Windows10, version1709 amélioration des événements et des champs de télémétrie utilisés par Windows Analytics

S’applique à

  • Windows10, version1709 et versions ultérieures

Les rapports d'intégrité de l’appareil Windows Analytics sont alimentés par des données de diagnostic non incluses dans le niveau De base. Cela inclut les rapports d’incidents et certains événements de télémétrie du système d’exploitation. Les organisations envoyant des données de diagnostic du niveau Avancé ou Complet pouvaient participer à l’intégrité de l’appareil, mais certaines organisations qui nécessitaient une documentation détaillée au niveau de l'événement et du champ ne pouvaient pas passer du niveau De base à Avancé.

Dans Windows10, version1709, nous présentons une nouvelle fonctionnalité: «Limitez les données de diagnostic améliorées au minimum nécessaire pour Windows Analytics». Lorsqu'elle est activée, cette fonctionnalité limite les événements de télémétrie du système d’exploitation inclus dans le niveau Avancé à ceux décrits ci-dessous. Notez que le niveau Avancé inclut également des rapports d'incidents limités, qui ne sont pas décrits ci-dessous. Pour plus d’informations sur le niveau Avancé, voir Configurer la télémétrie Windows dans votre organisation.

KernelProcess.AppStateChangeSummary

Cet événement récapitule les caractéristiques de performance et d’utilisation d'application pour aider Microsoft à améliorer les performances et la fiabilité. Les organisations peuvent utiliser cet événement avec Windows Analytics pour obtenir des informations sur la fiabilité des applications.

Vous pouvez utiliser les champs suivants:

  • CommitChargeAtExit_Sum: charge totale de mémoire dédiée pour un processus lors de son arrêt
  • CommitChargePeakAtExit_Sum: charge totale de mémoire dédiée maximale pour un processus lors de son arrêt
  • ContainerId: ID du conteneur de silo de serveurs
  • CrashCount: nombre d'incidents pour une instance de processus
  • CycleCountAtExit_Sum: total des cycles de processeur pour un processus lors de son arrêt
  • ExtraInfoFlags: indicateurs indiquant les états internes de la journalisation
  • GhostCount_Sum: nombre total d'instances où l’application a cessé de répondre
  • HandleCountAtExit_Sum: nombre total de handles pour un processus lors de son arrêt
  • HangCount_Max: nombre maximal de blocages détectés
  • HangCount_Sum: nombre total de blocages d’application détectés
  • HardFaultCountAtExit_Sum: nombre total de défauts de page matériels détectés pour un processus lors de son arrêt
  • HeartbeatCount: pulsations enregistrées pour ce résumé
  • HeartbeatSuspendedCount: pulsations enregistrées pour ce résumé où le processus a été suspendu
  • LaunchCount: nombre d’instances de processus démarrées
  • LicenseType: réservé à une utilisation future
  • ProcessDurationMS_Sum: durée totale des instances de processus d'horloge
  • ReadCountAtExit_Sum: total des lectures d'E/S pour un processus lors de son arrêt
  • ReadSizeInKBAtExit_Sum:taille totale des lectures d'E/S pour un processus lors de son arrêt
  • ResumeCount: nombre de fois où une instance de processus a repris
  • RunningDurationMS_Sum: durée de fonctionnement totale
  • SuspendCount: nombre de fois où une instance de processus a été suspendue
  • TargetAppId: identificateur de l'application
  • TargetAppType: type de l'application
  • TargetAppVer: version de l'application
  • TerminateCount: nombre de fois où un processus s’est arrêté
  • WriteCountAtExit_Sum: nombre total d'écritures d'E/S pour un processus lors de son arrêt
  • WriteSizeInKBAtExit_Sum: taille totale des écritures d'E/S pour un processus lors de son arrêt

Microsoft.OSG.OSS. CredProvFramework.ReportResultStop

Cet événement indique le résultat d’une tentative d’authentifier un utilisateur avec un fournisseur d’informations d’identification. Il permet à Microsoft d'améliorer la fiabilité d’ouverture de session. L'utilisation de cet événement avec Windows Analytics permet aux organisations d'analyser et d'améliorer le taux de réussite de l'ouverture de session pour différentes méthodes (par exemple, biométrique) sur les appareils gérés.

