通过限制增强级别诊断数据策略收集的 Windows 10 诊断数据事件和字段

适用范围

• Windows 10 版本 1709 和更高版本

重要提示

• Windows Analytics 的升级就绪情况和设备运行状况解决方案已于 2020 年 1 月 31 日停用。
• 桌面分析已弃用，已于 2022 年 11 月 30 日停用。

桌面分析报告由未包含在“基本”级别中的诊断数据提供支持。

在 Windows 10 版本 1709 中，我们引入了一项新功能：将增强级别诊断数据限制为 Windows Analytics 所需的最低程度。 启用后，此功能会将增强级别中包含的操作系统诊断数据事件仅限制为如下所述的事件。 增强级别还包括未在下方介绍的受限崩溃报告。 有关“增强”级别的详细信息，请参阅在组织中配置 Windows 诊断数据。

停用 Windows Analytics 后，此策略将继续受桌面分析支持，但将不会包含与 Office 相关的诊断数据。

KernelProcess.AppStateChangeSummary

此事件总结了应用程序用法和性能特征，以帮助 Microsoft 提高性能和可靠性。 组织可以将此事件与桌面分析结合使用，以便深入了解应用程序的可靠性。

提供有以下字段：

• CommitChargeAtExit_Sum：进程退出时的总内存使用量
• CommitChargePeakAtExit_Sum：进程退出时的总峰值内存使用量
• ContainerId：服务器接收器容器 ID
• CrashCount：进程实例的崩溃次数
• CycleCountAtExit_Sum：进程退出时的总处理器周期
• ExtraInfoFlags：用于指示日志记录的内部状态的标志
• GhostCount_Sum：其中的应用程序停止响应的实例总数
• HandleCountAtExit_Sum：进程退出时的句柄总数
• HangCount_Max：检测到的最大挂起数量
• HangCount_Sum：检测到的应用程序挂起总数
• HardFaultCountAtExit_Sum：进程退出时检测到的强制分页错误总数
• HeartbeatCount：为此摘要记录的检测信号数
• HeartbeatSuspendedCount：为此摘要记录的检测信号数（进程已挂起）
• LaunchCount：已启动的进程实例数
• LicenseType：保留供将来使用
• ProcessDurationMS_Sum：时钟进程实例的总持续时间
• ReadCountAtExit_Sum：进程退出时的 IO 读取总次数
• ReadSizeInKBAtExit_Sum：进程退出时的总 IO 读取大小
• ResumeCount：进程实例恢复的次数
• RunningDurationMS_Sum：总运行时间
• SuspendCount：进程实例挂起的次数
• TargetAppId：应用程序标识符
• TargetAppType：应用程序类型
• TargetAppVer：应用程序版本
• TerminateCount：进程终止的次数
• WriteCountAtExit_Sum：进程退出时的 IO 写入总次数
• WriteSizeInKBAtExit_Sum：进程退出时的 IO 写入总大小

Microsoft.Office.TelemetryEngine.IsPreLaunch

适用于 Office UWP 应用程序。 在首次从 Microsoft Store 中升级/安装后启动 Office 应用程序时，会引发此事件。 它是基本诊断数据的一部分。 它是用来跟踪特定会话是否为启动会话。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• SessionID：会话的 ID

Microsoft.Office.SessionIdProvider.OfficeProcessSessionStart

在启动新的 Office 会话后，此事件发送基本信息。 这用于计算给定设备上显示的唯一会话数。 这将用作检测信号事件，以确定应用程序是否在设备上运行。 它还将用作总体应用程序可靠性的关键信号。

• AppSessionGuid：映射到应用程序进程的会话 ID
• processSessionId：映射到应用程序进程的会话 ID

Microsoft.Office.TelemetryEngine.SessionHandOff

适用于 Win32 Office 应用程序。 此事件可帮助我们了解是否创建了新的会话来处理用户发起的文件打开事件。 这是关键诊断信息，用于派生可靠性信号并确保应用程序按预期工作。

• appVersionBuild：应用程序 ..XXXXX.* 内部版本的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• childSessionID：已创建用于处理用户发起的文件打开的会话 ID
• parentSessionId：已在运行的会话 ID

Microsoft.Office.CorrelationMetadata.UTCCorrelationMetadata

通过 UTC 收集 Office 元数据以与通过 Office 遥测管道收集的等效数据相比较，从而检查数据的正确性和完整性。

• abConfigs：为此会话启用的功能列表
• abFlights：为此会话启用的功能列表
• AppSessionGuid：会话的 ID
• appVersionBuild：应用程序 ..XXXXX.* 内部版本的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRevision：版本 ..*.XXXXX 的第四部分
• audienceGroup：此组是属于预览体验成员还是生产？
• audienceId：受众设置的 ID
• channel：属于半年频道还是半年频道（定向）？
• deviceClass： 此设备是桌面设备还是移动设备？
• impressionId：在此会话中已向你提供哪些功能
• languageTag：应用的语言
• officeUserID：绑定到特定设备上 Office 安装的唯一标识符。
• osArchitecture：计算机是 32 位还是 64 位？
• osEnvironment：这是 Win32 应用还是 UWP 应用？
• osVersionString：操作系统的版本
• sessionID：会话的 ID

Microsoft.Office.ClickToRun.UpdateStatus

适用于所有 Win32 应用程序。 帮助我们了解 Office 套件的更新进程状态（成功，或失败并带有错误详细信息）。

• build：应用版本
• channel：这是否属于 GA 通道？
• errorCode：在升级过程中发生什么错误？
• errorMessage：在升级过程中有什么错误消息？
• status：升级是否已成功？
• targetBuild：我们要尝试升级到哪个应用版本？

