行存储的群集参数。
  • vmIsolationTime 群集参数:VM 隔离时间。
  • witnessDatabaseWriteTimeout 指定用于写入仲裁见证数据库的超时时段。

故障报告事件

Microsoft.Windows.FaultReporting.AppCrashEvent

此事件发送与本地和托管应用程序崩溃相关的数据,以帮助使 Windows 保持最新。 此数据包括与奔溃流程及其异常记录汇总相关的信息。 它不包含任何 Watson 存储桶信息。 存储桶记录在 WER 客户端报告 Watson 服务崩溃时生成的 Windows 错误报告 (WER) 事件中,并且 WER 事件包含与所报告的崩溃事件相同的 ReportID(请查看崩溃事件的字段 14、WER 事件的字段 19)。 每个由 WER 处理的崩溃(如,来自未处理的异常或 FailFast 或 ReportException)均会发出 AppCrash 一次。 请注意,被用户视为崩溃的通用 Watson 事件类型(例如,来自 PLM)不会发出此事件。

提供有以下字段:

  • AppName 已崩溃的应用名称。
  • AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
  • AppTimeStamp 应用的日期和时间戳。
  • AppVersion 已崩溃的应用版本。
  • ExceptionCode 已崩溃进程返回的异常代码。
  • ExceptionOffset 发生异常的地址。
  • Flags 指示报告完成方式的标记。 例如,将报告排队、不提供 JIT 调试或报告后不终止进程。
  • FriendlyAppName 已崩溃应用的描述(如果不同于 AppName)。 否则为进程名称。
  • IsFatal True/False,用于指示故障是否导致进程终止。
  • ModName 异常模块名称(如 bar.dll)。
  • ModTimeStamp 模块的日期/时间戳。
  • ModVersion 已崩溃模块的版本。
  • PackageFullName Microsoft Store 应用程序标识。
  • PackageRelativeAppId Store 应用程序标识。
  • ProcessArchitecture 崩溃进程的体系结构,作为以下 PROCESSOR_ARCHITECTURE_* 常量之一:0: PROCESSOR_ARCHITECTURE_INTEL。 5: PROCESSOR_ARCHITECTURE_ARM。 9: PROCESSOR_ARCHITECTURE_AMD64。 12: PROCESSOR_ARCHITECTURE_ARM64。
  • ProcessCreateTime 已崩溃进程的创建时间。
  • ProcessId 已崩溃进程的 ID。
  • ReportId 用于标识报告的 GUID。 它可用于跟踪 Watson 内的报告。
  • TargetAppId 所报告应用程序的内核报告 AppId。
  • TargetAppVer 所报告的特定版本的应用程序。
  • TargetAsId 挂起进程的序列号。

功能质量事件

Microsoft.Windows.FeatureQuality.Heartbeat

此事件指示功能状态检测信号。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • Features 特征数组。

Microsoft.Windows.FeatureQuality.StateChange

此事件指示功能状态的更改。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • flightID 外部测试版 ID。
  • 状态 新状态。

Microsoft.Windows.FeatureQuality.Status

此事件指示功能状态。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • featureId 功能 ID。
  • flightID 外部测试版 ID。
  • time 状态更改时间。
  • variantId 变体 ID。

功能更新事件

Microsoft.Windows.Upgrade.Uninstall.UninstallFailed

卸载功能更新,以帮助解决任何阻止客户还原至已知状态问题时,此事件发送与失败相关的诊断数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

包含以下字段:

  • failureReason 提供与卸载初始化操作失败的数据。
  • hr 提供操作失败的 Win32 错误代码。

Microsoft.Windows.Upgrade.Uninstall.UninstallFinalizedAndRebootTriggered

此事件指示卸载已正确配置并且已发起系统重启。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

挂起报告事件

Microsoft.Windows.HangReporting.AppHangEvent

此事件发送与本地和托管应用程序挂起相关的数据,以帮助使 Windows 保持最新。 它不包含任何 Watson 存储桶信息。 存储桶记录在 WER 客户端报告 Watson 服务挂起时生成的 Windows 错误报告 (WER) 事件中,并且 WER 事件包含与所报告的挂起事件相同的 ReportID(请查看挂起事件的字段 13、WER 事件的字段 19)。 AppHang 仅在电脑设备上报告。 它用于处理经典 Win32 挂起,并且每个报告只会发出一次。 对于某些可能会被用户视为挂起的行为,应用管理员(如 PLM/RM/EM)会将其报告为 Watson 通用并且不会生成 AppHang 事件。

包含以下字段:

  • AppName 已挂起的应用名称。
  • AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
  • AppVersion 已挂起的应用版本。
  • IsFatal True/False,具体取决于挂起的应用程序是否导致创建致命的挂起报告。
  • PackageFullName Microsoft Store 应用程序标识。
  • PackageRelativeAppId Store 应用程序标识。
  • ProcessArchitecture 挂起进程的体系结构,作为以下 PROCESSOR_ARCHITECTURE_* 常量之一:0: PROCESSOR_ARCHITECTURE_INTEL。 5: PROCESSOR_ARCHITECTURE_ARM。 9: PROCESSOR_ARCHITECTURE_AMD64。 12: PROCESSOR_ARCHITECTURE_ARM64。
  • ProcessCreateTime 已挂起进程的创建时间。
  • ProcessId 已挂起进程的 ID。
  • ReportId 用于标识报告的 GUID。 它可用于跟踪 Watson 内的报告。
  • TargetAppId 所报告应用程序的内核报告 AppId。
  • TargetAppVer 所报告的特定版本的应用程序。
  • TargetAsId 挂起进程的序列号。
  • TypeCode 用于描述挂起类型的位图。
  • WaitingOnAppName 如果它是等待应用程序的跨进程挂起,则其具有应用程序的名称。
  • WaitingOnAppVersion 如果它为跨进程挂起,则其具有所等待应用程序的版本。
  • WaitingOnPackageFullName 如果它是等待包的跨进程挂起,则其具有所等待包的完整名称。
  • WaitingOnPackageRelativeAppId 如果它为等待包的跨进程挂起,则其具有该包的相对应用程序 ID。

全息事件

Microsoft.Windows.Analog.Spectrum.TelemetryHolographicDeviceAdded

此事件指示 Windows Mixed Reality 设备状态。 此事件还用于计数 WMR 设备。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • ClassGuid Windows Mixed Reality 设备类 GUID。
  • DeviceInterfaceId Windows Mixed Reality 设备接口 ID。
  • DriverVersion Windows Mixed Reality 设备驱动程序版本。
  • FirmwareVersion Windows Mixed Reality 固件版本。
  • Manufacturer Windows Mixed Reality 设备制造商。
  • ModelName Windows Mixed Reality 设备型号名称。
  • SerialNumber Windows Mixed Reality 设备序列号。

Microsoft.Windows.Analog.Spectrum.TelemetryHolographicDeviceRemoved

此事件指示 Windows Mixed Reality 设备状态。 随此事件收集的数据用于使 Windows 和 Windows Mixed Reality 保持正常运行。

包含以下字段:

  • DeviceInterfaceId 设备界面 ID。

Microsoft.Windows.Analog.Spectrum.TelemetryHolographicSpaceCreated

此事件指示 Windows 全息场景的状态。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • AppSessionGuid 由进程 ID 组成的 GUID,用作遥测后端中的进程实例的相关矢量。
  • IsForCompositor True/False 指示全息空间是否用于合成器进程。
  • 指示日志源的枚举。
  • WindowInstanceId 每个窗口实例的唯一值。

Microsoft.Windows.Holographic.Coordinator.HoloShellStateUpdated

此事件指示 Windows Mixed Reality HoloShell 状态。 此事件还用于计数 WMR 设备。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • HmdState Windows Mixed Reality 头戴显示设备 HMD 状态。
  • NewHoloShellState Windows Mixed Reality HoloShell 状态。
  • PriorHoloShellState 进入 HoloShell 之前的 Windows Mixed Reality 状态。
  • SimulationEnabled Windows Mixed Reality 模拟状态。

Microsoft.Windows.Shell.HolographicFirstRun.AppActivated

此事件指示 Windows 混合现实门户应用激活状态。 此事件还用于计数 WMR 设备。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • IsDemoMode Windows 混合现实门户应用演示模式状态。
  • IsDeviceSetupComplete Windows 混合现实门户应用设备安装完成状态。
  • PackageVersion Windows 混合现实门户应用包版本。
  • PreviousExecutionState Windows 混合现实门户应用的先前执行状态。
  • wilActivity Windows 混合现实门户应用 wilActivity ID。

Microsoft.Windows.Shell.HolographicFirstRun.SomethingWentWrong

当某件事情出错并且错误出现时,将发出此事件。 随此事件收集的数据用于使 Windows 和 Windows Mixed Reality 保持正常运行。

包含以下字段:

  • ErrorSource 错误来源,已过时始终为 0。
  • StartupContext 启动状态。
  • StatusCode 错误状态代码。
  • SubstatusCode 错误子状态代码。

TraceLoggingHoloLensSensorsProvider.OnDeviceAdd

此事件通过承载驱动程序的新进程,提供 Windows Mixed Reality 设备状态。 随此事件收集的数据用于使 Windows 和 Windows Mixed Reality 保持正常运行。

包含以下字段:

  • Process 进程 ID。
  • Thread 线程 ID。

TraceLoggingOasisUsbHostApiProvider.DeviceInformation

此事件提供 Windows Mixed Reality 设备信息。 此事件还用于计数 WMR 设备和设备类型。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • BootloaderMajorVer Windows Mixed Reality 设备启动加载程序主要版本。
  • BootloaderMinorVer Windows Mixed Reality 设备启动加载程序次要版本。
  • BootloaderRevisionNumber Windows Mixed Reality 设备启动加载程序修订号。
  • BTHFWMajorVer Windows Mixed Reality 设备 BTHFW 主要版本。 此事件还用于计数 WMR 设备。
  • BTHFWMinorVer Windows Mixed Reality 设备 BTHFW 次要版本。 此事件还用于计数 WMR 设备。
  • BTHFWRevisionNumber Windows Mixed Reality 设备 BTHFW 修订号。
  • CalibrationBlobSize Windows Mixed Reality 设备校准 blob 大小。
  • CalibrationFwMajorVer Windows Mixed Reality 设备校准固件主要版本。
  • CalibrationFwMinorVer Windows Mixed Reality 设备校准固件次要版本。
  • CalibrationFwRevNum Windows Mixed Reality 设备校准固件修订号。
  • DeviceInfoFlags Windows Mixed Reality 设备信息标志。
  • DeviceReleaseNumber Windows Mixed Reality 设备版本号。
  • FirmwareMajorVer Windows Mixed Reality 设备固件主要版本。
  • FirmwareMinorVer Windows Mixed Reality 设备固件次要版本。
  • FirmwareRevisionNumber Windows Mixed Reality 设备校准固件修订号。
  • FpgaFwMajorVer Windows Mixed Reality 设备 FPGA 固件主要版本。
  • FpgaFwMinorVer Windows Mixed Reality 设备 FPGA 固件次要版本。
  • FpgaFwRevisionNumber Windows Mixed Reality 设备 FPGA 固件修订号。
  • FriendlyName Windows Mixed Reality 设备友好名称。
  • HashedSerialNumber Windows Mixed Reality 设备哈希序列号。
  • HeaderSize Windows Mixed Reality 设备标头大小。
  • HeaderVersion Windows Mixed Reality 设备标头版本。
  • LicenseKey Windows Mixed Reality 设备标头许可密钥。
  • Make Windows Mixed Reality 设备品牌。
  • ManufacturingDate Windows Mixed Reality 设备制造日期。
  • Model Windows Mixed Reality 设备型号。
  • PresenceSensorHidVendorPage Windows Mixed Reality 设备状态传感器 HID 供应商页面。
  • PresenceSensorHidVendorUsage Windows Mixed Reality 设备状态传感器 HID 供应商使用情况。
  • PresenceSensorUsbVid Windows Mixed Reality 设备状态传感器 USB VId。
  • ProductBoardRevision Windows Mixed Reality 设备产品主板修订号。
  • SerialNumber Windows Mixed Reality 设备序列号。

清单事件

Microsoft.Windows.Inventory.Core.InventoryApplicationAdd

此事件发送有关系统上应用程序的基本元数据。 随此事件收集的数据用于使 Windows 保持正常运行和最新状态。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • AndroidPackageId Android 应用的唯一标识符。
  • HiddenArp 指示程序是否隐藏自身,使其不在 ARP 中显示出来。
  • InstallDate 应用程序的安装日期(基于文件夹创建日期启发的最佳猜测)。
  • InstallDateArpLastModified 给定应用程序的注册表 ARP 密钥的日期。 安装日期提示,但不总是准确。 作为数组传递。 示例:4/11/2015 00:00:00
  • InstallDateFromLinkFile 基于文件链接的估计安装日期。 作为数组传递。
  • InstallDateMsi 如果应用程序通过 Microsoft Installer (MSI) 进行安装,则指示安装日期。 作为数组传递。
  • InventoryVersion 生成事件的清单文件的版本。
  • Language 程序的语言代码。
  • MsiInstallDate 程序的 MSI 程序包中所记录的安装日期。
  • MsiPackageCode 描述 MSI 包的 GUID。 多个“产品”(应用程序)可组成 MsiPackage。
  • MsiProductCode 描述 MSI 产品的 GUID。
  • Name 应用程序的名称。
  • OSVersionAtInstallTime 应用程序安装时,操作系统版本中的四个八位字节。
  • PackageFullName Microsoft Store 应用程序包全名。
  • ProgramInstanceId 应用中的文件 ID 的哈希。
  • Publisher 应用程序的发布者。 从“源”字段上的依赖项拉取的位置。
  • RootDirPath 安装程序的根目录的路径。
  • Source 程序的安装方式(例如 ARP、MSI、Appx)。
  • SparkId 表示从 Microsoft Store 安装的 Win32 应用的唯一 ID。
  • StoreAppType Microsoft Store 应用类型的子分类,如 UWP 或 Win8StoreApp。
  • Type (“应用程序”、“修补程序”、“BOE”、“服务”、“未知”)之一。 “应用程序”表示 Win32 或 Appx 应用,“修补程序”表示应用更新 (KB),“BOE”表示不具有 ARP 或 MSI 条目的应用,“服务”表示它是服务。 最有可能看到的是“应用程序”和“BOE”。
  • Version 程序的版本号。

Microsoft.Windows.Inventory.Core.InventoryApplicationKbStartSync

此事件表示有关系统中安装的应用程序更新 (KB) 的基本元数据。 此事件用于了解计算机上的应用程序,以确定升级 Windows 时是否会出现兼容性问题。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

提供有以下字段:

  • InventoryVersion 清单组件的版本。

Microsoft.Windows.Inventory.Core.InventoryApplicationRemove

此事件指示将发送新的 InventoryDevicePnpAdd 事件集。 随此事件收集的数据用于使 Windows 保持正常运行。

此事件包含 Ms.Device.DeviceInventoryChange 中的字段。

包含以下字段:

  • InventoryVersion 生成事件的清单文件的版本。

内核事件

Microsoft.Windows.Kernel.PnP.AggregateSetDevNodeProblem

将新的问题代码分配给设备时将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

包含以下字段:

  • Count 事件总数。
  • DeviceInstanceId 系统中设备的唯一标识符。
  • LastProblem 在设备上设置的上一个问题代码。
  • LastProblemStatus 在设备上设置的上一个 NTSTATUS 值。
  • Problem 在设备上设置的新问题代码。
  • ProblemStatus 在设备上设置的新 NTSTATUS 值。
  • ServiceName 附加到设备的驱动程序或服务名称。

Microsoft.Windows.Kernel.Power.AbnormalShutdown

此事件提供最近异常关机的诊断信息。

提供有以下字段:

  • BootEnvironment 启动环境中的错误。
  • BootStatValid 启动文件的状态。
  • Bugcheck Bug 检查信息。
  • CrashDump 故障转储信息。
  • CurrentBootId 此启动的 ID。
  • FirmwareReset 按固件进行系统重置。
  • LastShutdownBootId 上次关闭的 BootID。
  • LongPowerButtonHold 长电源按钮保持信息。
  • SystemStateTransition 状态转换信息。
  • Watchdog 监视器信息。
  • WheaBootErrorCount Whea 启动错误信息。

Microsoft.Windows.Kernel.Power.PreviousShutdownWasThermalShutdown

此事件发送有关设备哪个区域超出安全温度限制并导致设备关闭的产品和服务性能数据。 此信息用于确保设备按预期的方式工作。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • temperature 包含超出限制的区域的实际温度度量值,以十分之一开氏度为单位。
  • thermalZone 包含一个指定超出温度限制的具体区域的标识符。
  • TotalUpTimeMs 包含系统的总运行时间(以毫秒为单位)。

Microsoft Edge 事件

Aria.160f0649efde47b7832f05ed000fc453.Microsoft.WebBrowser.SystemInfo.Config

此配置事件从 Microsoft Edge 发送有关当前数据收集许可、应用版本和安装状态的基本设备连接和配置信息,以便使 Microsoft Edge 保持最新和安全。

包含以下字段:

