Windows Analytics 常见问题和疑难解答

重要

已弃用 OMS 门户;你应该尽快开始使用Azure 门户 在这两个门户中,许多体验是相同的,但有一些关键区别。 有关在 Azure 门户中使用 Windows Analytics 的步骤,请参阅Azure 门户中的 Windows analytics 。 有关从 OMS 切换到 Azure 的更多详细信息,请参阅oms 门户转到 azure

本主题将编译在配置和使用 Windows 分析时遇到的最常见问题以及一般问题。 在联系 Microsoft 支持之前,我们推荐使用本常见问题以及Windows Analytics 技术社区进行咨询。

常见问题疑难解答

如果你已按照 "在 Windows 分析中注册设备" 主题中的步骤操作,但仍遇到问题,则可能会在此处找到该解决方案。

升级准备情况中未显示的设备

设备运行状况设备可靠性未显示的设备

设备运行状况设备可靠性中未显示设备故障

设备运行状况应用可靠性中未显示的应用

升级准备情况显示许多 "计算机的过期 KB"

升级准备情况显示许多 "计算机的" 数据不完整 "

升级准备情况不显示某些设备上的应用清单数据

升级准备情况不显示来自某些设备的 IE 站点发现数据

Windows 10 设备不显示设备名称

使用设备运行状况的 AbnormalShutdownCount 字段自定义日志查询显示零或低于预期结果

禁用升级准备情况

导出大型数据集

升级准备情况中未显示的设备

在 Log Analytics 工作区中,转到 "解决方案" 并验证你是否已订阅你想要使用的 Windows 分析解决方案。

即使在系统中,设备在注册后可能需要2-3 天才能显示,现在可以在运行部署脚本的几个小时内验证设备的状态,如中所述,您现在可以在一个小时内查看计算机的状态s在技术社区博客上运行部署脚本。

备注

如果生成状态报告并收到一条错误消息,显示 "抱歉! 我们无法识别您的商业版 Id,请参阅在 Windows 分析中注册设备

如果设备未按预期显示,请找到一个代表性设备,然后按照以下步骤在其上运行升级准备情况部署脚本的最新试用版本以解决问题:

  1. 下载并解压缩升级准备情况部署脚本。 确保包括 "试点/诊断" 文件夹。
  2. 按照升级准备情况部署脚本中的说明编辑脚本。
  3. 选中 " isVerboseLogging已设置为$true"。
  4. 再次运行脚本。 日志文件将保存到脚本中指定的目录。
  5. 在 "命令" 窗口中检查脚本的输出和/或记录UA_dateTime_machineName以确保所有步骤均已成功完成。
  6. 如果您仍然看到无法诊断的错误,请考虑通过常规频道通过 Microsoft 支持打开支持案例,并提供此信息。

如果你想要检查大量设备,你应该从选择的管理工具(例如 System Center Configuration Manager)运行最新脚本,并集中检查结果。

如果你认为问题可能与网络代理相关,请查看Windows 分析主题中的注册设备的 "启用数据共享" 部分。 另请参阅了解 Windows 分析博客上的连接方案和部署脚本

如果你部署了尚未通用化的映像,则其中许多这些映像可能具有相同的 ID,因此 Windows 分析将把它们视为一个设备。 如果您怀疑此问题,您可以通过执行以下步骤来重置非通用化设备上的 Id:

  1. Net stop diagtrack
  2. Reg delete hklm\software\microsoft\sqmclient/v MachineId/f
  3. Net start diagtrack

设备运行状况设备可靠性未显示的设备

Device 可靠性磁贴显示已突出显示的设备数

如果你的设备显示在其他解决方案中,而不是设备运行状况(设备运行状况概述磁贴显示 "正在执行评估",或者设备计数比预期的低),请按照以下步骤调查此问题:

  1. 使用 Azure 门户,从 Log Analytics 工作区中删除设备运行状况(在某些页面上显示为 DeviceHealthProd)解决方案。 完成此操作后,再次将设备运行状况解决方案添加到工作区。
  2. 确认设备运行的是 Windows 10。
  3. 验证该商业版 ID 是否存在于设备的注册表中。 有关详细信息https://gpsearch.azurewebsites.net/#13551,请参阅。
  4. 通过签入 " AllowTelemetry " 设置为2(增强)或3(完整),确认设备是否已选择要发送诊断数据。
    • AllowTelemetry下的HKLM\Software\Policies\Microsoft\Windows\DataCollection是 IT 策略路径。
    • AllowTelemetryHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\DataCollection下是用户首选项(设置应用)路径。
    • 重要提示:按照约定(以及在早期版本的 Windows 10 中),IT 策略将优先于任何用户首选项。 从 Windows 10 版本1803开始,即使设置了 IT 策略,用户也可以降低设备的有效值。 此更改可帮助组织遵守对隐私设置的用户控制的区域或组织的期望。 对于不需要用户控制隐私设置的组织,以前的行为(IT 策略路径始终为 wins)可使用新的策略计算机配置 \ 管理模板 \Windows Components\Data 集合和预览版 Builds\Configure 遥测选择加入设置用户界面
  5. 验证设备是否可以访问在Windows 分析的注册设备中指定的终结点。 同时检查 SSL 检查和代理身份验证的设置;有关详细信息,请参阅使用 SSL 检查配置终结点访问
  6. 等待48小时的活动显示在报告中。
  7. 如果需要其他疑难解答,请联系 Microsoft 支持部门。

设备运行状况设备可靠性中未显示设备故障

[Device 可靠性磁贴显示 "已突出显示崩溃计数"(images/device-reliability-crash-count.png)

如果你知道设备遇到的停止错误崩溃似乎未反映出出现故障的设备计数,请按照以下步骤调查该问题:

  1. 按照本主题的设备运行状况设备可靠性部分中未显示的设备中的步骤验证设备是否正确报告数据。
  2. 使用来自 Windows Sysinternals 的工具(如NotMyFault )在测试设备上触发已知故障。
  3. 通过在HKLM\SOFTWARE\Microsoft\Windows\Windows 错误报告(或HKLM\Software\Policies\Microsoft\Windows\DataCollection)中确认注册表设置,验证 WINDOWS 错误报告(WER)未被禁用或重定向。如果设置,该设置将优先):

    • 验证 "已禁用" 值(REG_DWORD)(如果已设置)是否为0。
    • 验证值 "DontSendAdditionalData" (REG_DWORD)(如果已设置)是否为0。
    • 验证未配置值 "CorporateWERServer" (REG_SZ)。
  4. 验证 WER 是否可以访问在Windows 分析的注册设备中指定的所有诊断终结点--如果 WER 只能到达某些终结点,则它可以包含在设备计数中,而不报告崩溃。

  5. 检查崩溃报告是否已成功完成与事件1001的往返行程,并且该 BucketID 不为空。 典型的此类事件如下所示:

    E显示事件1001详细信息的通风查看器详细信息

    你可以使用以下 Windows PowerShell 代码段来汇总事件1001的最新出现次数。 大多数事件应具有 BucketID 的值(但几个间歇性的空值可以确定)。

    $limitToMostRecentNEvents = 20
    Get-WinEvent -FilterHashTable @{ProviderName="Windows Error Reporting"; ID=1001} | 
      ?{ $_.Properties[2].Value -match "crash|blue" } |
      % { [pscustomobject]@{ 
        TimeCreated=$_.TimeCreated
        WEREvent=$_.Properties[2].Value
        BucketId=$_.Properties[0].Value
        ContextHint = $(
           if($_.Properties[2].Value -eq "bluescreen"){"kernel"}
           else{ $_.Properties[5].Value }
        )
      }} | Select-Object -First $limitToMostRecentNEvents
    