Vous pouvez utiliser les champs suivants:

  • CredTileProviderId: ID du fournisseur d’informations d’identification
  • IsConnectedUser: indicateur indiquant si un utilisateur est connecté ou non
  • IsPLAPTile: indicateur indiquant si cette vignette d’informations d’identification est un fournisseur d’accès avant ouverture de session ou non
  • IsRemoteSession: indicateur indiquant si la session est distante ou non
  • IsV2CredProv: indicateur indiquant si le fournisseur d’informations d’identification est V2 ou non
  • OpitonalStatusText: texte d’état
  • ProcessImage: chemin d'accès à l'image du processus
  • ProviderId: ID du fournisseur d'informations d’identification
  • ProviderStatusIcon: indique l’icône d’état qui doit être affichée
  • ReturnCode: sortie de la fonction ReportResult
  • SessionId: identificateur de la session
  • État d’erreur de connexion: l'état d’erreur de connexion
  • SubStatus: sous-état d'erreur de connexion
  • UserTag: nombre de fois où un utilisateur a sélectionné un fournisseur

Microsoft.Windows.Kernel.Power.OSStateChange

Cet événement indique la transition entre les états du système d’exploitation (par exemple: marche, arrêt, veille, etc.). Les organisations peuvent utiliser cet événement avec Windows Analytics pour surveiller la fiabilité et les performances des appareils gérés

Vous pouvez utiliser les champs suivants:

  • AcPowerOnline: Si «TRUE», l’appareil utilise l’alimentation secteur. Si «FALSE», l’appareil fonctionne sur batterie.
  • ActualTransitions: nombre de transitions entre les états du système d’exploitation depuis le dernier démarrage du système
  • BatteryCapacity: capacité maximale de la batterie en mWh
  • BatteryCharge: charge actuelle de la batterie sous forme de pourcentage de la capacité totale
  • BatteryDischarging: indicateur indiquant si la batterie se décharge ou est en cours de chargement
  • BootId: nombre total de démarrages depuis que le système d’exploitation a été installé
  • BootTimeUTC: date et heure d’un événement de démarrage spécifique (identifié par BootId)
  • EnergyChangeV2: valeur de capture instantanée en mWh reflétant une modification de la consommation d’énergie
  • EnergyChangeV2Flags: indicateurs pour lever les ambiguïtés liées au contexte EnergyChangeV2
  • EventSequence: numéro séquentiel utilisé pour évaluer l'exhaustivité des données
  • LastStateTransition: ID de la dernière transition d’état du système d’exploitation
  • LastStateTransitionSub: ID de la dernière transition de sous-état du système d’exploitation
  • StateDurationMS: nombre de millisecondes passées dans le dernier état du système d’exploitation
  • StateTransition: ID de l'état vers lequel le système d’exploitation bascule
  • StateTransitionSub: ID du sous-état vers lequel le système d’exploitation bascule
  • TotalDurationMS: durée totale (en millisecondes) passée dans tous les états depuis le dernier démarrage
  • TotalUptimeMS: durée totale (en millisecondes) passée par l’appareil dans les états En fonctionnement ou En cours d’exécution depuis le dernier démarrage
  • TransitionsToOn: nombre de passages à l’état Sous tension depuis le dernier démarrage
  • UptimeDeltaMS: temps total (en millisecondes) ajouté à la Durée de fonctionnement depuis le dernier événement

Microsoft.Windows.LogonController.LogonAndUnlockSubmit

Envoie les détails de l’utilisateur qui essaie de se connecter à l’appareil ou de le déverrouiller.

Vous pouvez utiliser les champs suivants:

  • isSystemManagedAccount: indique si le compte d’utilisateur est géré par le système
  • isUnlockScenario: indicateur indiquant si l’événement est une ouverture de session ou un déverrouillage
  • PartA_UserSid l'identificateur de sécurité de l'utilisateur
  • userType: indique le type d’utilisateur: 0 = inconnu; 1 = local; 2 = utilisateur de domaine ActiveDirectory; 3 = compte Microsoft; 4 = utilisateur Azure ActiveDirectory

Microsoft.Windows.LogonController.SignInFailure

Envoie des détails sur les codes d’erreur détectés lors d’un échec de connexion.

Vous pouvez utiliser les champs suivants:

  • ntsStatus: l'état de code d'erreur NTSTATUS renvoyé à partir d’une tentative de connexion
  • ntsSubstatus: le sous-état de code d'erreur NTSTATUS renvoyé à partir d’une tentative de connexion

Microsoft.Windows.Security.Biometrics.Service.BioServiceActivityCapture

Indique qu’une capture biométrique a été comparée aux modèles connus

Vous pouvez utiliser les champs suivants:

  • captureDetail: résultat d'une capture biométrique, comparé à une inscription ou à une erreur
  • captureSuccessful: indique si une capture biométrique a été comparée avec succès ou non
  • hardwareId: ID du capteur qui a collecté la capture biométrique
  • isSecureSensor: indicateur indiquant si un capteur biométrique était en mode de sécurité renforcée
  • isTrustletRunning: indique si un composant de sécurité renforcée est en cours d’exécution
  • isVsmCfg: indicateur indiquant si le mode sécurisé virtuel est configuré ou non

Microsoft.Windows.Security.Certificates.PinRulesCaCertUsedAnalytics

Les événements Microsoft.Windows.Security.Certificates.Pin*Analytics résument les certificats de serveur rencontrés par le client. En utilisant cet événement avec Windows Analytics, les organisations peuvent déterminer la portée et l’impact potentiels des révocations ou expirations de certificats en attente.