  • account_type 表示登录用户帐户类型的数字,其中 0 表示 None,1 表示 Microsoft 帐户,2 表示 Azure Active Directory,3 表示本地 Active Directory,4 表示 Azure Active Directory(降级)。 此字段目前仅在移动平台上受支持,因此在非移动平台上,该值设置为 -1。
  • app_sample_rate 表示客户端发送遥测的频率的数字(用百分比表示)。 低值表示前述客户端发送的事件更多,高值表示前述客户端发送的事件更少。
  • app_version 内部 Microsoft Edge 生成版本字符串,取自 UMA 指标字段 system_profile.app_version。
  • appConsentState:描述同意在计算机上收集数据的位标志;如果检索不到状态,则为零。 设置关联位后,下列各项为 True:已授予许可 (0x1)、安装时表示了许可 (0x2)、已授予诊断数据许可 (0x20000)、已授予浏览数据许可 (0x40000)。
  • AppSessionGuid 从进程创建时开始并持续到进程结束的特定应用程序会话的标识符。
  • brandCode 包含已分配给合作伙伴的 4 字符品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • Channel 一个指示安装渠道(Canary 或 Dev)的整数。
  • client_id 与其他所有诊断客户端数据关联的唯一标识符,取自 UMA 指标数据提供程序。 对于每台设备、每个 OS 用户配置文件和每个发布渠道(例如,Canary/Dev/Beta/稳定渠道),此 ID 都是有效的唯一标识符。 根据用户首选项,client_id 不是持久的。 client_id 在首次应用程序启动后在每个 OS 用户配置文件下初始化。 client_id 是可链接的,但跨设备或 OS 用户配置文件并不唯一。 每当 UMA 数据收集被禁用或应用程序被卸载时,client_id 都会重置。
  • ConnectionType 当前连接的网络连接的第一个已报告类型。 可设置为“未知”、“以太网”、“WiFi”、“2G”、“3G”、“4G”、“无”或“蓝牙”。
  • container_client_id 处于 WDAG 模式的容器的客户端 ID。 这不同于 UMA 日志客户端 ID,后者是处于 WDAG 模式的主机的客户端 ID。
  • container_session_id 处于 WDAG 模式的容器的会话 ID。 这不同于 UMA 日志会话 ID,后者是处于 WDAG 模式的主机的会话 ID。
  • device_sample_rate 表示设备发送遥测的频率的数字(用百分比表示)。 低值表示设备发送的事件更多,而高值则表示设备发送的事件更少。 出于隐私原因,该值四舍五入为 5 位有效数字。如果在从注册表获取设备样本号值时出错,则该值将为 -1;如果客户端不在启用 UTC 的平台上,则不会设置此值。
  • Etag Etag 是一个标识符,表示当前浏览器会话的所有服务应用配置和实验。 如果 Windows 诊断级别设置为“基本”或更低级别,或诊断数据的同意已遭拒绝,则此字段留空。
  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • experimentation_mode 表示为ExperimentationAndConfigurationServiceControl 组策略所设置的值的数字。 有关此策略的更多详细信息,请参阅 Microsoft Edge - 策略
  • install_date 自 1970 年 1 月 1 日 (UTC) 午夜以来的最新安装的日期和时间(以秒为单位,并向下舍入到最接近的小时)。
  • installSourceName 安装源的字符串表示形式。
  • PayloadClass 用于序列化和反序列化 Protobuf 二进制有效负载的基类。
  • PayloadGUID 为每个原始整体 Protobuf 有效负载生成的随机标识符(以后该有效负载可能会分解为可管理大小的块以进行传输)。
  • PayloadLogType 与事件相关的日志类型,其中 0 表示未知,1 表示稳定性,2 表示进行中,3 表示独立,4 表示 UKM,或 5 表示实例级别。
  • pop_sample 指明如何对设备的数据进行采样的值。
  • reactivationBrandCode 包含已分配给合作伙伴的 4 字符重新激活品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • session_id 在每次用户启动应用程序时递增的标识符,而不考虑任何 client_id 变化。 session_id 在应用程序初始安装期间被植入。 session_id 实际上对每个 client_id 值而言都是唯一的。 一些其他内部标识符值(例如,窗口或选项卡 ID)仅在特定会话中有意义。 卸载应用程序时会忽略 session_id 值,但在升级过程中不会。
  • utc_flags 在数据收集过程中,事件所需的 Windows (ETW) 事件跟踪标志。

Aria.29e24d069f27450385c7acaa2f07e277.Microsoft.WebBrowser.SystemInfo.Config

此配置事件从 Microsoft Edge 发送有关当前数据收集许可、应用版本和安装状态的基本设备连接和配置信息,以便使 Microsoft Edge 保持最新和安全。

包含以下字段:

  • account_type 表示登录用户帐户类型的数字,其中 0 表示 None,1 表示 Microsoft 帐户,2 表示 Azure Active Directory,3 表示本地 Active Directory,4 表示 Azure Active Directory(降级)。 此字段目前仅在移动平台上受支持,因此在非移动平台上,该值设置为 -1。
  • app_sample_rate 表示客户端发送遥测的频率的数字(用百分比表示)。 低值表示前述客户端发送的事件更多,高值表示前述客户端发送的事件更少。
  • app_version 内部 Microsoft Edge 生成版本字符串,取自 UMA 指标字段 system_profile.app_version。
  • appConsentState:描述同意在计算机上收集数据的位标志;如果检索不到状态,则为零。 设置关联位后,下列各项为 True:已授予许可 (0x1)、安装时表示了许可 (0x2)、已授予诊断数据许可 (0x20000)、已授予浏览数据许可 (0x40000)。
  • AppSessionGuid 从进程创建时开始并持续到进程结束的特定应用程序会话的标识符。
  • brandCode 包含已分配给合作伙伴的 4 字符品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • Channel 一个指示安装渠道(Canary 或 Dev)的整数。
  • client_id 与其他所有诊断客户端数据关联的唯一标识符,取自 UMA 指标数据提供程序。 对于每台设备、每个 OS 用户配置文件和每个发布渠道(例如,Canary/Dev/Beta/稳定渠道),此 ID 都是有效的唯一标识符。 根据用户首选项,client_id 不是持久的。 client_id 在首次应用程序启动后在每个 OS 用户配置文件下初始化。 client_id 是可链接的,但跨设备或 OS 用户配置文件并不唯一。 每当 UMA 数据收集被禁用或应用程序被卸载时,client_id 都会重置。
  • ConnectionType 当前连接的网络连接的第一个已报告类型。 可设置为“未知”、“以太网”、“WiFi”、“2G”、“3G”、“4G”、“无”或“蓝牙”。
  • container_client_id 处于 WDAG 模式的容器的客户端 ID。 这不同于 UMA 日志客户端 ID,后者是处于 WDAG 模式的主机的客户端 ID。
  • container_session_id 处于 WDAG 模式的容器的会话 ID。 这不同于 UMA 日志会话 ID,后者是处于 WDAG 模式的主机的会话 ID。
  • device_sample_rate 表示设备发送遥测的频率的数字(用百分比表示)。 低值表示设备发送的事件更多,而高值则表示设备发送的事件更少。 出于隐私原因,该值四舍五入为 5 位有效数字。如果在从注册表获取设备样本号值时出错,则该值将为 -1;如果客户端不在启用 UTC 的平台上,则不会设置此值。
  • Etag Etag 是一个标识符,表示当前浏览器会话的所有服务应用配置和实验。 如果 Windows 诊断级别设置为“基本”或更低级别,或诊断数据的同意已遭拒绝,则此字段留空。
  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • experimentation_mode 表示为ExperimentationAndConfigurationServiceControl 组策略所设置的值的数字。 有关此策略的更多详细信息,请参阅 Microsoft Edge - 策略
  • install_date 自 1970 年 1 月 1 日 (UTC) 午夜以来的最新安装的日期和时间(以秒为单位,并向下舍入到最接近的小时)。
  • installSourceName 安装源的字符串表示形式。
  • PayloadClass 用于序列化和反序列化 Protobuf 二进制有效负载的基类。
  • PayloadGUID 为每个原始整体 Protobuf 有效负载生成的随机标识符(以后该有效负载可能会分解为可管理大小的块以进行传输)。
  • PayloadLogType 与事件相关的日志类型,其中 0 表示未知,1 表示稳定性,2 表示进行中,3 表示独立,4 表示 UKM,或 5 表示实例级别。
  • pop_sample 指明如何对设备的数据进行采样的值。
  • reactivationBrandCode 包含已分配给合作伙伴的 4 字符重新激活品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • session_id 在每次用户启动应用程序时递增的标识符,而不考虑任何 client_id 变化。 session_id 在应用程序初始安装期间被植入。 session_id 实际上对每个 client_id 值而言都是唯一的。 一些其他内部标识符值(例如,窗口或选项卡 ID)仅在特定会话中有意义。 卸载应用程序时会忽略 session_id 值,但在升级过程中不会。
  • utc_flags 在数据收集过程中,事件所需的 Windows (ETW) 事件跟踪标志。

Aria.7005b72804a64fa4b2138faab88f877b.Microsoft.WebBrowser.SystemInfo.Config

此配置事件从 Microsoft Edge 发送有关当前数据收集许可、应用版本和安装状态的基本设备连接和配置信息,以便使 Microsoft Edge 保持最新和安全。

包含以下字段:

  • account_type Aria.7005b72804a64fa4b2138faab88f877b.Microsoft.WebBrowser.SystemInfo.Config
  • app_sample_rate 表示客户端发送遥测的频率的数字(用百分比表示)。 低值表示前述客户端发送的事件更多,高值表示前述客户端发送的事件更少。
  • app_version 内部 Microsoft Edge 生成版本字符串,取自 UMA 指标字段 system_profile.app_version。
  • appConsentState:描述同意在计算机上收集数据的位标志;如果检索不到状态,则为零。 设置关联位后,下列各项为 True:已授予许可 (0x1)、安装时表示了许可 (0x2)、已授予诊断数据许可 (0x20000)、已授予浏览数据许可 (0x40000)。
  • AppSessionGuid 从进程创建时开始并持续到进程结束的特定应用程序会话的标识符。
  • brandCode 包含已分配给合作伙伴的 4 字符品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • Channel 一个指示安装渠道(Canary 或 Dev)的整数。
  • client_id 与其他所有诊断客户端数据关联的唯一标识符,取自 UMA 指标数据提供程序。 对于每台设备、每个 OS 用户配置文件和每个发布渠道(例如,Canary/Dev/Beta/稳定渠道),此 ID 都是有效的唯一标识符。 根据用户首选项,client_id 不是持久的。 client_id 在首次应用程序启动后在每个 OS 用户配置文件下初始化。 client_id 是可链接的,但跨设备或 OS 用户配置文件并不唯一。 每当 UMA 数据收集被禁用或应用程序被卸载时,client_id 都会重置。
  • ConnectionType 当前连接的网络连接的第一个已报告类型。 可设置为“未知”、“以太网”、“WiFi”、“2G”、“3G”、“4G”、“无”或“蓝牙”。
  • container_client_id 处于 WDAG 模式的容器的客户端 ID。 这不同于 UMA 日志客户端 ID,后者是处于 WDAG 模式的主机的客户端 ID。
  • container_session_id 处于 WDAG 模式的容器的会话 ID。 这不同于 UMA 日志会话 ID,后者是处于 WDAG 模式的主机的会话 ID。
  • device_sample_rate 表示设备发送遥测的频率的数字(用百分比表示)。 低值表示设备发送的事件更多,而高值则表示设备发送的事件更少。 出于隐私原因,该值四舍五入为 5 位有效数字。如果在从注册表获取设备样本号值时出错,则该值将为 -1;如果客户端不在启用 UTC 的平台上,则不会设置此值。
  • Etag Etag 是一个标识符,表示当前浏览器会话的所有服务应用配置和实验。 如果 Windows 诊断级别设置为“基本”或更低级别,或诊断数据的同意已遭拒绝,则此字段留空。
  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • experimentation_mode 表示为ExperimentationAndConfigurationServiceControl 组策略所设置的值的数字。 有关此策略的更多详细信息,请参阅 Microsoft Edge - 策略
  • install_date 自 1970 年 1 月 1 日 (UTC) 午夜以来的最新安装的日期和时间(以秒为单位,并向下舍入到最接近的小时)。
  • installSourceName 安装源的字符串表示形式。
  • PayloadClass 用于序列化和反序列化 Protobuf 二进制有效负载的基类。
  • PayloadGUID 为每个原始整体 Protobuf 有效负载生成的随机标识符(以后该有效负载可能会分解为可管理大小的块以进行传输)。
  • PayloadLogType 与事件相关的日志类型,其中 0 表示未知,1 表示稳定性,2 表示进行中,3 表示独立,4 表示 UKM,或 5 表示实例级别。
  • pop_sample 指明如何对设备的数据进行采样的值。
  • reactivationBrandCode 包含已分配给合作伙伴的 4 字符重新激活品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • session_id 在每次用户启动应用程序时递增的标识符,而不考虑任何 client_id 变化。 session_id 在应用程序初始安装期间被植入。 session_id 实际上对每个 client_id 值而言都是唯一的。 一些其他内部标识符值(例如,窗口或选项卡 ID)仅在特定会话中有意义。 卸载应用程序时会忽略 session_id 值,但在升级过程中不会。
  • utc_flags 在数据收集过程中,事件所需的 Windows (ETW) 事件跟踪标志。

Aria.754de735ccd546b28d0bfca8ac52c3de.Microsoft.WebBrowser.SystemInfo.Config

此配置事件从 Microsoft Edge 发送有关当前数据收集许可、应用版本和安装状态的基本设备连接和配置信息,以便使 Microsoft Edge 保持最新和安全。

包含以下字段:

  • account_type 表示登录用户帐户类型的数字,其中 0 表示 None,1 表示 Microsoft 帐户,2 表示 Azure Active Directory,3 表示本地 Active Directory,4 表示 Azure Active Directory(降级)。 此字段目前仅在移动平台上受支持,因此在非移动平台上,该值设置为 -1。
  • app_sample_rate 表示客户端发送遥测的频率的数字(用百分比表示)。 低值表示前述客户端发送的事件更多,高值表示前述客户端发送的事件更少。
  • app_version 内部 Microsoft Edge 生成版本字符串,取自 UMA 指标字段 system_profile.app_version。
  • appConsentState:描述同意在计算机上收集数据的位标志;如果检索不到状态,则为零。 设置关联位后,下列各项为 True:已授予许可 (0x1)、安装时表示了许可 (0x2)、已授予诊断数据许可 (0x20000)、已授予浏览数据许可 (0x40000)。
  • AppSessionGuid 从进程创建时开始并持续到进程结束的特定应用程序会话的标识符。
  • brandCode 包含已分配给合作伙伴的 4 字符品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • Channel 一个指示安装渠道(Canary 或 Dev)的整数。
  • client_id 与其他所有诊断客户端数据关联的唯一标识符,取自 UMA 指标数据提供程序。 对于每台设备、每个 OS 用户配置文件和每个发布渠道(例如,Canary/Dev/Beta/稳定渠道),此 ID 都是有效的唯一标识符。 根据用户首选项,client_id 不是持久的。 client_id 在首次应用程序启动后在每个 OS 用户配置文件下初始化。 client_id 是可链接的,但跨设备或 OS 用户配置文件并不唯一。 每当 UMA 数据收集被禁用或应用程序被卸载时,client_id 都会重置。
  • ConnectionType 当前连接的网络连接的第一个已报告类型。 可设置为“未知”、“以太网”、“WiFi”、“2G”、“3G”、“4G”、“无”或“蓝牙”。
  • container_client_id 处于 WDAG 模式的容器的客户端 ID。 这不同于 UMA 日志客户端 ID,后者是处于 WDAG 模式的主机的客户端 ID。
  • container_session_id 处于 WDAG 模式的容器的会话 ID。 这不同于 UMA 日志会话 ID,后者是处于 WDAG 模式的主机的会话 ID。
  • device_sample_rate 表示设备发送遥测的频率的数字(用百分比表示)。 低值表示设备发送的事件更多,而高值则表示设备发送的事件更少。 出于隐私原因,该值四舍五入为 5 位有效数字。如果在从注册表获取设备样本号值时出错,则该值将为 -1;如果客户端不在启用 UTC 的平台上,则不会设置此值。
  • Etag Etag 是一个标识符,表示当前浏览器会话的所有服务应用配置和实验。 如果 Windows 诊断级别设置为“基本”或更低级别,或诊断数据的同意已遭拒绝,则此字段留空。
  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • experimentation_mode 表示为ExperimentationAndConfigurationServiceControl 组策略所设置的值的数字。 有关此策略的更多详细信息,请参阅 Microsoft Edge - 策略
  • install_date 自 1970 年 1 月 1 日 (UTC) 午夜以来的最新安装的日期和时间(以秒为单位,并向下舍入到最接近的小时)。
  • installSourceName 安装源的字符串表示形式。
  • PayloadClass 用于序列化和反序列化 Protobuf 二进制有效负载的基类。
  • PayloadGUID 为每个原始整体 Protobuf 有效负载生成的随机标识符(以后该有效负载可能会分解为可管理大小的块以进行传输)。
  • PayloadLogType 与事件相关的日志类型,其中 0 表示未知,1 表示稳定性,2 表示进行中,3 表示独立,4 表示 UKM,或 5 表示实例级别。
  • pop_sample 指明如何对设备的数据进行采样的值。
  • reactivationBrandCode 包含已分配给合作伙伴的 4 字符重新激活品牌代码或分发标记。 并非每个 Windows 安装都会有品牌代码。
  • session_id 在每次用户启动应用程序时递增的标识符,而不考虑任何 client_id 变化。 session_id 在应用程序初始安装期间被植入。 session_id 实际上对每个 client_id 值而言都是唯一的。 一些其他内部标识符值(例如,窗口或选项卡 ID)仅在特定会话中有意义。 卸载应用程序时会忽略 session_id 值,但在升级过程中不会。
  • utc_flags 在数据收集过程中,事件所需的 Windows (ETW) 事件跟踪标志。

Aria.af397ef28e484961ba48646a5d38cf54.Microsoft.WebBrowser.Installer.EdgeUpdate.Ping