    输出应如下所示: 此代码段的典型输出

  6. 检查已安装的其他设备、应用或崩溃监视解决方案是否未截获崩溃事件。

  7. 等待48小时的活动显示在报告中。
  8. 如果需要其他疑难解答,请联系 Microsoft 支持部门。

终结点连接

设备必须能够访问在Windows 分析的注册设备中指定的终结点。

如果您使用的是代理服务器身份验证,则需要特别注意检查配置。 在 Windows 10 版本1703之前,WER 仅在计算机上下文中上载错误报告,因此通常使用 whitelisting 终结点来允许未经身份验证的访问。 在 Windows 10 版本1703和更高版本中,WER 将尝试使用登录代理身份验证的用户的上下文,以便只有用户帐户需要代理访问。

有关详细信息,请参阅在 Windows 分析中注册设备

设备运行状况应用可靠性中未显示的应用

App 可靠性磁贴,显示 relability 事件趋势

如果你认识的应用未出现在应用可靠性中,请按照以下步骤调查此问题:

  1. 仔细检查设备运行状况设备可靠性和设备运行状况未在本主题的"设备运行状况设备可靠性" 部分中出现的设备崩溃中的步骤。
  2. 确认范围内应用程序在已注册的设备上崩溃。 请牢记以下几点:

    • 并非所有用户模式崩溃都包含在应用可靠性中,它仅跟踪具有 GUI 的应用、用户交互使用的应用,而不是操作系统的一部分。
    • 注册更多设备有助于确保有足够的自然正在发生的应用崩溃。
    • 你还可以使用设计为按需崩溃的测试应用。
  3. 通过确认HKCU\SOFTWARE\Microsoft\Windows\Windows 错误报告(或 HKCU\Software\Policies\Microsoft\Windows\ 中的注册表设置),验证每用户WINDOWS 错误报告(WER)未被禁用或重定向DataCollection,如果设置,该设置将优先):

    • 验证 "已禁用" 值(REG_DWORD)(如果已设置)是否为0。
    • 验证值 "DontSendAdditionalData" (REG_DWORD)(如果已设置)是否为0。
    • 验证未配置值 "CorporateWERServer" (REG_SZ)。
  4. 检查已安装的其他设备、应用或崩溃监视解决方案是否未截获崩溃事件。
  5. 等待48小时的活动显示在报告中。
  6. 如果需要其他疑难解答,请联系 Microsoft 支持部门。

升级准备情况显示许多 "计算机的过期 KB"

如果你看到报告了大量设备,如升级准备情况磁贴的此屏幕截图所示:

Upgrade 准备情况磁贴显示红色框中具有过时 KB 基准的计算机

在 Windows 7 SP1 和 Windows 8.1 设备上,必须按照Windows 分析中的注册设备中所述部署兼容性更新。

请注意,当发布新版本时,兼容性更新会保留相同的 KB 编号,因此即使你的设备上安装了该更新,它们也可能不会运行最新版本。 兼容性更新现在是关键更新,因此你可以通过管理工具检查是否安装了最新版本。

升级准备情况显示许多 "计算机的" 数据不完整 "

如果你看到报告了大量设备,如升级准备情况磁贴的此屏幕截图所示:

Upgrade 准备情况磁贴显示红色框中包含不完整数据基准的计算机

下载最新的部署脚本并在受影响的设备上运行它以检查问题。 有关获取和运行脚本的信息以及可显示的错误代码的说明,请参阅升级准备就绪部署脚本主题。 请记住等待48-72 小时以查看结果。 有关为脚本设置 ClientProxy 的摘要,请参阅 Windows 分析博客上的"了解连接方案和部署脚本" ,这将使脚本正确检查诊断数据终结点连接。

如果这是一个反复出现的问题,请根据设备注册指南(按设备注册指南按比例部署)安排完整的库存扫描。

升级准备情况不显示某些设备上的应用清单数据

升级准备情况仅在尚未升级到升级准备情况概述刀片中指定的目标操作系统版本的设备上收集应用清单。 这是因为升级准备情况目标升级计划(适用于尚未升级的设备)。

升级准备情况不显示来自某些设备的 IE 站点发现数据

仔细检查是否已在部署脚本中配置 IE 站点发现选择加入。 (有关获取和运行脚本的信息以及可显示的错误代码的说明,请参阅升级准备就绪部署脚本主题。 有关为脚本设置 ClientProxy 的摘要,请参阅 Windows 分析博客上的"了解连接方案和部署脚本" ,这将使脚本正确检查诊断数据终结点连接。)