Vous pouvez utiliser les champs suivants:

  • certBinary: objet blob binaire de certificat public présenté au client (n’inclut pas les clés privées)
  • certThumbprint: empreinte de certificat

Microsoft.Windows.Security.Certificates.PinRulesCheckedAnalytics

Les événements Microsoft.Windows.Security.Certificates.Pin*Analytics résument les certificats de serveur rencontrés par le client. En utilisant cet événement avec Windows Analytics, les organisations peuvent déterminer la portée et l’impact potentiels des révocations ou expirations de certificats en attente.

Vous pouvez utiliser les champs suivants:

  • caThumbprints: empreintes de certificat intermédiaires
  • rootThumbprint: empreinte de certificat racine
  • serverName: nom de serveur associé au certificat
  • serverThumbprint: empreinte de certificat serveur
  • statusBits: état du certificat

Microsoft.Windows.Security.Certificates.PinRulesServerCertUsedAnalytics

Les événements Microsoft.Windows.Security.Certificates.Pin*Analytics résument les certificats de serveur rencontrés par le client. En utilisant cet événement avec Windows Analytics, les organisations peuvent déterminer la portée et l’impact potentiels des révocations ou expirations de certificats en attente.

Vous pouvez utiliser les champs suivants:

  • certBinary: objet blob binaire de certificat public présenté au client (n’inclut pas les clés privées)
  • certThumbprint: empreinte de certificat

Microsoft.Windows.Security.Winlogon.SystemBootStop

Le démarrage du système est terminé.

Vous pouvez utiliser le champ suivant:

  • ticksSinceBoot: durée de l’événement de démarrage (millisecondes)

Microsoft.Windows.Shell.Desktop.LogonFramework.AllLogonTasks

Cet événement récapitule la procédure d’ouverture de session pour aider Microsoft à améliorer les performances et la fiabilité. L'utilisation de cet événement avec Windows Analytics permet aux organisations d'identifier les problèmes d’ouverture de session sur les appareils gérés.

Vous pouvez utiliser les champs suivants:

  • isAadUser: indique si l’ouverture de session actuelle concerne un compte Azure ActiveDirectory
  • isDomainUser: indique si l’ouverture de session actuelle concerne un compte de domaine
  • isMSA: indique si l’ouverture de session actuelle concerne un compte Microsoft
  • logonOptimizationFlags: indicateurs indiquant les paramètres d’optimisation pour cette session ouverte
  • logonTypeFlags: indicateurs indiquant le type d’ouverture de session (première ouverture de session ou ouverture de session ultérieure)
  • systemManufacturer: fabricant de l’appareil
  • systemProductName: nom de produit de l’appareil
  • wilActivity: indique les erreurs dans la tâche pour aider Microsoft à améliorer la fiabilité.

Microsoft.Windows.Shell.Desktop.LogonFramework.LogonTask

Cet événement décrit les tâches système qui font partie de la séquence d’ouverture de session utilisateur et aide Microsoft à améliorer la fiabilité.

Vous pouvez utiliser les champs suivants:

  • isStartWaitTask: indicateur indiquant si la tâche démarre une tâche en arrière-plan
  • isWaitMethod: indicateur indiquant que la tâche est en attente sur une tâche en arrière-plan
  • logonTask: indique l'étape d’ouverture de session actuellement en cours
  • wilActivity: indique les erreurs dans la tâche pour aider Microsoft à améliorer la fiabilité.

Microsoft.Windows.Shell.Explorer.DesktopReady

L’initialisation de l’Explorateur est terminée.

Microsoft-Windows-Security-EFS-EDPAudit-ApplicationLearning.EdpAuditLogApplicationLearning

Pour un appareil soumis à la stratégie de Protection des informations Windows, les événements de formation sont générés lorsqu’une application rencontre une limite de stratégie (par exemple, en essayant d’ouvrir un document de travail à partir d’une application personnelle). Ces événements aident l’administrateur de la Protection des informations Windows à adapter les règles de stratégie et à empêcher les interruptions utilisateur inutiles.

Vous pouvez utiliser les champs suivants:

  • actiontype: indique le type d’accès aux ressources tenté par l’application (par exemple, l’ouverture d’un document local ou d'une ressource réseau) lorsqu’elle a rencontré une limite de la stratégie. Utile pour les administrateurs de la Protection des informations Windows pour adapter les règles de stratégie.
  • appIdType: en fonction du type d’application, cela indique le type de règle d’application qu'un administrateur de la Protection des informations Windows doit créer pour cette application.
  • appname: application qui a déclenché l’événement
  • état: indique si les erreurs se sont produites au cours des événements de formation de la Protection des informations Windows

Win32kTraceLogging.AppInteractivitySummary

Résume les fenêtres d'application en cours d'utilisation (par exemple, qui ont le focus) pour aider Microsoft à améliorer la compatibilité et l’expérience utilisateur. Permet également aux organisations (à l’aide de Windows Analytics) de comprendre et d'améliorer la fiabilité des applications sur les appareils gérés.