此 Ping 事件发送有关 Edge 更新服务、Microsoft Edge 应用程序和当前系统环境(包括应用配置、更新配置和硬件功能)的详细硬件和软件清单信息。 此事件包含设备连接和配置、产品和服务性能、软件设置和库存数据。 每当 EdgeUpdate 服务或 Microsoft Edge 应用程序发生任何安装、更新或卸载时,将发送一个或多个事件。 此事件用于度量 EdgeUpdate 服务的可靠性和性能,以及 Microsoft Edge 应用程序是否是最新的。 这表示该事件旨在使 Windows 保持安全和最新状态。

包含以下字段:

  • appAp:指定的应用程序的其他任何参数。 默认值:''。
  • appAppId:用于标识产品的 GUID。 兼容的客户端必须传输此属性。 默认值:未定义。
  • appBrandCode:产品安装时使用的品牌代码(若有)。 品牌代码是一个短字符串(4 个字符),用于标识由合作伙伴交易或网站促销促成的安装。 默认值:''。
  • appChannel 指示安装渠道(即 Canary 或 Dev)的整数。
  • appClientId 可接受更广的值范围并用于类似用途的品牌代码的通用形式。 默认值:''。
  • appCohort:计算机可读的字符串,用于标识应用所属的发布队列(渠道)。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
  • appCohortHint 一个指示客户端希望切换到其他发布队列的计算机可读的枚举。 确切的合法值是特定于应用的,并应在服务器和应用实现之间共享。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
  • appCohortName 一个稳定的非本地化用户可读枚举,用于指示应用应向用户显示哪组消息(如果有)。 例如,具有“beta”队列名称的应用可能会向用户显示特定于 beta 的品牌。 限于 ASCII 字符 32 到 127(包括在内)之间,最大长度为 1024 个字符。 默认值:''。
  • appConsentState 描述诊断数据泄漏和响应流的位标志,其中 1 表示肯定,0 表示否定或未指定的数据。 位 1 表示已表示同意,位 2 表示数据源于下载页面,位 18 表示选择发送有关浏览器使用情况的数据,位 19 表示选择发送有关所访问网站的数据。
  • appDayOfInstall 基于日期的计数,等效于 appInstallTimeDiffSec(安装应用所在的数字日历日)。 此值由服务器在响应安装流中的第一个请求时提供。 客户端可能会将此值模糊处理到周粒度(例如,发送“0”表示 0-6,发送“7”表示 7-13 等)。 与服务器的第一次通信应使用特殊值“-1”。 值“-2”表示此值是未知的。 默认值:“-2”。
  • appEdgePreviewDisenrollReason 取消注册预览版的原因。
  • appEdgePreviewPreviousValuesV2 Microsoft Edge 预览版的以前值。
  • appEdgePreviewState 指定 Microsoft Edge 是否处于预览状态。
  • appExperiments:实验标识符的键/值列表。 实验标签用于跟踪不同实验组中的成员身份,可以在安装或更新时设置。 实验字符串的格式为,实验标签字符串的分号分隔串联。 实验标签字符串是以实验名称开头,后面依次跟“=”字符和实验标签值。 例如,“crdiff=got_bsdiff;optimized=O3”。 即使服务器曾指定特定到期日期,客户端也不得传输它包含的任何实验的到期日期。 默认值:''。
  • appFirstFRESeenTime 在 Windows FILETIME 单位/10 中,任何用户在设备上首次看到 Microsoft Edge 首次运行体验的最早时间。 默认值:未定义。
  • appFirstFRESeenVersion 任何用户在设备上看到的最早 Microsoft Edge 首次运行体验版本(例如“1.2.3.4”)。 默认值:未定义。
  • appInactivityBadgeApplied 指定已应用非活动锁屏提醒。
  • appInactivityBadgeCleared 指定已清除非活动锁屏提醒。
  • appInactivityBadgeDuration 非活动锁屏提醒的持续时间。
  • appInstallTime 产品安装时间(以秒为单位)。 如果未知,则为“0”。 默认值:“-1”。
  • appInstallTimeDiffSec 当前时间与安装日期之间的时差(以秒为单位)。 如果未知,则为“0”。 默认值:“-1”。
  • appIsPinnedSystem 指定应用已固定。
  • appLang IETF BCP 47 表示形式中产品安装的语言。 默认值:''。
  • appLastLaunchCount 应用上次启动的次数。
  • appLastLaunchTime 上次启动浏览器的时间。
  • appNextVersion:此事件所属的更新流尝试访问的应用版本,与更新操作是否成功无关。 默认值:“0.0.0.0”。
  • appOOBEInstallTime 由 setup.exe 记录的,在 Windows FILETIME 单位/10 中,首次记录的成功的 OOBE Microsoft Edge 安装时间(即,在 OOBE 完成之前实现的任何完全完成的 OOBE 安装的安装时间)。 默认值:未定义。
  • appPingEventAppSize 所有已下载包的总字节数。 默认值:“0”。
  • appPingEventDoneBeforeOOBEComplete 指示安装或更新是否在 Windows 开箱即用体验结束之前完成。 1 表示事件在 OOBE 完成之前完成;0 表示事件未在 OOBE 完成之前完成;-1 表示该字段不适用。
  • appPingEventDownloadMetricsCdnAzureRefOriginShield 提供唯一的引用字符串,用于标识由 Azure Front Door 提供的请求。 它用于搜索访问日志,对于故障排除至关重要。 例如,参考 A: E172B39D19774147B0EFCC8E3E823D9D Ref B: BL2EDGE0215 Ref C: 2021-05-11T22:25:48Z。
  • appPingEventDownloadMetricsCdnCache 对应于结果,代理是否已提供缓存的结果(HIT 表示是,MISS 表示否)例如,来自 proxy.domain.tld 的 HIT、proxy.local 中的 MISS。
  • appPingEventDownloadMetricsCdnCCC 与国家/地区更新的二进制文件相匹配的 ISO 2 字符国家/地区代码将从中传递。 例如:US。
  • appPingEventDownloadMetricsCdnCID 用于内部跟踪已更新二进制文件来源的数值。 例如:2。
  • appPingEventDownloadMetricsCdnMSEdgeRef 用于帮助关联客户端到 AFD (Azure Front Door) 对话。 例如,参考 A: E2476A9592DF426A934098C0C2EAD3AB Ref B: DM2EDGE0307 Ref C: 2022-01-13T22:08:31Z。
  • appPingEventDownloadMetricsCdnP3P 电子隐私声明:CAO=收集联系和其他,PSA=用于伪分析,OUR=仅由我们收到的数据。 帮助识别是否存在可在合法错误检测中产生干扰的透明中介 (代理)。 例如,CP=“CAO PSA OUR”。
  • appPingEventDownloadMetricsDownloadedBytes 对于表示下载的事件,是指预计要下载的字节数。 对于表示整个更新流的事件,是指更新流过程中所有此类预计字节的总和。 默认值:“0”。
  • appPingEventDownloadMetricsDownloader 一个标识下载算法和/或堆栈的字符串。 示例值包括:“bits”、“direct”、“winhttp”、“p2p”。 仅在事件类型为“14”的事件中发送。 默认值:''。
  • appPingEventDownloadMetricsDownloadTimeMs 对于表示下载的事件,是指从下载开始到下载结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指更新流过程中所有此类下载时间的总和。 仅在事件类型为“1”、“2”、“3”和“14”的事件中发送。 默认值:“0”。
  • appPingEventDownloadMetricsError 操作的错误代码(如果有),编码为带符号的基数为 10 的整数。 默认值:“0”。
  • appPingEventDownloadMetricsServerIpHint 对于表示下载的事件,是指与更新文件服务器对应的 CDN 主机 IP 地址。 CDN 主机由 Microsoft 服务器控制,并且始终映射到托管 *.delivery.mp.microsoft.com 或 msedgesetup.azureedge.net 的 IP 地址。 默认值:''。
  • appPingEventDownloadMetricsTotalBytes 对于表示下载的事件,是指预计要下载的字节数。 对于表示整个更新流的事件,是指更新流过程中所有此类预计字节的总和。 默认值:“0”。
  • appPingEventDownloadMetricsUrl 对于表示下载的事件,是指由更新服务器所提供的供客户端下载更新的 CDN URL,该 URL 由 Microsoft 服务器控制,并且始终映射回 *.delivery.mp.microsoft.com 或 msedgesetup.azureedge.net。 默认值:''。
  • appPingEventDownloadTimeMs 对于表示下载的事件,是指从下载开始到下载结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指更新流过程中所有此类下载时间的总和。 仅在事件类型为“1”、“2”、“3”和“14”的事件中发送。 默认值:“0”。
  • appPingEventErrorCode 操作的错误代码(如果有),编码为带符号的基数为 10 的整数。 默认值:“0”。
  • appPingEventEventResult:指明事件结果的枚举。 默认值:“0”。
  • appPingEventEventType:指明事件类型的枚举。 兼容的客户端必须传输此属性。
  • appPingEventExtraCode1 有关操作结果的其他数字信息,编码为带符号的基数为 10 的整数。 默认值:“0”。
  • appPingEventInstallTimeMs 对于表示安装的事件,是指从安装开始到安装结束之间经过的时间(以毫秒为单位)。 对于表示整个更新流的事件,是指所有此类持续时间的总和。 仅在事件类型为“2”和“3”的事件中发送。 默认值:“0”。
  • appPingEventNumBytesDownloaded 为指定的应用程序下载的字节数。 默认值:“0”。
  • appPingEventPackageCacheResult 指示系统中是否存在要更新或安装的现有包。 1 表示预期密钥下有一个缓存命中,2 表示其他密钥下有一个缓存命中,0 表示缓存未命中。 -1 表示该字段不适用。
  • appPingEventSequenceId 识一个 requestId 中的特定事件的唯一 ID。 由于请求可能包含多个 ping 事件,因此,若要唯一标识每个可能的事件,必须填写此字段。
  • appPingEventSourceUrlIndex:对于表示下载的事件,这是指下载 URL 在“urls”标记内服务器所提供的 URL 列表中的位置。
  • appPingEventSystemUptimeTicks 系统已运行的时间刻度数。
  • appPingEventUpdateCheckTimeMs 对于表示整个更新流的事件,是指更新检查开始和更新检查结束之间经历的时间(以毫秒为单位)。 仅在事件类型为“2”和“3”的事件中发送。 默认值:“0”。
  • appReferralHash 用于安装产品的引荐代码的哈希。 如果未知,则为“0”。 默认值:“0”。
  • appUpdateCheckIsRollbackAllowed 检查状态是否显示是否允许回滚。
  • appUpdateCheckIsUpdateDisabled 应用更新是否受组策略限制的状态。 如果更新已受组策略限制,则为 True,否则为 False。
  • appUpdateCheckTargetChannel 检查显示目标发布频道的状态。
  • appUpdateCheckTargetVersionPrefix 版本号的组件前缀,或带有 $ 字符后缀的完整版本号。 服务器不得将更新指令返回到与版本号前缀或完整版本号不匹配的版本号。 前缀的解释为,指定完全匹配元素的点状元组;它不是词法前缀(例如,“1.2.3”必须匹配“1.2.3.4”,但不得匹配“1.2.34”)。 默认值:''。
  • appUpdateCheckTtToken 一个不透明的访问令牌,可用于将发出请求的客户端标识为受信任的测试人员组的成员。 如果不为空,应通过 SSL 或其他安全协议发送请求。 默认值:''。
  • appUpdateCount setup.exe 记录的正在运行的成功更新总数。 这用于对跨连续更新的 Ping 数据进行连续性检查。
  • appUpdatesAllowedForMeteredNetworks 指定设备是否可以在按流量计费的网络上接收更新。
  • appVersion 安装的产品版本。 不应默认值:“0.0.0.0”。
  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • eventType:指明事件类型的字符串。 不应
  • expETag 表示当前更新发生时所有服务应用的配置和实验的标识符。 仅用于测试。
  • hwDiskType 设备的硬件磁盘类型。
  • hwHasAvx:如果客户端的硬件支持 AVX 指令集,则为“1”。 如果客户端的硬件不支持 AVX 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSse 如果客户端的硬件支持 SSE 指令集,则为“1”。 如果客户端的硬件不支持 SSE 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSse2 如果客户端的硬件支持 SSE2 指令集,则为“1”。 如果客户端的硬件不支持 SSE2 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSse3 如果客户端的硬件支持 SSE3 指令集,则为“1”。 如果客户端的硬件不支持 SSE3 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSse41 如果客户端的硬件支持 SSE4.1 指令集,则为“1”。 如果客户端的硬件不支持 SSE4.1 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSse42 如果客户端的硬件支持 SSE4.2 指令集,则为“1”。 如果客户端的硬件不支持 SSE4.2 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwHasSsse3 如果客户端的硬件支持 SSSE3 指令集,则为“1”。 如果客户端的硬件不支持 SSSE3 指令集,则为“0”。 如果未知,则为“-1”。 默认值:“-1”。
  • hwLogicalCpus 设备的逻辑 CPU 数。
  • hwPhysmemory 可供客户端使用的物理内存(向下截断到最接近的 GB 数)。 如果未知,则为“-1”。 此值旨在反映客户端的最大理论存储容量,不包括任何硬盘或对硬盘或外设的分页。 默认值:“-1”。
  • isCTADevice 指定设备是否为 CTA。
  • isMsftDomainJoined 如果客户端是 Microsoft 域的成员,则为“1”。 否则为“0”。 默认值:“0”。
  • oemProductManufacturer 设备制造商名称。
  • oemProductName 设备制造商定义的设备产品名称。
  • osArch 操作系统的体系结构(例如,“x86”、“x64”、“arm”)。 如果未知,则为 ''。 默认值:''。
  • osIsDefaultNetworkConnectionMetered 指示默认网络连接是否按流量计费。
  • osIsInLockdownMode OS 是否处于锁定模式。
  • osIsWIP OS 是否处于预览状态。
  • osPlatform Omaha 客户端正在其中运行的操作系统系列(例如“win”、“mac”、“linux”、“ios”、“android”)。 如果未知,则为 ''。 操作系统名称应以小写形式传输,格式尽量简洁。 默认值:''。
  • osProductType 与操作系统关联的类型。
  • osServicePack 操作系统的次要版本。 如果未知,则为 ''。 默认值:''。
  • osVersion 操作系统的主要版本。 如果未知,则为 ''。 默认值:''。
  • osWIPBranch 操作系统的 WIP 分支。
  • requestCheckPeriodSec 更新间隔(以秒为单位)。 将从注册表中读取该值。 默认值:“-1”。
  • requestDlpref 以逗号分隔的值列表,用于指定首选的下载 URL 行为。 第一个值具有最高优先级,而其他值则反映第二、第三等优先级。 合法值为 ''(在这种情况下,整个列表必须为空,表示未知或无首选项)或“可缓存”(服务器应优先发送易于缓存的 URL)。 默认值:''。
  • requestDomainJoined:如果计算机属于托管企业域,则为“1”。 否则为“0”。
  • requestInstallSource 一个指定更新流的原因的字符串。 例如:“ondemand”或“scheduledtask”。 默认值:''。
  • requestIsMachine 如果已知安装客户端时使用的是系统级特权或管理员特权,则为“1”。 否则为“0”。 默认值:“0”。
  • requestOmahaShellVersion Omaha 安装文件夹的版本。 默认值:''。
  • requestOmahaVersion Omaha 更新程序本身的版本(发送此请求的实体)。 默认值:“0.0.0.0”。
  • requestProtocolVersion Omaha 协议的版本。 兼容的客户端必须提供值“3.0”。 兼容的客户端必须始终传输此属性。 默认值:未定义。
  • requestRequestId 随机生成(均匀分布)的 GUID,对应于 Omaha 请求。 每次请求尝试都应(很有可能)有一个唯一的请求 ID。默认值:''。
  • requestSessionCorrelationVectorBase 客户端生成的随机 MS 关联向量基本代码,用于将更新会话与更新和 CDN 服务器关联。 默认值:''。
  • requestSessionId 随机生成(均匀分布)的 GUID。 每个更新流(例如,更新检查、更新应用程序、事件 ping 序列)都应该(很有可能)有唯一会话 ID。 默认值:''。
  • requestTestSource ''、“dev”、“qa”、“prober”、“auto”或“ossdev”。 除 '' 之外的任何值都表示请求是一个测试,不应计入正常指标。 默认值:''。
  • requestUid 随机生成(均匀分布)的 GUID,对应于 Omaha 请求。 每次请求尝试都应该(很有可能)有唯一请求 ID。默认值:''。

Aria.af397ef28e484961ba48646a5d38cf54.Microsoft.WebBrowser.Installer.EdgeUpdate.PingXml

PingXml 事件发送与 MicrosoftEdgeUpdate 中更新进程的特定实例相关的详细信息。 此事件包含设备连接和配置、产品和服务性能、软件设置和库存数据。 每个 PingXml 事件可以包含来自多个不同应用程序的更新日志,并且 XML 有效负载中的每个应用程序节点可以包含多个不同的 ping 事件。 无论退出状态如何,只要 MicrosoftEdgeUpdate 中发生更新进程,就会发送此事件。 此事件用于跟踪 MicrosoftEdgeUpdate 进程的可靠性和性能。 此事件的有效负载在协议定义头文件中定义。

提供有以下字段:

  • EventInfo.Level 事件所需的最低 Windows 诊断数据级别,其中 1 表示基本,2 表示增强,3 表示完整。
  • Xml 表示 ping 事件的请求有效负载的 XML 编码字符串。 请求有效负载包括四个节点的数据和元数据:请求本身、设备硬件、设备的 OS 以及每个更新的应用程序。 每个应用程序节点都包含单个 ping 事件的其他节点。