此外,在 Windows 10 设备上,请记住 IE 网站发现需要将数据诊断设置为增强级别。

有两个其他配置可供检查:

  1. 确保已启用 "通过页面预测向前翻页"。 可以在 Internet 选项中配置它-> 高级 > 浏览-> 支持通过页面预测向前翻页。
  2. 请确保 IE 未在 InPrivate 模式下运行。

最后,升级准备情况仅收集尚未升级到升级准备情况概述刀片中指定的目标操作系统版本的设备上的 IE 站点发现数据。 这是因为升级准备情况目标升级计划(适用于尚未升级的设备)。

备注

在瑞士和欧盟国家/地区运行 Windows 7 和 Windows 8.1 的设备上,IE 站点发现已被禁用。

Windows 10 设备不显示设备名称

从 Windows 10 版本1803开始,默认不再收集设备名称,并且需要单独的自愿加入。 有关详细信息,请参阅在 Windows 分析中注册设备。 允许收集设备名称可使你更轻松地标识报告问题的单个设备。 如果没有设备名称,Windows Analytics 只能按它生成的 GUID 对设备进行标记。

使用设备运行状况的 AbnormalShutdownCount 字段自定义日志查询显示零或低于预期结果

此问题影响设备运行状况数据的自定义查询,方法是使用 > Search 页面或 API 的日志。 它不会影响设备运行状况解决方案的任何内置磁贴或报表。 DHOSReliability数据表的 " AbnormalShutdownCount " 字段表示异常关闭,而不是崩溃,如突然断电或按住电源按钮。

我们发现 Windows 10 版本1709、1803和1809上的 AbnormalShutdownCount 与有限的增强诊断数据级别之间不兼容。 此类设备不会将异常关机信号发送给 Microsoft。 不应在自定义查询中依赖 AbnormalShutdownCount,除非您使用以下任何一种解决方法:

  • 将设备升级到 Windows 10 版本1903(如果可用)。 Windows 预览体验计划中的参与者可以使用 Windows 预览体验计划内部版本预览此更改。
  • 从运行 Windows 10 版本1709、1803和1809正常增强级别而不是有限增强版的设备更改诊断数据设置。
  • 使用设备中的替代数据跟踪异常关闭。 例如,你可以使用 Log Analytics agent 将异常关机事件从 Windows 事件日志转发到日志分析工作区。 要转发的建议事件包括:
    • 日志:系统,ID:41,源:内核-Power
    • 日志系统,ID:6008,源: EventLog

禁用升级准备情况

如果想要停止使用升级准备情况并停止将诊断数据发送到 Microsoft,请按照下列步骤操作:

  1. 删除 Log Analytics 工作区中的升级准备解决方案。 在 Log Analytics 工作区中。 选择 "解决方案 > 兼容性评估 > 删除"。

  2. 在运行 Windows 7 SP1 或8.1 的计算机上禁用商业数据自愿加入键。 在运行 Windows 10 的计算机上,将诊断数据级别设置为 "安全":

    Windows 7 和 windows 8.1:删除 HKLM 中的 CommercialDataOptIn registry 属性 : \ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

    Windows 10:按照配置组织中的 Windows 诊断数据中的说明操作。

  3. 如果启用了Internet Explorer 网站发现,则可以通过将IEDataOptIn注册表项设置为值 "0" 来禁用 internet explorer 数据收集。 可在: HKLM: \ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection下找到 IEDataOptIn 键。

  4. 可选步骤: 您也可以从: "HKLM: \ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection" 中删除 "CommercialId" 键。