Vous pouvez utiliser les champs suivants:

  • AggregationDurationMS: durée réelle de la période d’agrégation (en millisecondes)
  • AggregationFlags: indicateurs indiquant des paramètres d’agrégation
  • AggregationPeriodMS: durée prévue de la période d’agrégation (en millisecondes)
  • AggregationStartTime: date et heure de l’agrégation AppInteractivity
  • AppId: ID d’Application pour l’utilisation
  • AppSessionId: GUID qui identifie la session de l’utilisation de l’application
  • AppVersion: version de l’application qui a généré cet événement
  • AudioInMS: durée de capture audio (en millisecondes)
  • AudioOutMS: durée de lecture audio (en millisecondes)
  • BackgroundMouseSec: indique qu'il s'est produit un événement de pointage de la souris pendant que l’application était en arrière-plan
  • BitPeriodMS: longueur de la période représentée par InFocusBitmap
  • CommandLineHash: hachage de la ligne de commande
  • CompositionDirtyGeneratedSec: représente la durée (en secondes) pendant laquelle l’application active a signalé qu’elle avait une mise à jour
  • CompositionDirtyPropagatedSec: durée totale (en secondes) pendant laquelle un processus distinct avec des éléments visuels hébergés dans une application a signalé des mises à jour
  • CompositionRenderedSec: durée (en secondes) pendant laquelle le contenu d’une application a été affiché
  • EventSequence: [plus d'informations nécessaires]
  • FocusLostCount: nombre de fois où une application a perdu le focus pendant la période d’agrégation
  • GameInputSec: durée (en secondes) pendant laquelle une entrée utilisateur s'est produite à l’aide d’une manette de jeu
  • HidInputSec: durée (en secondes) pendant laquelle une entrée utilisateur s'est produite à l’aide d’appareils autres qu'une manette de jeu
  • InFocusBitmap: séries de bits représentant l’application ayant et perdant le focus
  • InFocusDurationMS: durée totale (en millisecondes) pendant laquelle l’application a eu le focus
  • InputSec: nombre total de secondes pendant lesquelles une entrée utilisateur s'est produite
  • InteractiveTimeoutPeriodMS: durée totale (en millisecondes) pendant laquelle l'inactivité a fait expiré les sessions d'interactivité
  • KeyboardInputSec: nombre total de secondes pendant lesquelles une entrée de clavier s'est produite
  • MonitorFlags: indicateurs indiquant l'usage par une application d'un ou de plusieurs écran individuels
  • MonitorHeight: nombre de pixels verticaux dans la résolution d’écran hôte de l'application
  • MonitorWidth: nombre de pixels horizontaux dans la résolution d’écran hôte de l'application
  • MouseInputSec: nombre total de secondes pendant lesquelles une entrée de souris s'est produite
  • NewProcessCount: nombre de nouveaux processus faisant partie de l’agrégat
  • PartATransform_AppSessionGuidToUserSid: indicateur qui influence la construction des autres parties de l’événement
  • PenInputSec: nombre total de secondes pendant lesquelles une entrée de stylet s'est produite
  • SpeechRecognitionSec: nombre total de secondes de reconnaissance vocale
  • SummaryRound: numéro à incrémentation indiquant la série (lot) en cours de synthèse
  • TargetAsId: indicateur qui influence la construction des autres parties de l’événement
  • TotalUserOrDisplayActiveDurationMS: durée totale pendant laquelle l’utilisateur ou l’écran était actif (en millisecondes)
  • TouchInputSec: nombre total de secondes pendant lesquelles une entrée tactile s'est produite
  • UserActiveDurationMS: durée totale pendant laquelle l’utilisateur était actif en incluant toutes les méthodes d’entrée
  • UserActiveTransitionCount: nombre de transitions entre entrée et sortie de l’activité utilisateur
  • UserOrDisplayActiveDurationMS: durée totale pendant laquelle l’utilisateur a utilisé l'écran
  • ViewFlags: indicateurs indiquant les propriétés d’un affichage de l’application (par exemple, affichage VR spécial ou non)
  • WindowFlags: indicateurs indiquant les propriétés d’exécution d’une fenêtre d’application
  • WindowHeight: nombre de pixels verticaux dans la fenêtre d’application
  • WindowWidth: nombre de pixels horizontaux dans la fenêtre d’application