迁移事件

Microsoft.Windows.MigrationCore.MigObjectCountDLSys

此事件用于在 Windows 功能更新的不同阶段指示系统路径的对象计数。

包含以下字段:

  • migDiagSession->CString 指示更新的阶段。
  • objectCount 为更新的相应阶段跟踪的文件数。
  • sfInfo.Name 这指示已知文件夹位置路径 (例如:PUBLIC_downloads 等)

Microsoft.Windows.MigrationCore.MigObjectCountDLUsr

此事件返回数据,用于在功能更新的各个阶段跟踪迁移对象的计数。 随此事件收集的数据用于帮助使 Windows 保持安全和跟踪数据丢失方案。

包含以下字段:

  • currentSid 指示正在为其执行迁移的用户 SID。
  • migDiagSession->CString 发生迁移的升级阶段。 (例如:验证跟踪的内容)
  • objectCount 要转移的对象数量计数。
  • sfInfo.Name 此事件标识了发生迁移的升级阶段。

Microsoft.Windows.MigrationCore.MigObjectCountKFSys

此事件返回有关功能更新的各个阶段的迁移对象计数的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和跟踪数据丢失方案。

包含以下字段:

  • migDiagSession->CString 标识发生迁移的升级阶段。
  • objectCount 正在转移的对象数量计数。
  • sfInfo.Name 预定义的文件夹路径位置。 例如,FOLDERID_PublicDownloads

Microsoft.Windows.MigrationCore.MigObjectCountKFUsr

此事件返回数据,用于在功能更新的各个阶段跟踪迁移对象的计数。 随此事件收集的数据用于帮助使 Windows 保持安全和跟踪数据丢失方案。

包含以下字段:

  • currentSid 指示正在为其执行迁移的用户 SID。
  • migDiagSession->CString 发生迁移的升级阶段。 (例如,验证跟踪的内容。)
  • objectCount 正在转移的对象数。
  • sfInfo.Name 预定义的文件夹路径位置。 例如,FOLDERID_PublicDownloads。

OneSettings 事件

Microsoft.Windows.OneSettingsClient.Heartbeat

此事件指示配置状态检测信号。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • Configs 配置数组。

Microsoft.Windows.OneSettingsClient.StateChange

此事件指示配置状态的更改。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • flightID 外部测试版 id。
  • 状态 新状态。

Microsoft.Windows.OneSettingsClient.Status

此事件指示状态更新的配置使用情况。 随此事件收集的数据用于帮助使 Windows 保持最新状态、安全并且正常运行。

包含以下字段:

  • flightID 外部测试版 id。
  • time 时间。

OOBE 事件

Microsoft.Windows.Shell.Oobe.ExpeditedUpdate.ExpeditedUpdateNthLogonDisplayStatus

NthLogon NDUP 评估它是否应启动。

包含以下字段:

  • nthSkippedReasonFlag 指示跳过原因的标志。
  • reason 跳过原因字符串。

Microsoft.Windows.Shell.Oobe.ExpeditedUpdate.ExpeditedUpdatePageSkipped

此事件提供有关跳过加速更新页的信息。 随此事件收集的数据用于帮助使 Windows 安全、保持最新状态并正常运行。

包含以下字段:

  • reason 跳过原因。
  • skippedReasonFlag 表示跳过原因的标志。

Microsoft.Windows.Shell.Oobe.ExpeditedUpdate.ExpeditedUpdateStatusResult

此事件提供加速更新的状态。 随此事件收集的数据用于帮助使 Windows 安全、保持最新状态并正常运行。

包含以下字段:

  • oobeExpeditedUpdateStatus 已加速更新状态。
  • reason 状态的原因。
  • resultCode 操作的 HR 结果。

其他事件

Microsoft.Windows.Analog.HolographicDriverClient.TelemetryUserPresenceChanged

此事件发送指示用户状态传感器检测到的状态的数据。 随此事件收集的数据用于使 Windows 保持正常运行。

提供有以下字段:

  • correlationGuid 唯一关联 Guid ID。
  • isPresent 用户状态传感器检测到的状态。

Microsoft.Windows.Analog.HydrogenCompositor.ExclusiveMode_Entered

此事件发送指示增强现实应用程序体验开始的数据。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • SessionId 每次尝试的唯一值。
  • TargetAsId 挂起进程的序列号。
  • windowInstanceId 每个窗口实例的唯一值。

Microsoft.Windows.Analog.HydrogenCompositor.ExclusiveMode_Leave

此事件发送指示增强现实应用程序体验结束的数据。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • EventHistory 事件历史记录的唯一数目。
  • ExternalComponentState 外部组件的状态。
  • LastEvent 最后一个事件的唯一数目。
  • SessionId 每次尝试的唯一值。
  • TargetAsId 挂起进程的序列号。
  • windowInstanceId 每个窗口实例的唯一值。

Microsoft.Windows.Security.NGC.KspSvc.NgcUserIdKeyFinalize

此事件跟踪 Windows Hello 密钥创建的最终完成。

包含以下字段:

  • accountType 用户的帐户类型。
  • cacheType 密钥的缓存类型。
  • finalizeStatus 完成操作后返回的状态代码。
  • gestureRequired 操作需要手势。
  • isIsoContainer 指示它是否使用 IsoContainer。
  • isVsm 指示容器是否在 Vsm 中。
  • keyAccountId 密钥帐户 ID。
  • keyAlgId 密钥算法 ID。
  • keyDomain 密钥域名。
  • keyImplType 密钥实现类型。
  • keyTenant 密钥租户名称。
  • keyType 密钥类型。
  • signStatus 完成操作后返回的状态代码。
  • silentByCaller 指示调用方是否希望以无提示方式完成。
  • silentByProperty 指示是否指定了密钥属性以无提示方式完成。

Microsoft.Windows.Security.NGC.KspSvc.NgcUserIdKeySignHash

此事件跟踪 Windows Hello 密钥签名详细信息。

包含以下字段:

  • accountType 用户的帐户类型。
  • cacheType 密钥的缓存类型。
  • callerCmdLine 调用方进程命令行字符串。
  • didPrompt 是否触发了 UI 提示。
  • gestureRequired 操作需要手势。
  • isCacheWithTimedCounterEnabled 已启用新的缓存机制。
  • isCallerProcessQueryLimited 指示调用方进程是否未能以 PROCESS_VM_READ 权限打开。
  • isUnlockTimeSet 我们有一个有效的解锁时间可以使用。
  • keyAccountId 哈希密钥帐户 ID。
  • keyDomain 哈希密钥域名。
  • keyImplType 密钥的实现类型。
  • keyTenant 哈希密钥租户名称。
  • keyType 密钥类型。
  • numSignatures 自登录或解锁以来进行的签名数。
  • persistedInPinCache PIN 已保留在缓存中。
  • protectionLevel 指定调用方进程是否为 PPL 以及其级别。
  • sessionGuid 当前用户会话的唯一标识符。
  • signStatus 签名操作后返回的状态代码。
  • silentByCaller 指示调用方是否希望以无提示方式进行签名。
  • silentByProperty 指示是否指定了密钥属性以无提示方式签名。
  • timeSinceUnlockMs 自登录或解锁以来的时间(以毫秒为单位)。
  • usedPinCache PIN 缓存用于尝试签名。
  • validTicket 提供的票证与默认或无效的身份验证票证不匹配。

Microsoft.Windows.Security.SBServicing.ApplySecureBootUpdateFailed

指示尝试应用安全启动更新失败的事件

包含以下字段:

  • Action 发生错误时的操作字符串
  • 人力资源 HRESULT 中的错误代码
  • IsRejectedByFirmware 指示固件是否拒绝更新的布尔值。
  • IsResealNeeded 用于指示是否需要 TPM 重新封装的 BOOL 值
  • RevokedBootmanager 指示当前 bootmgr 是否已撤销的布尔值。
  • SecureBootUpdateCaller 调用函数的方案。 可以是更新或升级
  • UpdateType 指示它是 DB 更新还是 DBX 更新
  • WillResealSucceed 指示 TPM 重新封装操作是否预期成功

Microsoft.Windows.Security.SBServicing.ApplySecureBootUpdateStarted

指示安全启动更新已启动的事件。

包含以下字段:

  • AvailableUpdates:可用的安全启动更新数。
  • SecureBootUpdateCaller 枚举值,指示这是服务还是升级。

Microsoft.Windows.Security.SBServicing.ApplySecureBootUpdateSucceeded

此事件指示安全启动更新是否成功。

提供有以下字段:

  • Action 指示成功的阶段。
  • IsRebootRequiredBeforeUpdate 指示在重新尝试更新之前是否需要重新启动。
  • IsResealNeeded 指示是否需要 BitLocker重新封装。
  • RevokedBootmanager 指示计算机上是否存在已撤销的 bootmgr。
  • SecureBootUpdateCaller 有关更新调用方的信息。
  • UpdateType 变量掩码,例如 DB、DBX。
  • WillResealSucceed 通知重新封装是否会成功。

Microsoft.Windows.Security.SBServicingCore.ApplySecureBootUpdateCompleted

此事件在安装程序完成 Secureboot 更新时记录。

包含以下字段:

  • Action 告诉我们失败阶段(如果有)的字符串。
  • hr 错误代码。
  • IsResealNeeded 此计算机上是否需要 BitLocker 重新封装。
  • sbServicingFailureReason 包含失败详细信息的枚举。
  • SecureBootUpdateCaller 更新的调用方,例如 Secureboot AI、tpmtask 或 dbupdater。
  • UpdateType 更新类型 DB 或 DBX。
  • WillResealSucceed BitLocker 重新封装是否将在此计算机上成功。

Microsoft.Windows.Security.SBServicingCore.ApplySecureBootUpdateStarted

此事件在包含 DB/DBX 有效负载的 Secureboot 更新开始时记录。

包含以下字段:

  • SecureBootUpdateCaller 更新的调用方,例如 Secureboot AI、TPMTask 或 DBUpdater。
  • UpdateType 更新类型,如 DB 或 DBX。

Microsoft.Windows.Security.SBServicingCore.SBServicingCoreFunctionFailed

此事件在 Secureboot AI 的某些核心功能发生故障时记录。

提供有以下字段:

  • Action 发生故障的阶段。
  • Function 发生故障的功能的名称。
  • hr 错误代码。

Microsoft.Windows.Shell.CortanaSearch.WebView2ProcessFailed

此事件跟踪 WebView2 进程是否失败。

提供有以下字段:

  • ExitCode WebView2 退出代码。
  • ProcessFailedKind WebView2 进程失败类型。
  • Reason WebView2 进程失败原因。
  • SessionId WebView2 sessionId。

Microsoft.Windows.Shell.SystemSettings.SettingsAppActivity.GetUserAccountState

此事件跟踪加载“设置帐户 L1”页时用户帐户是否处于良好状态。

提供有以下字段:

  • CassService Cass 服务的版本。
  • componentName“设置”组件的名称。
  • correlationVector 关联事件的标识符。
  • currentPageGroupId 当前页组的标识符。
  • currentPageId 当前页的标识符。
  • experienceId“设置”体验的标识符。
  • experienceVersion 体验的版本。
  • isExperienceInbox 默认情况下是否存在体验(系统随附)。
  • pageId“设置”页的标识符。
  • pageSessionId 页会话的标识符。
  • processSessionId 进程的标识符。
  • state 确定帐户是否具有所需的备份证明(例如电子邮件和电话)的状态

Microsoft.Windows.WinRE.Agent.CreateWinRePartitionFailed

此事件发出 WinRE 分区创建操作失败的消息。

提供有以下字段:

  • ErrorCode 错误代码。

Microsoft.Windows.WinRE.Agent.ExtendOsPartitionSucceed

此事件发出扩展 OS 分区操作成功的消息。

Microsoft.Windows.WinRE.Agent.ShrinkOsPartitionFailed

此事件捕获 WinRE 服务期间 OS 分区收缩操作失败。

包含以下字段:

  • HRESULT 错误代码。

Microsoft.Windows.WinRE.Agent.WinreFormatPartition

此事件在设置 WinRE 分区格式时触发。

Microsoft.Windows.WinRE.Agent.WinreFormatPartitionSucceed

此 vvent 在 WinRE 分区尝试格式化并成功时触发。

Microsoft.Windows.Shell.PrivacyConsentLogging.PrivacyConsentCompleted

此事件用于确定用户是否已成功完成了隐私同意体验。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • presentationVersion 用户完成了哪个显示版本的隐私同意体验
  • privacyConsentState 隐私同意体验的当前状态
  • settingsVersion 用户完成了哪个设置版本的隐私同意体验
  • userOobeExitReason 退出隐私同意体验的原因

Microsoft.Windows.Shell.PrivacyConsentLogging.PrivacyConsentStatus

此事件提供了新隐私体验的有效性。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • isAdmin 正在登录的人员是否是管理员。
  • isExistingUser 下层操作系统中是否有该帐户
  • isLaunching 是否将启动隐私同意体验
  • isSilentElevation 是否对该用户采取最严格的 UAC 控制
  • privacyConsentState 用户是否已完成隐私体验
  • userRegionCode 当前用户的地区设置

设置事件

Microsoft.Windows.Setup.WinSetupMon.ProtectionViolation

此事件提供有关在功能更新期间为数据安全而监视的文件或目录的移动或删除的信息。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • Mode 为给定路径强制执行的监视模式类型(这是一组固定字符串中的一个)。
  • Path 要移动或删除的文件或目录的路径。
  • Process 请求移动或删除的进程的路径。
  • SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
  • TargetPath (可选)如果操作是移动操作,则是要将文件或目录移动到的目标路径。

Microsoft.Windows.Setup.WinSetupMon.TraceError

提供有关升级数据安全监视筛选器驱动程序运行中的错误的详细信息。

包含以下字段:

  • 消息 描述错误条件的文本字符串。
  • SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
  • 状态 与错误相关的 NTSTATUS 代码。

Microsoft.Windows.Setup.WinSetupMon.TraceErrorVolume

提供有关升级数据安全监视筛选器驱动程序运行中与特定卷(驱动器)相关的错误的详细信息。

包含以下字段:

  • 消息 描述错误条件的文本字符串。
  • SessionId 标识符,用于将此组件的遥测数据与其他组件的遥测数据相关联。
  • 状态 与错误相关的 NTSTATUS 代码。
  • 发生错误的卷的路径

表面事件

Microsoft.Surface.Battery.Prod.BatteryInfoEvent

此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据有助于使 Windows 产品和服务保持正常运行。

包含以下字段:

  • batteryData 电池性能数据。
  • batteryData.data() 电池性能数据。
  • BatteryDataSize: 电池性能数据的大小。
  • batteryInfo.data() 电池性能数据。
  • BatteryInfoSize: 电池性能数据的大小。

Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_BPM

此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • BPMCurrentlyEngaged 如果在设备上激活 BPM,则为即时快照。
  • BPMExitCriteria BPM 退出条件是什么 - 20%SOC 或 50%SOC?
  • BPMHvtCountA BPM 计数器 A 的当前 HVT 计数。
  • BPMHvtCountB BPM 计数器 B 的当前 HVT 计数。
  • bpmOptOutLifetimeCount BPM OptOut 生存期计数。
  • BPMRsocBucketsHighTemp_Values 在温度范围 46°C - 60°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMRsocBucketsLowTemp_Values 在温度范围 0°C - 20°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMRsocBucketsMediumHighTemp_Values 在温度范围 36°C - 45°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMRsocBucketsMediumLowTemp_Values 在温度范围 21°C - 35°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMTotalEngagedMinutes BPM 参与的总时间。
  • BPMTotalEntryEvents 输入 BPM 的总次数。
  • BPMv4CurrentlyEngaged 如果在设备上启用 BPM,则为即时快照。
  • BPMv4ExitCriteria BPM 退出条件是什么 - 20%SOC 或 50%SOC?
  • BPMv4HvtCountA BPM 计数器 A 的当前 HVT 计数。
  • BPMv4HvtCountB BPM 计数器 B 的当前 HVT 计数。
  • BPMv4RsocBucketsHighTemp_Values 在温度范围 46°C - 60°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMv4RsocBucketsLowTemp_Values 在温度范围 0°C -20°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMv4RsocBucketsMediumHighTemp_Values 在温度范围 36°C -45°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMv4RsocBucketsMediumLowTemp_Values 在温度范围 21°C-35°C 和以下真实 RSOC 范围内的时间:0%-49%;50%-79%;80%-89%;90%-94%;95%-100%。
  • BPMv4TotalEngagedMinutes BPM 参与的总时间。
  • BPMv4TotalEntryEvents 输入 BPM 的总次数。
  • ComponentId 组件 ID。
  • FwVersion 创建此日志的 FW 版本。
  • LogClass LOG 类。
  • LogInstance 类中的日志实例 (1..n)。
  • LogVersion Log MGR 版本。
  • MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
  • ProductId 产品 ID。
  • SeqNum 序列号。
  • TimeStamp 创建日志时的 UTC 秒数。
  • Ver 架构版本。

Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_CTT

此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。

提供有以下字段:

  • batteryPresent 设备上存在电池。
  • BPMKioskModeStartDateInSeconds 已启用首次电池限制。
  • BPMKioskModeTotalEngagedMinutes 已启用电池限制总时间(SOC 值为 50%)。
  • ComponentId 组件 ID。
  • CTTEqvTimeat35C 每分钟的轮询时间。 根据温度添加到生存期计数器。 仅计数超过 80% SOC 的时间。
  • CTTEqvTimeat35CinBPM 每分钟的轮询时间。 根据温度添加到生存期计数器。 仅计算超过 55% SOC 的时间以及设备在 BPM 中的时间。 向上舍入。
  • CTTMinSOC1day 滚动 1 天的最小 SOC。 最初设置为 0 的值。
  • CTTMinSOC28day 滚动 28 天的最小 SOC。 最初设置为 0 的值。
  • CTTMinSOC3day 滚动 3 天的最小 SOC。 最初设置为 0 的值。
  • CTTMinSOC7day 滚动 7 天的最小 SOC。 最初设置为 0 的值。
  • CTTReduction 电流 CTT 减小(以 mV 为单位)
  • CTTStartDateInSeconds 开始使用设备的日期。
  • currentAuthenticationState 当前身份验证状态。
  • FwVersion 创建此日志的 FW 版本。
  • LogClass LOG 类。
  • LogInstance 类中的日志实例 (1..n)。
  • LogVersion Log MGR 版本。
  • MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
  • newSnFruUpdateCount 新的 Sn FRU 更新计数。
  • newSnUpdateCount 新的 Sn 更新计数。
  • ProductId 产品 ID。
  • ProtectionPolicy 电池电量限制。 True (0 False)。
  • SeqNum 序列号。
  • TimeStamp 创建日志时的 UTC 秒数。
  • Ver 架构版本。
  • VoltageOptimization 电流 CTT 减小(以 mV 为单位)。

Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_GG

此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • cbTimeCell_Values 不同电池的 cb 时间。
  • ComponentId 组件 ID。
  • cycleCount 循环计数。
  • deltaVoltage 增量电压。
  • eocChargeVoltage_Values EOC 充电电压值。
  • fullChargeCapacity 完全充电容量。
  • FwVersion 创建此日志的 FW 版本。
  • lastCovEvent 上次 Cov 事件。
  • lastCuvEvent 上次 Cuv 事件。
  • LogClass LOG_CLASS。
  • LogInstance 类中的日志实例 (1..n)。
  • LogVersion LOG_MGR_VERSION。
  • manufacturerName 制造商名称。
  • maxChargeCurrent 最大充电电流。
  • maxDeltaCellVoltage 最大增量电池电压。
  • maxDischargeCurrent 最大释放电流。
  • maxTempCell 最大临时电池。
  • maxVoltage_Values 最大电压值。
  • MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
  • minTempCell 最小临时电池。
  • minVoltage_Values 最小电压值。
  • numberOfCovEvents Cov 事件数。
  • numberOfCuvEvents Cuv 事件数。
  • numberOfOCD1Events OCD1 事件数。
  • numberOfOCD2Events OCD2 事件数。
  • numberOfQmaxUpdates Qmax 更新数。
  • numberOfRaUpdates Ra 更新数。
  • numberOfShutdowns 关闭次数。
  • pfStatus_Values pf 状态值。
  • ProductId 产品 ID。
  • qmax_Values 不同电池的 Qmax 值。
  • SeqNum 序列号。
  • TimeStamp 创建日志时的 UTC 秒数。
  • Ver 架构版本。

Microsoft.Surface.Battery.Prod.BatteryInfoEventV2_GGExt

此事件包括有关电池性能的硬件级别数据。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • avgCurrLastRun 上次运行的平均值。
  • avgPowLastRun 上次运行的平均功率。
  • batteryMSPN BatteryMSPN
  • batteryMSSN BatteryMSSN。
  • cell0Ra3 Cell0Ra3。
  • cell1Ra3 Cell1Ra3。
  • cell2Ra3 Cell2Ra3。
  • cell3Ra3 Cell3Ra3。
  • ComponentId 组件 ID。
  • currentAtEoc 在 Eoc 的电流。
  • firstPFstatusA 第一个 PF status-A。
  • firstPFstatusB 第一个 PF status-B。
  • firstPFstatusC 第一个 PF status-C。
  • firstPFstatusD 第一个 PF status-D。
  • FwVersion 创建此日志的 FW 版本。
  • lastQmaxUpdate 上次 Qmax 更新。
  • lastRaDisable 上次 Ra 禁用。
  • lastRaUpdate 上次 Ra 更新。
  • lastValidChargeTerm 上次有效充电期限。
  • LogClass LOG 类。
  • LogInstance 类中的日志实例 (1..n)。
  • LogVersion Log MGR 版本。
  • maxAvgCurrLastRun 上次运行的最大平均电流。
  • maxAvgPowLastRun 上次运行的最大平均功率。
  • MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
  • mfgInfoBlockB01 MFG 信息块 B01。
  • mfgInfoBlockB02 MFG 信息块 B02。
  • mfgInfoBlockB03 MFG 信息块 B03。
  • mfgInfoBlockB04 MFG 信息块 B04。
  • numOfRaDisable Ra 禁用的数目。
  • numOfValidChargeTerm 有效充电期限数。
  • ProductId 产品 ID。
  • qmaxCycleCount Qmax 周期计数。
  • SeqNum 序列号。
  • stateOfHealthEnergy 运行状况能量。
  • stateOfHealthFcc 运行状况 Fcc。
  • stateOfHealthPercent 运行状况百分比。
  • TimeStamp 创建日志时的 UTC 秒数。
  • totalFwRuntime 总 FW 运行时。
  • updateStatus 更新状态。
  • Ver 架构版本。

Microsoft.Surface.Battery.Prod.BatteryInfoEventV3

有关电池性能的硬件级别数据。

提供有以下字段:

  • BatteryTelemetry 有关电池性能的硬件级别数据。
  • ComponentId 组件 ID。
  • FwVersion 创建此日志的 FW 版本。
  • LogClass LOG 类。
  • LogInstance 类中的日志实例 (1..n)。
  • LogVersion Log MGR 版本。
  • MCUInstance 用于标识产品中的多个 MCU 的实例 ID。
  • ProductId ProductId ID。
  • SeqNum 序列号。
  • TimeStamp 创建日志时的 UTC 秒数。
  • Ver 架构版本。

更新助手事件

Microsoft.Windows.RecommendedTroubleshootingService.MitigationFailed

由缓解服务提供的可执行文件运行和失败后,将引发此事件。 该事件中的数据用于测量工程师用于解决内部、预览体验成员和零售设备上的市场问题的缓解运行状况。 故障数据还将用于功能团队的根本原因调查,作为停止缓解推出的信号,并且,也会作为因缓解失败而导致某些设备仍受问题影响的一种可能的跟进操作(即向受影响的设备重新提供它 )。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

包含以下字段:

  • activeProcesses 活动进程的数目。
  • atleastOneMitigationSucceeded 指示是否至少已成功进行一项缓解的布尔标记。
  • callerId 请求系统发起的疑难解答的调用方的标识符 (GUID)。
  • contactTSServiceAttempts 在单一扫描仪会话中, TroubleshootingSvc 所做出的尝试次数,以便从故障排除云服务获取疑难解答元数据。
  • countDownloadedPayload 已下载的有效负载的计数实例。
  • description 失败的说明。
  • devicePreference 设备上所推荐的疑难解答设置。
  • downloadBinaryAttempts 在单一扫描仪会话中 TroubleshootingSvc 为下载疑难解答 Exe 所做出的尝试次数。
  • downloadCabAttempts 在单一扫描仪会话中 TroubleshootingSvc 为下载 PrivilegedActions Cab 所做出的次数。
  • executionHR 缓解执行的 HR 代码。
  • executionPreference 当前执行级别首选项。 这可能与 devicePreference 不一样,例如,在执行关键故障排除时,executionPreference 设置为无提示选项。
  • exitCode 缓解执行的退出代码。
  • experimentFeatureId 实验功能 ID。
  • experimentFeatureState 实验的配置状态。
  • hr 错误代码的 HRESULT。
  • isActiveSessionPresent 设备上是否有活动用户会话。
  • isCriticalMitigationAvailable 此设备是否有关键缓解措施。
  • isFilteringSuccessful 筛选操作是否成功。
  • isReApply 缓解的重新应用状态。
  • mitigationId 缓解的 ID 值。
  • mitigationProcessCycleTime 缓解使用的处理周期时间。
  • mitigationRequestWithCompressionFailed 指示对此设备进行压缩的 HTTP 请求是否失败的布尔标记。
  • mitigationServiceResultFetched 指示是否已从管理员服务获取缓解详细信息的布尔标记。
  • mitigationVersion 指示缓解版本的字符串。
  • oneSettingsMetadataParsed 是否已成功分析 OneSettings 元数据。
  • oneSettingsSchemaVersion OneSettings 分析器使用的架构版本。
  • onlyNoOptMitigationsPresent 检查是否所有缓解均未选择。
  • parsedOneSettingsFile 指示 OneSettings 分析是否成功。
  • sessionAttempts 目前为止 TroubleshootingSvc d对此疑难解答进行尝试的扫描仪会话数。
  • SessionId 用于对会话中的事件进行分组的随机 GUID。
  • subType 错误类型。
  • totalKernelTime 缓解使用的内核总时间。
  • totalNumberOfApplicableMitigations 适用缓解的总数量。
  • totalProcesses 分配给作业对象的总进程数。
  • totalTerminatedProcesses 分配给作业对象且处于已终止状态的进程总数。
  • totalUserTime 作业对象使用的总用户模式时间。

Microsoft.Windows.RecommendedTroubleshootingService.MitigationSucceeded

缓解服务所提供的可执行文件成功运行后,将引发此事件。 该事件中的数据用于测量工程师用于解决内部、预览体验成员和零售设备上的市场问题的缓解运行状况。 随此事件收集的数据用于使 Windows 保持正常运行。

包含以下字段:

  • activeProcesses 活动进程的数目。
  • callerId 请求系统发起的疑难解答的调用方的标识符 (GUID)。
  • contactTSServiceAttempts 在单一扫描仪会话中, TroubleshootingSvc 所做出的尝试次数,以便从故障排除云服务获取疑难解答元数据。
  • devicePreference 设备上所推荐的疑难解答设置。
  • downloadBinaryAttempts 在单一扫描仪会话中 TroubleshootingSvc 为下载疑难解答 Exe 所做出的尝试次数。
  • downloadCabAttempts 在单一扫描仪会话中 TroubleshootingSvc 为下载 PrivilegedActions Cab 所做出的次数。
  • executionPreference 当前执行级别首选项。 这可能与 devicePreference 不一样,例如,在执行关键故障排除时,executionPreference 设置为无提示选项。
  • exitCode 缓解执行的退出代码。
  • exitCodeDefinition 描述缓解返回的退出代码的含义的字符串(即 ProblemNotFound)。
  • experimentFeatureId 实验功能 ID。
  • experimentFeatureState 实验的功能状态。
  • mitigationId 缓解的 ID 值。
  • mitigationProcessCycleTime 缓解使用的处理周期时间。
  • mitigationVersion 指示缓解版本的字符串。
  • sessionAttempts 目前为止 TroubleshootingSvc d对此疑难解答进行尝试的扫描仪会话数。
  • SessionId 用于对会话中的事件进行分组的随机 GUID。
  • totalKernelTime 缓解使用的内核总时间。
  • totalProcesses 分配给作业对象的总进程数。
  • totalTerminatedProcesses 分配给作业对象且处于已终止状态的进程总数。
  • totalUserTime 作业对象使用的总用户模式时间。

更新事件

Update360Telemetry.FellBackToDownloadingAllPackageFiles

此事件指示在生成缺少文件列表期间是否发生失败,并且适用于质量更新下载。

包含以下字段:

  • ErrorCode 在缺少文件列表生成期间返回的错误代码。
  • FlightId 每个外部测试版的唯一 ID。
  • ObjectId 每个外部测试版的唯一 ID。
  • 缺少文件列表生成失败的包的名称,我们回退到下载所有包文件。
  • RelatedCV 由最新 USO 扫描生成的相关矢量值。
  • ScenarioId 指示更新方案。
  • SessionId 每次尝试的唯一值(与初始化、下载、安装提交阶段的值相同)。
  • UpdateId 每个更新的唯一 ID。

Update360Telemetry.UpdateAgentCommit

此事件收集与新统一更新平台 (UUP) 更新方案的提交阶段相关的信息,这些信息为移动设备和桌面设备使用。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • CancelRequested 指示是否已请求取消的布尔。
  • ErrorCode 为当前的安装阶段返回的错误代码。
  • FlightId 每个外部测试版的唯一 ID。
  • ObjectId 每个更新代理模式的唯一值。
  • RelatedCV 由最新 USO 扫描生成的相关矢量值。
  • Result 更新的安装阶段的结果。
  • ScenarioId 指示更新方案。
  • SessionId 每次更新尝试的唯一值。
  • UpdateId 每个更新的唯一 ID。

Update360Telemetry.UpdateAgentPostRebootResult

此事件为移动设备和桌面设备收集有关新统一更新平台 (UUP) 更新方案的重启后阶段的信息。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • ErrorCode 为当前的重启后阶段返回的错误代码。
  • FlightId 设备所获得的 Windows 预览体验成员版的特定 ID。
  • ObjectId 每个更新代理模式的唯一值。
  • PostRebootResult 指示 Hresult。
  • RelatedCV 由最新 USO 扫描生成的相关矢量值。
  • RollbackFailureReason 指示回退的原因。
  • ScenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
  • SessionId 每次更新尝试的唯一值。
  • UpdateId 每个更新的唯一 ID。
  • UpdateOutputState 指示重新启动时更新的状态的数字值。

Windows 错误报告事件

Microsoft.Windows.WERVertical.OSCrash

每当检查 bug 时,此事件都会发送收集的转储文件中的二进制数据,以帮助使 Windows 保持最新。 这是此事件的 OneCore 版本。

包含以下字段:

  • BootId 用于标识此设备的启动号的 Uint32 参数。
  • BugCheckCode 用于标识错误检查的直接原因的 Uint64“bugcheck 代码”。
  • BugCheckParameter1 用于提供额外信息的 Uint64 参数。
  • BugCheckParameter2 用于提供额外信息的 Uint64 参数。
  • BugCheckParameter3 用于提供额外信息的 Uint64 参数。
  • BugCheckParameter4 用于提供额外信息的 Uint64 参数。
  • DumpFileAttributes 用于标识转储文件中所含数据类型的代码
  • DumpFileSize 转储文件的大小
  • IsValidDumpFile 如果转储文件对调试程序有效,则为 true,否则,为 false
  • ReportId 与此 bug 检查关联的 WER 报告 ID(用于在 Watson 中查找对应的报告存档)。

Windows 硬件错误体系结构事件

WheaProvider.WheaDriverErrorExternal

外部 WHEA 错误源驱动程序记录常见平台硬件错误时,将发送此事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

包含以下字段:

  • creatorId 标识创建错误记录的实体的 GUID。
  • errorFlags 错误记录上设置的标志。
  • notifyType 标识通知机制的 GUID,将向操作系统报告错误条件。
  • partitionId 标识发生硬件错误的分区的标识符。
  • platformId 标识发生硬件错误的平台的 GUID。
  • record 包含完整错误记录的二进制 BLOB。 由于常见平台错误记录的本质,我们无法为任何给定记录完全分析此 BLOB。
  • recordId 错误记录的标识符。 此标识符仅在创建错误记录的系统上是唯一。
  • sectionFlags 错误记录中记录的每个部分的标志。
  • sectionTypes 表示错误记录中包含的部分类型的 GUID。
  • severityCount 各个部分的严重性。
  • timeStamp 记录在错误记录中的错误时间戳。

WheaProvider.WheaDriverExternalLogginLimitReached

此事件指示 WHEA 已达到来自外部驱动程序的关键事件的日志记录限制。 随此事件收集的数据用于帮助使 Windows 保持最新状态并正常运行。

包含以下字段:

  • timeStamp 已达到日志记录限制的时间。

Microsoft Store 事件

Microsoft.Windows.StoreAgent.Telemetry.AbortedInstallation

当用户或系统取消安装或更新时将会发送此事件,并且此事件用于帮助使 Windows 应用保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试次数。
  • BundleId 项目捆绑包 ID。
  • CategoryId 项目类别 ID。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 在此操作之前执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否为修正安装?
  • IsRestore 这是否会自动还原先前获取的产品?
  • IsUpdate 用于指示这是否为更新的标记。
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 所安装产品的产品系列名称。
  • ProductId 所安装的一个或多个数据包的标识。
  • SystemAttemptNumber 取消之前尝试自动安装的总次数。
  • UserAttemptNumber 取消之前用户尝试安装的总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.BeginAcquireLicense

在应用安装和更新期间,会获取许可证,以确保应用/计算机有权利使用应用。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 此操作前的安装尝试总数。
  • BundleId 与此产品关联的外部测试版的标识。
  • CategoryId 所安装的数据包的标识。
  • ClientAppId 客户端应用 ID(在自动更新或从应用内交互式更新的情况下会有所不同)。
  • IsBundle 发起此操作的应用的标识。
  • IsInteractive 如果用户请求此操作,则为 True。
  • IsMandatory 如果这是强制更新,则为 True。
  • IsRemediation 如果此安装正在修复以前的安装,则为 True。
  • IsRestore 如果自动还原以前获取的产品,则为 True。
  • IsUpdate 如果这是产品更新,则为 True。
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 所安装的此产品的产品系列名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 取消之前自动尝试安装的总次数。
  • UserAttemptNumber 取消之前用户尝试安装的总次数。
  • WUContentId 此程序包的许可标识。