导出大型数据集

Azure 日志分析针对大型数据集的高级分析进行了优化,并且可以有效地为它们生成摘要和分析。 查询语言不是针对返回较大原始数据集而优化(或有意)的,其内置限制可防止过度滥用。 在某些情况下,可能需要获取比这更多的数据,但应尽量少执行此操作,因为这不是使用 Azure 日志分析的预期方式。 以下代码片段显示了如何一次从 UAApp 检索一个 "页面" 数据:

let snapshot = toscalar(UAApp | summarize max(TimeGenerated));
let pageSize = 100000;
let pageNumber = 0;

UAApp
| where TimeGenerated == snapshot and IsRollup==true and RollupLevel=="Granular" and Importance == "Low install count"
| order by AppName, AppVendor, AppVersion desc
| serialize
| where row_number(0) >= (pageSize * pageNumber)
| take pageSize

其他常见问题

Windows Analytics 解决方案的要求和成本有哪些?

Windows Analytics 解决方案 Windows 许可证要求 Windows 版本要求 最低诊断数据要求
Upgrade Readiness 无其他要求 Windows 7 Service Pack 1、Windows 8.1、Windows 10 在大多数情况下为基本级别;支持 Windows 10 应用使用情况数据和 IE 网站发现的增强级别
更新一致性 无其他要求 Windows10 基本级别
设备运行状况 以下任何许可证:
-每台设备有活动软件保证的 windows 10 企业版或 Windows 10 教育版
-Windows 10 企业版 E3 或 E5 每个设备或每用户订阅(包括 Microsoft 365 F1、E3 或 E5)
-Windows 10 教育版 A3 或 A5 (包括 Microsoft 365 教育版 A3 或 A5)
-Windows VDA E3 或 E5 每设备或每用户订阅
-Windows Server 2016 或更高版本
Windows10 -适用于 Windows 10 版本1709或更高版本:增强(受限)
-适用于早期版本:增强

备注

关于设备运行状况的许可要求,不需要每客户授权,但只有足够的许可证才能涵盖你的总设备使用情况。 例如,如果您有 100 E3 许可证,则可以通过设备运行状况监视100设备。

除了 Windows 操作系统许可证的费用,使用 Windows 分析不需要额外费用。 在 Azure 日志分析中,Windows 分析为 "零分级的"; 这意味着它将从数据限制和成本中排除,而与所选的 Azure 日志分析定价层无关。 为了更加具体,Azure 日志分析在不同的定价层中可用,如定价日志分析中所述。

  • 如果你使用的是免费的层(它在每天收集的数据量上有上限),则 Windows 分析数据将不会计算到此 cap。 你将能够从你的设备收集所有 Windows 分析数据,但仍具有可用于从其他源收集其他数据的完整 cap。
  • 如果您使用的是收费的层,并且收集的数据费用为每 GB,则不会向 Windows Analytics 数据收费。 你将能够从你的设备收集所有 Windows 分析数据,而不会产生任何成本。

请注意,不同的 Azure 日志分析计划具有不同的数据保留期,并且 Windows Analytics 解决方案继承了工作区的数据保留策略。 因此,如果你的工作区位于免费计划,则 Windows Analytics 将保留在工作区中收集的上周 "每日快照" 的最新价值。

为什么 SCCM 和升级准备情况显示已准备好升级的设备的不同计数?

System Center Configuration Manager (SCCM)认为设备准备好升级如果没有已安装的应用对 "尚未准备" 的升级决策(即,它们均为 "准备" 或 "正在进行"),而升级准备人认为设备仅准备好升级所有安装的应用均标记为 "就绪"。

当前,你可以选择想要使用的条件:

  • 若要使用 SCCM 条件,请在 SCCM 控制台中创建准备好升级的设备集合(使用分析连接器)。
  • 若要使用升级准备情况条件,请从相应的升级准备情况报告导出已准备好的设备列表,然后从该电子表格生成 SCCM 集合。

升级准备情况如何收集设备和应用程序的清单?

有关此过程以及一些提示的详细信息,请参阅WA 中的升级准备情况如何为你的 OMS 工作区收集应用程序清单?在 Windows Analytics 博客上。