Microsoft.Windows.StoreAgent.Telemetry.BeginDownload

在应用更新或安装过程中,当实际位正在下载时,会触发此事件。此特定事件在此过程开始时触发,以指示状态更改为“下载中”。 需要使用 StoreAgent 事件以帮助使 Windows 预安装的第一方应用(如邮件和日历应用)保持最新和安全。 跨设备的应用更新失败可能各不相同,没有来自每台设备的这些数据,我们将无法跟踪成功/失败,并修复未来出现的与 Windows 应用内置的这些功能相关的任何漏洞。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 此操作前的安装尝试总数。
  • BundleId 与此产品关联的外部测试版的标识。
  • CategoryId 所安装的数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • IsBundle 如果这是捆绑包,则为 True。
  • IsInteractive 如果用户请求此操作,则为 True。
  • IsMandatory 如果这是强制更新,则为 True。
  • IsRemediation 如果此安装正在修复以前的安装,则为 True。
  • IsRestore 如果自动还原以前获取的产品,则为 True。
  • IsUpdate 如果这是产品更新,则为 True。
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 所下载应用的产品系列名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 取消之前自动尝试安装的总次数。
  • UserAttemptNumber 取消之前用户尝试安装的总次数。
  • WUContentId 此程序包的许可标识。

Microsoft.Windows.StoreAgent.Telemetry.BeginGetFreeEntitlement

跟踪调用的开始,以获取免费应用权利。

包含以下字段:

  • CampaignId:市场营销活动标识符。
  • StoreId:App Store 目录 ID。
  • UseDeviceId:布尔值,用于选择权利应是设备权利还是用户权利。

Microsoft.Windows.StoreAgent.Telemetry.BeginInstall

此事件在下载位后,新应用安装或更新接近结束阶段时触发。 需要使用 StoreAgent 事件以帮助使 Windows 预安装的第一方应用(如邮件和日历应用)保持最新和安全。 跨设备的应用更新失败可能各不相同,没有来自每台设备的这些数据,我们将无法跟踪成功/失败,并修复未来出现的与 Windows 应用内置的这些功能相关的任何漏洞。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 此操作前的安装尝试总数。
  • BundleId 与此产品关联的外部测试版的标识。
  • CategoryId 所安装的数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • IsBundle 如果这是捆绑包,则为 True。
  • IsInteractive 如果用户请求此操作,则为 True。
  • IsMandatory 如果这是强制更新,则为 True。
  • IsRemediation 如果此安装正在修复以前的安装,则为 True。
  • IsRestore 如果自动还原以前获取的产品,则为 True。
  • IsUpdate 如果这是产品更新,则为 True。
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 请求安装的数据包的名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 自动尝试安装的总次数。
  • UserAttemptNumber 用户尝试安装的总次数。
  • WUContentId 此程序包的许可标识。

Microsoft.Windows.StoreAgent.Telemetry.BeginSearchUpdatePackages

此事件在查找应用更新时触发。

提供有以下字段:

  • AttemptNumber 此操作前的安装尝试总数。
  • BundleId 与此产品关联的外部测试版的标识。
  • CategoryId 所安装的数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • IsBundle 如果这是捆绑包,则为 True。
  • IsInteractive 如果用户请求此操作,则为 True。
  • IsMandatory 如果这是强制更新,则为 True。
  • IsRemediation 如果此安装正在修复以前的安装,则为 True。
  • IsRestore 如果自动还原以前获取的产品,则为 True。
  • IsUpdate 如果这是产品更新,则为 True。
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 请求安装的数据包的名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 自动尝试安装的总次数。
  • UserAttemptNumber 用户尝试安装的总次数。
  • WUContentId 此程序包的许可标识。

Microsoft.Windows.StoreAgent.Telemetry.BlockLowPriorityWorkItems

此事件在调用 BlockLowPriorityWorkItems 方法时触发,阻止队列安装 LowPriority 工作项。

包含以下字段:

  • ClientId 调用方的客户端 ID。

Microsoft.Windows.StoreAgent.Telemetry.CancelInstallation

当在交互模式下取消更新或安装时,将会发送此事件。 它可由用户或系统取消。 它用于帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 安装尝试总数。
  • BundleId 与此产品关联的 Windows 预览体验成员版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会自动还原先前获取的产品?
  • IsUpdate 它是否是产品更新?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 要下载和安装的所有数据包的名称。
  • PreviousHResult 先前的 HResult 代码。
  • PreviousInstallState 取消之前的先前安装状态。
  • ProductId 请求安装的一个或多个数据包的名称。
  • RelatedCV 在此产品上执行的先前操作的相关矢量。
  • SystemAttemptNumber 取消之前尝试自动安装的总次数。
  • UserAttemptNumber 取消之前用户尝试安装的总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.EndAcquireLicense

安装产品时,在获取许可证之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 包括适用于组成原子集的每个应用的数据包完整名称集。
  • AttemptNumber 尝试获取产品的总次数。
  • BundleId 捆绑包 ID。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 用于显示操作结果(成功/失败)的 HResult 代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 用户是否已启动安装?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否在设备还原之后发生?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父捆绑包 ID(如果它是捆绑包的一部分的话)。
  • PFN 所安装产品的产品系列名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 系统尝试获取此产品的次数。
  • UserAttemptNumber 用户尝试获取此产品的次数
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.EndDownload

下载应用后发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试次数。
  • BundleId 与此产品关联的 Windows 预览体验成员版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • DownloadSize 下载的总大小。
  • ExtendedHResult 任何扩展的 HResult 错误代码。
  • HResult 所执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 它是否是由用户发起?
  • IsMandatory 这是否是强制安装?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会还原先前获取的产品?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父捆绑包 ID(如果它是捆绑包的一部分的话)。
  • PFN 所下载应用的产品系列名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 系统尝试下载的次数。
  • UserAttemptNumber 用户尝试下载的次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.EndFrameworkUpdate

当应用更新需要更新的框架包并且过程开始下载时,发送此事件。 它用于帮助 Windows 保持最新和安全。

包含以下字段:

  • HResult 在此操作之前执行的上一个操作的结果代码。

Microsoft.Windows.StoreAgent.Telemetry.EndGetFreeEntitlement

遥测会在请求免费应用权利的调用结束时触发,该调用将进行服务器调用以获取权利。

包含以下字段:

  • CampaignId:市场活动营销 ID。
  • HResult:错误结果。
  • StoreId:请求所有权的项的存储目录 ID。
  • UseDeviceId:布尔值,用于选择权利应是设备权利还是用户权利。

Microsoft.Windows.StoreAgent.Telemetry.EndInstall

安装产品后发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试次数。
  • BundleId 与此产品关联的版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • ExtendedHResult 扩展的 HResult 错误代码。
  • HResult 所执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否是交互式安装?
  • IsMandatory 这是否是强制安装?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会自动还原先前获取的产品?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 所安装产品的产品系列名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 系统尝试总次数。
  • UserAttemptNumber 用户尝试总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.EndScanForUpdates

在产品扫描更新以确定是否需要安装数据包之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。

包含以下字段:

  • AutoUpdateWorkScheduledWithUOTime 首次使用 UO 计划工作的时间。 UO 调用 UnblockLowPriorityWorkItems 时删除的值。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 所执行的上一个操作的结果代码。
  • IsApplicability 此请求是否只用于确定是否需要安装任何适用的数据包?
  • IsInteractive 这是否为用户所请求?
  • IsOnline 此请求是否会执行在线检查?
  • NumberOfApplicableUpdates 此操作返回的包数。
  • PFN 计算机上当前安装的应用的 PackageFullName。 此操作正在扫描此应用的更新。 如果操作正在扫描多个应用的更新,则值将为空。

Microsoft.Windows.StoreAgent.Telemetry.EndSearchUpdatePackages

在搜索要安装的更新数据包之后,将会发送此事件。 它用于帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试总次数。
  • BundleId 与此产品关联的版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 所执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会还原先前获取的内容?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 请求安装的一个或多个数据包的名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 系统尝试总次数。
  • UserAttemptNumber 用户尝试总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.EndStageUserData

在恢复需要在产品安装后恢复的用户数据(如果有)后,发送此事件。 它用于使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试总次数。
  • BundleId 与此产品关联的版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 所执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会还原先前获取的内容?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 请求安装的一个或多个数据包的名称。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SystemAttemptNumber 系统尝试总次数。
  • UserAttemptNumber 系统尝试总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.FulfillmentComplete

在应用安装或更新结束时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • CatalogId 从中选择此应用的产品目录的名称。
  • FailedRetry 指示安装或更新重试是否成功。
  • HResult 操作的 HResult 代码。
  • PFN 所安装或更新的应用的包系列名称。
  • ProductId 所更新或安装的应用的产品 ID。

Microsoft.Windows.StoreAgent.Telemetry.FulfillmentInitiate

在应用安装或更新开始时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • CatalogId 从中选择此应用的产品目录的名称。
  • ClientAppId 发起此操作的应用的标识。
  • FulfillmentPluginId 安装产品包类型所需的插件的 ID。
  • InstalledPFuN 已安装并将要更新的应用的包全名。
  • PFN 所安装或更新的应用的包系列名称。
  • PluginTelemetryData 特定于包类型插件的诊断信息。
  • PluginWorkCreationHr 插件工作创建产生的 HResult 错误/成功代码。
  • ProductId 所更新或安装的应用的产品 ID。

Microsoft.Windows.StoreAgent.Telemetry.InstallOperationRequest

启动产品安装或更新时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • BundleId 与此产品关联的版本的标识。
  • CatalogId 如果此产品来自专用目录,则此值为所安装产品的 Microsoft Store 产品 ID。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SkuId 所安装的特定版本 ID。
  • VolumePath 安装的磁盘路径。

Microsoft.Windows.StoreAgent.Telemetry.InstallRequestReceived

当 AppInstallManager 收到产品安装请求时,将发送此事件。

提供有以下字段:

  • ClientId 调用方的客户端 ID。
  • StoreId 所安装产品的Store ID。

Microsoft.Windows.StoreAgent.Telemetry.PauseInstallation

当产品安装或更新因用户或系统原因暂停时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试总次数。
  • BundleId 与此产品关联的版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会还原先前获取的内容?
  • IsUpdate 这是更新吗?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 产品的完整名称。
  • PreviousHResult 在此操作之前执行的上一个操作的结果代码。
  • PreviousInstallState 安装或更新暂停之前的先前状态。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • RelatedCV 在此产品上执行的先前操作的相关矢量。
  • SystemAttemptNumber 系统尝试总次数。
  • UserAttemptNumber 用户尝试总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.QueueStuckError

此事件指示安装队列处于停滞状态。

提供有以下字段:

  • ItemLifetimeInSeconds 自项目创建以来,到出现错误时经过的时间(以秒为单位)。
  • OpenSlots 发生错误时队列中的打开槽数。
  • PendingItems 发生错误时队列中挂起的项数。
  • QueueItems 发生错误时队列中的项数。

Microsoft.Windows.StoreAgent.Telemetry.RestoreDeviceMetrics

此事件提供从可还原应用数据存储返回的应用的信息摘要。

包含以下字段:

  • DeferredAppIds 将在计算机的最佳时间自动安装的备份应用数,由称为通用业务流程协调程序的 Windows 组件的策略确定。
  • DelayedAppIds 将在设备设置一小时后自动安装的备份应用数。
  • NumBackupApps 从可还原应用数据存储返回的应用数。
  • NumCompatibleApps 兼容性服务报告为兼容的备份应用数。
  • NumIncompatibleApps 兼容性服务报告为不兼容的备份应用数。
  • NumProcessedBackupApps 我们已指示 AppRestore 服务为其创建占位符的备份应用数。

Microsoft.Windows.StoreAgent.Telemetry.RestoreError

此事件指示还原兼容性检查期间发生锁定错误。

包含以下字段:

  • ErrorCode 与错误关联的错误代码。
  • ErrorLocation 错误的位置。
  • ErrorMessage 与错误关联的消息。
  • ErrorMethod 发生错误的方法。
  • ErrorName 错误的名称。
  • ErrorType 错误的类型。
  • LineNumber 发生错误的行号。
  • Severity 错误的严重性级别。

Microsoft.Windows.StoreAgent.Telemetry.ResumeInstallation

在用户或系统恢复产品安装或更新时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • AggregatedPackageFullNames 要下载和安装的所有数据包的名称。
  • AttemptNumber 取消之前的重试次数。
  • BundleId 与此产品关联的版本的标识。
  • CategoryId 所安装的一个或多个数据包的标识。
  • ClientAppId 发起此操作的应用的标识。
  • HResult 在此操作之前执行的上一个操作的结果代码。
  • IsBundle 这是否是捆绑包?
  • IsInteractive 这是否为用户所请求?
  • IsMandatory 这是否是强制更新?
  • IsRemediation 这是否会修复先前的安装?
  • IsRestore 这是否会还原先前获取的内容?
  • IsUpdate 这是更新吗?
  • IsUserRetry 用户是否发起了重试?
  • ParentBundleId 父项的产品 ID(如果此产品为捆绑包的一部分)。
  • PFN 请求安装的一个或多个数据包的名称。
  • PreviousHResult 先前的 HResult 错误代码。
  • PreviousInstallState 安装暂停之前的先前状态。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • RelatedCV 恢复之前原始安装的相关矢量。
  • ResumeClientId 启动恢复操作的应用的 ID。
  • SystemAttemptNumber 系统尝试总次数。
  • UserAttemptNumber 用户尝试总次数。
  • WUContentId Windows 更新内容 ID。

Microsoft.Windows.StoreAgent.Telemetry.ResumeOperationRequest

在用户恢复产品安装或更新或在重试安装时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • ProductId 所安装产品的 Microsoft Store 产品 ID。

Microsoft.Windows.StoreAgent.Telemetry.ScheduleWorkWithUO

当我们计划使用 UO 安装和/或更新时,会触发此事件。

提供有以下字段:

  • ClientId 调用方的客户端 ID。

Microsoft.Windows.StoreAgent.Telemetry.SearchForUpdateOperationRequest

搜索要安装的更新包时发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • CatalogId 所安装产品的 Microsoft Store 目录 ID。
  • ProductId 所安装产品的 Microsoft Store 产品 ID。
  • SkuId 要更新的应用的特定版本。

Microsoft.Windows.StoreAgent.Telemetry.StateTransition

正在实施(已安装或已更新)的产品在列表中进行维护。 只要产品的实施状态(待处理、正在工作、已暂停、已取消或完成)发生变化,就会发送此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • CatalogId 如果产品来自专用目录,如企业目录,则为要安装的产品的 ID。
  • FulfillmentPluginId 安装产品包类型所需的插件的 ID。
  • HResult 此操作生成的 HResult 错误/成功代码。
  • NewState 此产品的当前实施状态。
  • PFN 所安装或更新的应用的包系列名称。
  • PluginLastStage 插件报告的最新产品实施步骤(不同于其状态)。
  • PluginTelemetryData 特定于包类型插件的诊断信息。
  • Prevstate 此产品的上一个实施状态。
  • ProductId 所更新或安装的应用的产品 ID。

Microsoft.Windows.StoreAgent.Telemetry.UnblockLowPriorityWorkItems

调用 UnblockLowPriorityWorkItems 方法时会触发此事件,如果启用了 AutoUpdateState,则会将所有 LowPriority 工作项的状态更改为正在工作。

包含以下字段:

  • ClientId 调用方的客户端 ID。

Microsoft.Windows.StoreAgent.Telemetry.UpdateAppOperationRequest

为应用请求更新时会出现此事件,以帮助使 Windows 保持最新和安全。

包含以下字段:

  • PFamN 请求更新的应用的名称。

Windows 更新传递优化事件

Microsoft.OSG.DU.DeliveryOptClient.DownloadCanceled

此事件描述通过传递优化取消下载的时间。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • background 下载是否是在后台完成?
  • bytesFromCacheServer 从缓存主机接收到的字节数。
  • bytesFromCDN 从 CDN 源接收到的字节数。
  • bytesFromGroupPeers 从相同组中的对等方接收到的字节数。
  • bytesFromIntPeers 从非相同 LAN 或相同组中的对等方接收到的字节数。
  • bytesFromLedbat 使用已启用 Ledbat 的连接从源接收的字节数。
  • bytesFromLinkLocalPeers 从本地对等方接收的字节数。
  • bytesFromLocalCache 从本地(磁盘)缓存复制的字节数。
  • bytesFromPeers 从相同 LAN 中的对等方接收到的字节数。
  • cdnErrorCodes 上个 FailureCDNCommunication 事件之后的 CDN 连接错误列表。
  • cdnErrorCounts 遇到 cdnErrorCodes 中的每个错误的次数。
  • cdnIp 源 CDN(内容分发网络)的 IP 地址。
  • cdnUrl 源 CDN(内容分发网络)的 URL。
  • dataSourcesTotal 接收到的每种源类型的字节数(整个会话期间的累计值)。
  • errorCode 返回的错误代码。
  • experimentId 运行测试时,它用于关联属于相同测试的事件。
  • fileID 所下载文件的 ID。
  • isVpn 设备是否已连接到虚拟专用网?
  • jobID Windows 更新作业的标识符。
  • predefinedCallerName API 调用方的名称。
  • reasonCode 操作或事件的发生原因。
  • routeToCacheServer 缓存服务器设置、源和值。
  • sessionID 文件下载会话的 ID。
  • sessionTimeMs 跨多个作业的下载会话的持续时间(以毫秒为单位)。
  • totalTimeMs 下载持续时间(以毫秒为单位)。
  • updateID 所下载更新的 ID。

Microsoft.OSG.DU.DeliveryOptClient.DownloadCompleted

此事件描述通过传递优化完成下载的时间。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • background 此下载是否为后台下载?
  • bytesFromCacheServer 从缓存主机接收到的字节数。
  • bytesFromCDN 从 CDN 源接收到的字节数。
  • bytesFromGroupPeers 从相同域组中的对等方接收到的字节数。
  • bytesFromIntPeers 从非相同 LAN 或相同域组中的对等方接收到的字节数。
  • bytesFromLedbat 使用已启用 Ledbat 的连接从源接收的字节数。
  • bytesFromLinkLocalPeers 从本地对等方接收的字节数。
  • bytesFromLocalCache 从本地(磁盘)缓存复制的字节数。
  • bytesFromPeers 从相同 LAN 中的对等方接收到的字节数。
  • bytesRequested 请求下载的总字节数。
  • cacheServerConnectionCount 与缓存主机的连接数。
  • cdnConnectionCount 与 CDN 的连接总数。
  • cdnErrorCodes 上个 FailureCDNCommunication 事件之后的 CDN 连接错误列表。
  • cdnErrorCounts 遇到 cdnErrorCodes 中的每个错误的次数。
  • cdnIp 源 CDN 的 IP 地址。
  • cdnUrl 源内容分发网络 (CDN) 的 Url。
  • congestionPrevention 指示为防止网络拥塞可能已暂停下载。
  • dataSourcesTotal 接收到的每种源类型的字节数(整个会话期间的累计值)。
  • downlinkBps 测得的最大可用下载带宽(以字节/秒为单位)。
  • downlinkUsageBps 下载速度(以字节/秒为单位)。
  • downloadMode 用于此文件下载会话的下载模式。
  • downloadModeReason 下载的原因。
  • downloadModeSrc DownloadMode 设置的源。
  • experimentId 运行测试时,它用于关联属于相同测试的其他事件。
  • expiresAt 内容将从传递优化缓存中过期的时间。
  • fileID 所下载文件的 ID。
  • fileSize 所下载文件的大小。
  • groupConnectionCount 与相同组中的对等方的连接总数。
  • groupID 表示自定义设备组的 GUID。
  • internetConnectionCount 与非相同 LAN 或相同组中的对等方的连接总数。
  • isEncrypted 如果文件已加密并在下载后进行解密,则为 TRUE。
  • isThrottled 事件率受到限制(事件表示聚合数据)。
  • isVpn 设备是否已连接到虚拟专用网络?
  • jobID Windows 更新作业的标识符。
  • lanConnectionCount 与相同 LAN 中的对等方的连接总数。
  • linkLocalConnectionCount 与同一链接-本地网络中的对等方建立的连接数。
  • numPeers 用于此下载的对等方总数。
  • numPeersLocal 用于此下载的本地对等方的总数。
  • predefinedCallerName API 调用方的名称。
  • restrictedUpload 上传是否受限?
  • routeToCacheServer 缓存服务器设置、源和值。
  • rttMs 到源的最小、最大、平均往返时间。
  • rttRLedbatMs 启用了 Ledbat 的源的最小、最大、平均往返时间。
  • sessionID 下载会话的 ID。
  • sessionTimeMs 会话持续时间(以毫秒为单位)。
  • totalTimeMs 下载持续时长(以秒为单位)。
  • updateID 所下载更新的 ID。
  • uplinkBps 测得的最大可用上传带宽(以字节/秒为单位)。
  • uplinkUsageBps 上传速度(以字节/秒为单位)。

Microsoft.OSG.DU.DeliveryOptClient.DownloadPaused

此事件表示通过传递优化临时挂起下载。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • background 此下载是否为后台下载?
  • cdnUrl 源 CDN(内容分发网络)的 URL。
  • errorCode 返回的错误代码。
  • experimentId 运行测试时,它用于关联属于相同测试的其他事件。
  • fileID 暂停文件的 ID。
  • isVpn 设备是否已连接到虚拟专用网?
  • jobID Windows 更新作业的标识符。
  • predefinedCallerName API 调用方对象的名称。
  • reasonCode 暂停下载的原因。
  • routeToCacheServer 缓存服务器设置、源和值。
  • sessionID 下载会话的 ID。
  • sessionTimeMs 跨多个作业的下载会话的持续时间(以毫秒为单位)。
  • totalTimeMs 下载持续时间(以毫秒为单位)。
  • updateID 暂停更新的 ID。

Microsoft.OSG.DU.DeliveryOptClient.DownloadStarted

此事件发送描述开始新的下载以启用传递优化的数据。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • background 指示下载是否在后台开始。
  • bytesRequested 下载请求的字节数。
  • callerAppPackageName 调用方应用包名称。
  • cdnUrl 源内容分发网络 (CDN) 的 URL。
  • costFlags 用于表示网络成本的一组标志。
  • deviceProfile 标识使用情况或外形规格(例如桌面设备、Xbox 或虚拟机)。
  • diceRoll 用于确定客户端是否将使用对等的随机数。
  • doClientVersion 传递优化客户端的版本。
  • downloadMode 用于此文件下载会话的下载模式(CdnOnly = 0,Lan = 1,Group = 2,Internet = 3,Simple = 99,Bypass = 100)。
  • downloadModeReason 下载的原因。
  • downloadModeSrc DownloadMode 设置的源(KvsProvider = 0,GeoProvider = 1,GeoVerProvider = 2,CpProvider = 3,DiscoveryProvider = 4,RegistryProvider = 5,GroupPolicyProvider = 6,MdmProvider = 7,SettingsProvider = 8,InvalidProviderType = 9)。
  • errorCode 返回的错误代码。
  • experimentId 用于关联 A/B 测试期间属于相同测试的客户端/服务调用的 ID。
  • fileID 所下载文件的 ID。
  • filePath 下载文件将写入的路径。
  • fileSize 已下载的文件的总文件大小。
  • fileSizeCaller 我们的调用方提供的总文件大小的值。
  • groupID 组的 ID。
  • isEncrypted 指示下载是否加密。
  • isThrottled 指示事件率受到限制(事件表示聚合数据)。
  • isVpn 指示设备是否已连接到虚拟专用网。
  • jobID Windows 更新作业的 ID。
  • peerID 此传递优化客户端的 ID。
  • predefinedCallerName API 调用方的名称。
  • routeToCacheServer 缓存服务器设置、源和值。
  • sessionID 文件下载会话的 ID。
  • setConfigs 已设置的配置的 JSON 表示及其来源。
  • updateID 所下载更新的 ID。
  • UusVersion 未停靠的更新堆栈的版本。

Microsoft.OSG.DU.DeliveryOptClient.FailureCdnCommunication

此事件表示通过传递优化从 CDN 中进行的下载失败。 它用于了解和解决与下载相关的问题。 随此事件收集的数据用于帮助使 Windows 保持最新状态。

包含以下字段:

  • cdnHeaders CDN 返回的 HTTP 标题。
  • cdnIp CDN 的 IP 地址。
  • cdnUrl CDN 的 URL。
  • errorCode 返回的错误代码。
  • errorCount 遇到上一个 FailureCdnCommunication 事件之后此错误代码显示的总次数。
  • experimentId 运行测试时,它用于关联属于相同测试的其他事件。
  • fileID 所下载文件的 ID。
  • httpStatusCode CDN 返回的 HTTP 状态代码。
  • isHeadRequest 发送至 CDN 的 HTTP 请求的类型。 示例:HEAD 或 GET
  • peerType 对等的类型(LAN、组、Internet、CDN、缓存主机等)。
  • requestOffset 已发送请求中的文件内的字节偏移量。
  • requestSize 从 CDN 请求的范围大小。
  • responseSize 从 CDN 接收到的范围响应的大小。
  • sessionID 下载会话的 ID。

Windows 更新事件

Microsoft.Windows.Update.Aggregator.UusCoreHealth.HealthAggregatorSummary

此事件是 UUS 运行状况指示器的摘要。

提供有以下字段:

  • Fallback 故障转移信息。
  • FlightId 正在发送的有效负载。
  • IsStable 如果有效负载在映像中,则为布尔值。
  • Lock 锁标识符。
  • UpdateId 更新标识符。
  • UusVersion 未停靠的有效负载的版本。
  • VersionActivationsSinceLastBoot 自上次重新启动以来的激活次数。

Microsoft.Windows.Update.DeviceUpdateAgent.UpdateAgentInitialize

此事件为新设备清单 UUP(统一更新平台)更新方案发送与启动新更新会话相关的数据,它用于安装描述一组驱动程序包的设备清单。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • errorCode 为当前会话初始化返回的错误代码。
  • flightId 每个外部测试版的唯一标识符。
  • flightMetadata 包含进行外部测试的 FlightId 和版本。
  • objectId 每个更新代理模式的唯一值。
  • relatedCV 由最新 USO 扫描生成的相关矢量值。
  • result 更新的初始化阶段的结果。 0 = 成功,1 = 失败,2 = 取消,3 = 阻止,4 = 取消阻止。
  • scenarioId 方案 ID。 示例:MobileUpdate、DesktopLanguagePack、DesktopFeatureOnDemand 或 DesktopDriverUpdate。
  • sessionData 包含用于更新处理 FOD 和 DUIC 代理的指令(如果为其他情况,则为 Null)。
  • sessionId 每个更新代理模式尝试的唯一值。
  • updateId 每个更新的唯一 ID。

Microsoft.Windows.Update.Orchestrator.Client.AppUpdateInstallResult

此事件报告加速应用的安装结果详细信息。

包含以下字段:

  • Completed 安装是否已完成。
  • DeploymentAttempted 是否尝试了部署。
  • DeploymentErrorCode 部署尝试生成的错误代码。
  • DeploymentExtendedErrorCode 部署尝试生成的扩展错误代码。
  • InstallFailureReason 在失败时,报告的 InstallFailureReason。
  • OperationStatus 安装尝试报告的 OperationStatus 结果。
  • Succeeded 安装是否成功。
  • updaterId 与此加速应用关联的 UpdaterId。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。
  • VelocityEnabled 是否启用了加速应用的速度标记。

Microsoft.Windows.Update.Orchestrator.Client.BizCriticalStoreAppInstallAlreadyRunning

此事件指示另一个实例当前正在尝试安装业务关键存储更新。

包含以下字段:

  • UusVersion 当前处于活动状态的 UUS 堆栈版本。

Microsoft.Windows.Update.Orchestrator.Client.BizCriticalStoreAppInstallResult

此事件在安装业务关键存储应用程序后返回结果。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • AppInstallState 应用程序安装状态。
  • HRESULT 安装的结果代码(HResult)。
  • PFN 正在安装的包的包系列名称。
  • updaterId 更新程序的 ID。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。

Microsoft.Windows.Update.Orchestrator.Client.EdgeUpdateResult

此事件发送指示调用边缘更新程序的结果的数据。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • ExitCode 返回的退出代码。
  • HRESULT 操作的结果代码(HResult)。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。
  • VelocityEnabled 指示是否启用速度的标志。
  • WorkCompleted 指示是否已完成工作的标志。

Microsoft.Windows.Update.Orchestrator.Client.MACUpdateInstallResult

此事件报告 MACUpdate 加速应用程序的安装结果详细信息。

提供有以下字段:

  • Completed 指示安装是否完成。
  • DeploymentAttempted 是否尝试了部署。
  • DeploymentErrorCode 部署尝试生成的错误代码。
  • DeploymentExtendedErrorCode 部署尝试生成的扩展错误代码。
  • InstallFailureReason 指示安装失败的原因。
  • IsRetriableError 指示错误是否可重试。
  • OperationStatus 返回由安装尝试报告的操作状态结果。
  • Succeeded 指示安装是否成功。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。
  • VelocityEnabled 指示是否启用 MACUpdate 的速度标记。

Microsoft.Windows.Update.Orchestrator.UpdatePolicyCacheRefresh

此事件发送与是否已在设备上启用更新管理策略相关的数据,以帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • configuredPoliciescount 设备上的策略数。
  • policiesNamevaluesource 策略名称和策略源(组策略、MDM 或外部测试版)。
  • updateInstalluxsetting 指示用户是否已通过用户体验选项设置了策略。
  • UusVersion UUS 的活动版本。

Microsoft.Windows.Update.Orchestrator.Worker.EulaAccepted

指示已接受更新的 EULA。

包含以下字段:

  • HRESULT EULA 接受是否成功。
  • publisherIntent 与更新关联的发布者意向 ID。
  • reason 接受 EULA 的原因。
  • update 已接受 EULA 的更新。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。

Microsoft.Windows.Update.Orchestrator.Worker.OobeUpdateApproved

此事件表示在 OOBE 时间段内批准更新。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • approved:用于确定是否获得批准的标志。
  • provider 与更新批准相关的提供程序。
  • publisherIntent 更新的发布者意向。
  • update 有关更新的其他信息。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。

Microsoft.Windows.Update.Orchestrator.Worker.SetIpuMode

此事件指示提供程序正在设置就地升级模式。

提供有以下字段:

  • flightId 外部测试版标识符。
  • mode 正在设置的值。
  • provider 正在获取值的提供程序。
  • reason 设置值的原因。
  • uniqueId 更新标识符。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。

Microsoft.Windows.Update.Orchestrator.Worker.UpdateActionCritical

此事件通知围绕 OOBE 时间范围执行的更新相关操作。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • action 执行的操作类型(安装或下载等)。
  • connectivity 通知执行此操作时设备是否已连接到网络。
  • freeDiskSpaceInMB 可用磁盘空间量。
  • freeDiskSpaceInMBDelta 可用磁盘空间量。
  • interactive 通知此操作是否是由于用户交互引起的。
  • nextAction 要执行的下一个操作。
  • priority 执行此操作的 CPU 和 IO 优先级。
  • provider 正在调用以执行此操作的提供程序(WU、旧版 UO 提供程序等)。
  • publisherIntent 与更新关联的元数据的 ID。
  • scenario 正在执行的操作的结果。
  • update 更新相关元数据(包括 UpdateId)。
  • uptimeMinutes 当前启动会话中 USO 的持续时间。
  • uptimeMinutesDelta 执行此操作时设备运行时间的变化。
  • UusVersion 当前处于活动状态的 UUS 堆栈版本。
  • wilActivity Wil Activity 相关信息。

Microsoft.Windows.Update.SIHClient.CheckForUpdatesStarted

服务器启动的修复客户端的扫描事件。

包含以下字段:

  • CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EventInstanceID 事件实例的全球唯一标识符。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • TargetMetadataVersion 当前正在下载或已下载的自修复引擎检测到的版本。
  • UusVersion UUS 版本。
  • WUDeviceID 软件分发客户端连接到的服务的标识符(Windows 更新、Windows 应用商店等)。

Microsoft.Windows.Update.SIHClient.CheckForUpdatesSucceeded

服务器启动的修复客户端的扫描事件

包含以下字段:

  • ApplicableUpdateInfo 检测为适用的更新的元数据。
  • CachedEngineVersion 正在使用的引擎 DLL 版本。
  • CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EventInstanceID 事件实例的全球唯一标识符。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 服务器启动的修复客户端的启动事件。
  • TargetMetadataVersion 当前正在下载或已下载的自修复引擎检测到的版本。
  • UusVersion 活动 UUS 版本。
  • WUDeviceID 软件分发客户端连接到的服务的标识符(Windows 更新、Windows 应用商店等)。

Microsoft.Windows.Update.SIHClient.DownloadSucceeded

SIH 客户端上的目标更新的下载进程事件。

包含以下字段:

  • CachedEngineVersion 缓存引擎的版本。
  • CallerApplicationName 发起 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • DownloadType 下载类型。
  • EventInstanceID 正在触发的事件实例的 ID。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • TargetMetadataVersion 要进行更新的元数据版本。
  • UpdateID 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。
  • WUDeviceID 用于标识设备的全局设备 ID。

Microsoft.Windows.Update.SIHClient.TaskRunCompleted

此事件是服务器启动的修复客户端的启动事件。

包含以下字段:

  • CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • CmdLineArgs 调用方传入的命令行参数。
  • EventInstanceID 事件实例的全球唯一标识符。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UusVersion 更新未停靠堆栈的版本。
  • WUDeviceID 软件分发客户端连接到的服务的标识符(Windows 更新、Windows 应用商店等)。

Microsoft.Windows.Update.SIHClient.TaskRunStarted

此事件是服务器启动的修复客户端的启动事件。

包含以下字段:

  • CallerApplicationName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • CmdLineArgs 调用方传入的命令行参数。
  • EventInstanceID 事件实例的全球唯一标识符。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • UusVersion 更新未停靠堆栈的版本。
  • EventInstanceID 软件分发客户端控制的唯一设备 ID。

Microsoft.Windows.Update.Undocked.Brain.ActiveVersionUpdated

更新未停靠的更新堆栈的活动版本时,将触发此事件/

提供有以下字段:

  • Fallback 启动的进程。
  • FlightID 关联的 FlightID。
  • Lock 锁组名称。
  • MinutesSinceInstall 完成进程的时间。
  • Stable 是否是来自稳定版本的 VersionActive。
  • UpdateID 更新标识符。
  • VersionActive UUS 堆栈的当前活动版本。
  • VersionPrevious UUS 堆栈的上一个活动版本。

Microsoft.Windows.Update.Undocked.Brain.FailoverVersionExcluded

此事件指示故障转移尝试排除一个 UUS 版本。

包含以下字段:

  • AlreadyExcluded 布尔。
  • Exception 排除期间遇到的异常。
  • ExclusionReason 排除的原因。
  • Success 成功或失败指示器。
  • VerFailover 故障转移运行所针对的实际 UUS 版本。

Microsoft.Windows.Update.Undocked.UpdateAgent.DownloadRequest

下载未停靠更新代理的请求

包含以下字段:

  • errorCode:错误代码。
  • flightId 包的 FlightID。
  • rangeRequestState 下载范围请求的状态。
  • relatedCV 遥测映射的 CV。
  • result 结果代码。
  • sessionId 日志记录标识。
  • updateId 有效负载的标识符。
  • uusVersion 正在安装的 UUS 堆栈的版本。

Microsoft.Windows.Update.Undocked.UpdateAgent.Initialize

未停靠的更新代理的初始化事件。

包含以下字段:

  • errorCode:错误代码。
  • flightId 包的 FlightID。
  • flightMetadata 元数据。
  • relatedCV 遥测映射的 CV。
  • result 结果代码。
  • sessionData 其他日志记录。
  • sessionId 日志记录标识。
  • updateId 有效负载的标识符。
  • uusVersion 正在安装的 UUS 堆栈的版本。

Microsoft.Windows.Update.Undocked.UpdateAgent.Install

未停靠的更新代理的安装事件。

提供有以下字段:

  • errorCode:错误代码。
  • flightId 包的 FlightID。
  • folderExists 布尔。
  • packageNewer 较新的包版本。
  • relatedCV 遥测映射的 CV。
  • result 结果代码。
  • retryCount 结果计数。
  • sessionId 日志记录标识。
  • updateId 有效负载的标识符。
  • uusVersion 正在安装的 UUS 堆栈的版本。

Microsoft.Windows.Update.Undocked.UpdateAgent.ModeStart

未停靠的更新代理模式启动事件。

提供有以下字段:

  • flightId 包的 FlightID。
  • mode 安装或下载模式。
  • relatedCV 遥测映射的 CV。
  • sessionId 日志记录标识。
  • updateId 有效负载的标识符。
  • uusVersion 正在安装的 UUS 堆栈的版本。

Microsoft.Windows.Update.Undocked.UpdateAgent.Payload

未停靠的更新代理的有效负载事件。

包含以下字段:

  • errorCode:错误代码。
  • fileCount 要下载的文件数。
  • flightId 包的 FlightID。
  • mode 安装或下载模式。
  • relatedCV 遥测映射的 CV。
  • result 结果代码。
  • sessionId 日志记录标识。
  • updateId 有效负载的标识符。
  • uusVersion 正在安装的 UUS 堆栈的版本。

Microsoft.Windows.Update.WUClient.CheckForUpdatesCanceled

该事件检查 Windows 更新客户端上取消的更新。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • AADDeviceTicketResult 标识 AAD 设备令牌获取的结果。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • NumFailedAudienceMetadataSignatures 对于已同步的新元数据来说,失败的受众发布者意图元数据签名检查的数量。
  • NumFailedMetadataSignatures 对已同步的新元数据下载来说,失败的元数据签名检查数量。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • SyncType 描述此事件的扫描类型(1-完全同步、2-Delta 同步、3-完整 CatScan 同步、4-Delta CatScan 同步)。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.CheckForUpdatesFailed

此事件检查Windows 更新客户端上的更新失败。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • AADDeviceTicketResult 标识 AAD 设备令牌获取的结果。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • FailedUpdateInfo 有关更新失败的信息。
  • HandlerInfo 与处理程序相关的 Blob 信息。
  • HandlerType 处理程序的名称。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • NumFailedAudienceMetadataSignatures 对于已同步的新元数据来说,失败的受众发布者意图元数据签名检查的数量。
  • NumFailedMetadataSignatures 对已同步的新元数据下载来说,失败的元数据签名检查数量。
  • Props 与 Windows 更新请求关联的其他标志的位掩码(IsInteractive、IsSeeker、AllowCachedResults、DriverSyncPassPerformed、IPv4、IPv6、Online、ExtendedMetadataIncl、WUfb)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • SyncType 描述此事件的扫描类型(1-完全同步、2-Delta 同步、3-完整 CatScan 同步、4-Delta CatScan 同步)。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • UusVersion 活动 UUSVersion。

Microsoft.Windows.Update.WUClient.CheckForUpdatesRetry

此事件检查Windows 更新客户端上的更新重试。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • SyncType 描述此事件的扫描类型(1-完全同步、2-Delta 同步、3-完整 CatScan 同步、4-Delta CatScan 同步)。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClient.CheckForUpdatesScanInitFailed

此事件检查Windows 更新客户端上的更新初始化失败。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • AADDeviceTicketResult 标识 AAD 设备令牌获取的结果。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • NumFailedAudienceMetadataSignatures 对于已同步的新元数据来说,失败的受众发布者意图元数据签名检查的数量。
  • NumFailedMetadataSignatures 对已同步的新元数据下载来说,失败的元数据签名检查数量。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • SyncType 描述扫描事件的类型。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.CheckForUpdatesServiceRegistrationFailed

此事件检查Windows 更新客户端的服务注册失败更新。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • AADDeviceTicketResult 标识 AAD 设备令牌获取的结果。
  • CallerName 对于面向特定设备模型的驱动程序,这是分发到设备的驱动程序的版本版本。
  • Context 失败的上下文。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • NumFailedAudienceMetadataSignatures 对于已同步的新元数据来说,失败的受众发布者意图元数据签名检查的数量。
  • NumFailedMetadataSignatures 对于已同步的新元数据下载来说,失败的受众发布者意图元数据签名检查的数量。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • SyncType 描述扫描事件的类型。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.CheckForUpdatesSucceeded

此事件检查Windows 更新客户端上是否成功更新。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • AADDeviceTicketInfo 标识 AAD 设备令牌获取的结果。
  • AADDeviceTicketResult 标识 AAD 设备令牌获取的结果。
  • ApplicableUpdateInfo 检测为适用的更新的元数据。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • HandlerInfo HandlerInfo Blob。
  • HandlerType HandlerType blob。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • NumberOfApplicableUpdates 检测过程完成后最终认为适用于系统的更新数。
  • NumFailedAudienceMetadataSignatures 对于已同步的新元数据来说,失败的受众发布者意图元数据签名检查的数量。
  • NumFailedMetadataSignatures 对已同步的新元数据下载来说,失败的元数据签名检查数量。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • ServiceUrl 针对其配置为扫描设备的环境 URL。
  • SyncType 描述此事件的扫描类型(1-完全同步、2-Delta 同步、3-完整 CatScan 同步、4-Delta CatScan 同步)。
  • UusVersion 活动 UUS 版本。
  • WUFBInfo WufBinfoBlob。

Microsoft.Windows.Update.WUClient.CommitFailed

此事件检查Windows 更新客户端上的失败提交。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 指示事件的用途 - 是否因为扫描已启动、成功、失败等。
  • ExtendedStatusCode 可能的值为"Child"、"Bundle"、"Release"或"Driver"。
  • FlightId StatusCode 不够具体的某些方案的辅助状态代码。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.CommitStarted

此事件跟踪Windows 更新客户端上的提交启动事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 当前活动 UUS 版本。

Microsoft.Windows.Update.WUClient.CommitSucceeded

当软件更新客户端尝试更新设备时,此事件用于跟踪更新安装后的提交成功过程。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 指示事件的用途 - 扫描是否已启动、成功、失败等。
  • FlightId StatusCode 不够具体的某些方案的辅助状态代码。
  • HandlerType 设备所获得的外部测试版的特定 ID。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.DownloadCanceled

此事件跟踪更新客户端尝试更新设备时已取消下载的事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 发出Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • DownloadPriority 指示下载活动的优先级。
  • DownloadStartTimeUTC 下载开始时间,用于度量会话的长度。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerInfo HandlerInfo Blob。
  • HandlerType HandlerType Blob。
  • HostName 标识主机名。
  • NetworkCost 标识网络成本。
  • NetworkRestrictionStatus 下载完成后,标识网络交换机是否被限制。
  • Props 与下载请求关联的其他标志的位掩码。
  • Reason 取消原因信息。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.DownloadFailed

当更新客户端尝试更新设备时,此事件跟踪下载失败事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 发出Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId 提供有关用于报告的分发堆栈的上下文。
  • DownloadPriority 指示下载活动的优先级。
  • DownloadStartTimeUTC 开始时间,用于度量会话长度。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerInfo HandlerInfo Blob。
  • HandlerType HandlerType Blob。
  • HostName 标识主机名。
  • NetworkCost 标识网络成本。
  • NetworkRestrictionStatus 下载完成后,标识网络交换机是否被限制。
  • Props 提交属性 (MergedUpdate)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.DownloadPaused

暂停下载阶段时会触发此事件。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • DownloadPriority 指示下载活动的优先级。
  • EventType 指示事件的用途 - 是否因为扫描已启动、成功、失败等。
  • FlightId StatusCode 不够具体的某些方案的辅助状态代码。
  • HandlerInfo 与处理程序相关的 Blob 信息。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)
  • RegulationResult 上次尝试联系监督 Web 服务以对更新内容进行下载监督时产生的结果代码 (HResult)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClient.DownloadQueued

当更新客户端尝试更新设备时,此事件跟踪下载排队事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • DownloadPriority 指示下载活动的优先级。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerInfo 与处理程序相关的 Blob 信息。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)
  • QueuedReason 下载已排队的原因。
  • RegulationResult 上次尝试联系监督 Web 服务以对更新内容进行下载监督时产生的结果代码 (HResult)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClient.DownloadResumed

当从暂停状态继续下载内容时,会触发此事件。

提供有以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • DownloadPriority 指示下载活动的优先级。
  • EventType 指示事件的用途 - 是否因为扫描已启动、成功、失败等。
  • FlightId StatusCode 不够具体的某些方案的辅助状态代码。
  • HandlerInfo 与处理程序相关的 Blob 信息。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)
  • RegulationResult 上次尝试联系监督 Web 服务以对更新内容进行下载监督时产生的结果代码 (HResult)。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClient.InstallCanceled

此事件跟踪更新客户端尝试更新设备时已取消安装的事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 安装属性 (UsedSystemVolume, MergedUpdate, IsSuccessFailurePostReboot, isInteractive)
  • Reason 安装已取消的原因。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.InstallFailed

当更新客户端尝试更新设备时,此事件跟踪安装失败事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerInfo 处理程序特定信息。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 安装属性 (UsedSystemVolume, MergedUpdate, IsSuccessFailurePostReboot, isInteractive)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UndockedComponents 有关未停靠的组件的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion UUS 版本。

Microsoft.Windows.Update.WUClient.InstallRebootPending

当更新客户端尝试更新设备时,此事件跟踪安装重启挂起事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 安装属性 (UsedSystemVolume, MergedUpdate, IsSuccessFailurePostReboot, isInteractive)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.InstallStarted

当更新客户端尝试更新设备时,该事件跟踪安装启动事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 安装属性 (UsedSystemVolume, MergedUpdate, IsSuccessFailurePostReboot, isInteractive)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.InstallSucceeded

当更新客户端尝试更新设备时,该事件跟踪成功的安装事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerInfo 处理程序特定的数据点。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 安装属性 (UsedSystemVolume, MergedUpdate, IsSuccessFailurePostReboot, isInteractive)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • UndockedComponents 有关未停靠的组件的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.RevertFailed

当更新客户端尝试更新设备时,此事件跟踪还原失败事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 提交属性 (MergedUpdate)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClient.RevertStarted

此事件跟踪更新客户端尝试更新设备时还原已启动的事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 还原属性 (MergedUpdate)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClient.RevertSucceeded

当更新客户端尝试更新设备时,该事件跟踪成功的还原事件。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BundleId 与特定内容捆绑包关联的标识符;如果找到 bundleID,则此值不应全部为零。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ClassificationId:更新内容的分类标识符。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • HandlerType 指示内容的类型(应用、驱动程序、Windows 路径等)。
  • Props 还原属性 (MergedUpdate)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • UndockedComponents 由 Id、HR、ModuleVer、LoadProps 和 Path 组成的与 Undocked 组件相关的信息。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClientExt.DownloadCheckpoint

这是 UUP 内容的Windows 更新下载阶段之间的检查点事件。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • FileId 已下载文件的唯一标识符。
  • FileName 已下载文件的名称。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClientExt.DownloadHeartbeat

此事件允许持续下载跟踪并包含介绍当前下载状态的数据。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • BytesTotal 为此内容传输的总字节数。
  • BytesTransferred 在检测信号时为此内容传输的总字节数。
  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • ConnectionStatus 指示在检测信号时设备的连接状态。
  • CurrentError 活动下载遇到的最后一个(瞬态)错误。
  • DownloadHBFlags 指示是否忽略电源状态的标记。
  • DownloadState 此内容的活动下载的当前状态(排队、挂起、正在进行)。
  • EventType 可能的值为“Child”、“Bundle”、“Release”或“Driver”。
  • FlightId 设备所获得的外部测试版的特定 ID。
  • MOAppDownloadLimit 移动运营商对应用程序下载大小设定的上限(如有)。
  • MOUpdateDownloadLimit 移动运营商对操作系统更新下载大小设定的上限(如有)。
  • PowerState 指示在检测信号时设备的电源状态(直流、交流、节电模式、连接待机)。
  • Props 提交属性 (MergedUpdate)
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • ResumeCount 此活动下载从挂起状态恢复的次数。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • SuspendCount 此活动下载进入挂起状态的次数。
  • SuspendReason 此活动下载进入挂起状态的最后原因。
  • updateId 与某条特定内容关联的标识符。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClientExt.UpdateMetadataIntegrityFragmentSigning

此事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EndpointUrl 客户端在其中获取更新元数据的终结点的 URL。 用来标识测试、暂存、生产环境。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • LeafCertId 失败的证书 FragmentSigning 数据中的IntegralID。
  • ListOfSHA256OfIntermediateCerData 中间证书数据的 Base64 字符串的列表。
  • MetadataIntegrityMode 与更新元数据(由版本 ID 指定)关联的 Base64 签名字符串。
  • RawMode SLS 响应中的原始未分析模式字符串。 如果不适用,则为 Null。
  • RawValidityWindowInDays 验证时间戳时有效的原始未分析的有效性窗口字符串。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • SHA256OfLeafCerData 叶证书数据的哈希的 Base64 字符串。
  • SLSPrograms 可能选择计算机的测试程序。 示例包括“Canary”和“Insider Fast”。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UusVersion 活动 UUS 版本。

Microsoft.Windows.Update.WUClientExt.UpdateMetadataIntegrityGeneral

确保 Windows 更新安全并完成。 事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EndpointUrl 确保 Windows 更新安全并完成。 事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知,1 - 忽略,2 - 审核,3 - 强制执行
  • RawMode SLS 响应中的原始未分析模式字符串。 如果不适用,可能返回 null。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • SLSPrograms 可能选择计算机的测试程序。 示例包括“Canary”和“Insider Fast”。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClientExt.UpdateMetadataIntegritySignature

此事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EndpointUrl 客户端在其中获取更新元数据的终结点的 URL。 用来标识测试、暂存、生产环境。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • LeafCertId 失败的证书 FragmentSigning 数据中的IntegralID。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知、1 - 忽略、2 - 审核、3 - 强制执行。
  • MetadataSignature 与更新元数据(由版本 ID 指定)关联的 Base64 签名字符串。
  • RawMode SLS 响应中的原始未分析模式字符串。 如果不适用,则为 Null。
  • RevisionId 标识这条特定内容的版本。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • SHA256OfLeafCertPublicKey 叶证书公钥的哈希的 Base64 字符串。
  • SHA256OfTimestampToken 时间戳令牌 Blob 的 Base64 哈希字符串。
  • SignatureAlgorithm 元数据签名的哈希算法。
  • SLSPrograms 可能选择计算机的测试程序。 示例包括“Canary”和“Insider Fast”。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • TimestampTokenId 创建的使用时间戳 Blob 编码的时间。 如果令牌格式不正确并且解码失败,此值将归零。
  • UpdateID 更新 ID 和版本号字符串。
  • UusVersion 更新未停靠堆栈的版本。

Microsoft.Windows.Update.WUClientExt.UpdateMetadataIntegrityTimestamp

此事件帮助标识更新内容是否已遭到篡改并防止受到中间人攻击。 随此事件收集的数据用于帮助使 Windows 保持安全和最新状态。

包含以下字段:

  • CallerName 发出 Windows 更新请求的应用程序的名称。 用于标识请求的上下文。
  • EndpointUrl 客户端在其中获取更新元数据的终结点的 URL。 用来标识测试、暂存、生产环境。
  • ExtendedStatusCode StatusCode 不够具体的特定方案的二级状态代码。
  • MetadataIntegrityMode 更新传输元数据完整性检查的模式。 0 - 未知,1 - 忽略,2 - 审核,3 - 强制执行
  • RawMode SLS 响应中的原始未分析模式字符串。 如果不适用,则为 Null。
  • ServiceGuid 软件分发客户端所连接至的服务(Windows 更新、Microsoft Store 等)的标识符。
  • SHA256OfTimestampToken 时间戳令牌 Blob 的 Base64 哈希字符串。
  • SLSPrograms 可能选择计算机的测试程序。 示例包括“Canary”和“Insider Fast”。
  • StatusCode 事件(成功、取消、失败代码 HResult)的结果代码。
  • TimestampTokenId 创建的使用时间戳 Blob 编码的时间。 如果令牌本身格式不正确并且解码失败,此值将归零。
  • UusVersion 活动 UUS 版本。
  • ValidityWindowInDays 验证时间戳时处于有效状态的有效期范围。

Microsoft.Windows.Update.WUClientExt.UUSLoadModuleFailed

这是 UUSLoadModule 失败事件,用于跟踪加载未停靠组件的故障。 随此事件收集的数据用于帮助使 Windows 保持最新状态和安全。

包含以下字段:

  • ModulePath 未停靠模块的路径。
  • ModuleVersion 未停靠模块的版本。
  • Props 用于加载未挂接模块相关标志的位掩码。
  • RelatedCV 在换成新矢量之前客户端使用的先前的相关矢量。
  • StatusCode 未停靠模块加载操作的结果。
  • UusSessionID用于创建 UUS 会话的唯一 ID。
  • UusVersion 活动 UUS 版本。

Winlogon 事件

Microsoft.Windows.Security.Winlogon.SetupCompleteLogon

此事件标志着设置流程完成。 它只会在首次登录时发生一次。