Microsoft.Office.TelemetryEngine.FirstIdle

在 Office 应用程序内的遥测引擎准备好发送遥测时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.FirstProcessed

在 Office 应用程序内的遥测引擎已处理规则或需要收集的事件列表时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.FirstRuleRequest

在 Office 应用程序内的遥测引擎收到第一个规则或需要由应用发送的事件列表时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.Init

在 Office 应用程序内的遥测引擎已初始化时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.Resume

在应用程序从睡眠状态中恢复时，会引发此事件。 用于了解应用程序生命周期中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• maxSequenceIdSeen：目前为止在此会话中显示的事件数？
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• rulesSubmittedBeforeResume：在恢复进程之前已提交的事件数？
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.RuleRequestFailed

在 Office 应用程序内的遥测引擎无法检索包含遥测事件列表的规则时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.RuleRequestFailedDueToClientOffline

如果设备处于脱机状态，在 Office 应用程序内的遥测引擎无法检索包含遥测事件列表的规则时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.ShutdownComplete

在 Office 应用程序内的遥测引擎已处理规则或我们需要收集的事件列表时，会引发此事件。 用于了解在应用关闭期间是否发生了特定故障，以及是否可能会导致数据丢失。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• maxSequenceIdSeen：目前为止在此会话中显示的事件数？
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• rulesSubmittedBeforeResume：在恢复进程之前已提交的事件数？
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.ShutdownStart

在 Office 应用程序内的遥测引擎已初始化且应用程序关闭时，会引发此事件。 用于了解在应用关闭期间是否发生了特定故障，以及是否可能会导致数据丢失。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• rulesSubmittedBeforeResume：在恢复进程之前已提交的事件数？
• SessionID：会话的 ID

Microsoft.Office.TelemetryEngine.SuspendComplete

在 Office 应用程序内的遥测引擎已处理规则或我们需要收集的事件列表时，会引发此事件。 用于了解遥测中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• maxSequenceIdSeen：目前为止在此会话中显示的事件数？
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• rulesSubmittedBeforeResume：在恢复进程之前已提交的事件数？
• SessionID：会话的 ID
• SuspendType：挂起的类型

Microsoft.Office.TelemetryEngine.SuspendStart

如果 Office 应用程序在每个应用生命周期更改时挂起，会引发此事件。 用于了解应用程序生命周期中是否有问题。

• appVersionBuild：版本 ..XXXXX.* 的第三部分
• appVersionMajor：版本 X...* 的第一部分
• appVersionMinor：版本 .X..* 的第二部分
• appVersionRev：版本 ..*.XXXXX 的第四部分
• maxSequenceIdSeen：目前为止在此会话中显示的事件数？
• officeUserID：绑定到设备的安装的 ID。 它不会映射到特定用户
• rulesSubmittedBeforeResume：在恢复进程之前已提交的事件数？
• SessionID：会话的 ID
• SuspendType：挂起的类型

Microsoft.OSG.OSS.CredProvFramework.ReportResultStop

此事件表示尝试使用凭据提供程序对用户进行身份验证的结果。 这将有助于 Microsoft 提高登录的可靠性。 将此事件与桌面分析结合使用可帮助组织在托管设备上监视和提高不同方法的登录成功率（例如生物识别）。

包含以下字段：

• CredTileProviderId：凭据提供程序的 ID
• IsConnectedUser：用于指示用户是否已连接的标志
• IsPLAPTile：用于指示此凭据磁贴是否为登录前访问提供程序的标志
• IsRemoteSession：用于指示会话是否为远程会话的标志
• IsV2CredProv：用于指示凭据提供程序是否为 V2 的标志
• OpitonalStatusText：状态文本
• ProcessImage：到进程的映像路径
• ProviderId：凭据提供程序 ID
• ProviderStatusIcon：指示应显示哪个状态图标
• ReturnCode：ReportResult 函数的输出
• SessionId：会话标识符
• Sign-in error status：登录错误状态
• SubStatus：登录错误子状态
• UserTag：用户选择提供程序的次数计数

Microsoft.Windows.Kernel.Power.OSStateChange

该事件表示操作系统状态（开、关、睡眠等）之间的转换。 通过将此事件与桌面分析结合使用，组织可以监控托管设备的可靠性和性能。

包含以下字段：

• AcPowerOnline：如果为“TRUE”，则表示设备正在使用交流电源。 如果为“FALSE”，则表示设备正在使用电池电源。
• ActualTransitions：自上次系统启动以来操作系统状态之间转换的次数
• BatteryCapacity：最大电池容量 (mWh)
• BatteryCharge：当前电池充电占总容量的百分比
• BatteryDischarging：用于指示电池正在放电还是充电的标志
• BootId：自安装操作系统以来的启动总计数
• BootTimeUTC：特定启动事件的日期和时间（由 BootId 标识）
• EnergyChangeV2：反映电源使用变化的快照值 (mWh)
• EnergyChangeV2Flags：用于消除 EnergyChangeV2 上下文歧义的标志
• EventSequence：用于评估数据完整性的序列号
• LastStateTransition：上一次操作系统状态转换的 ID
• LastStateTransitionSub： 上一次操作系统子状态转换的 ID
• StateDurationMS：在上一个操作系统状态下花费的毫秒数
• StateTransition：系统转换到的操作系统状态的 ID
• StateTransitionSub： 系统转换到的操作系统子状态的 ID
• TotalDurationMS：自上次启动以来在所有状态下花费的总时间（以毫秒为单位）
• TotalUptimeMS：自上次启动以来设备处于“已启动”或“正在运行”状态的总时间（以毫秒为单位）
• TransitionsToOn：自上次启动以来转换到“接通电源”状态的次数
• UptimeDeltaMS：自上一个事件以来“正常运行时间”增加的总时间（以毫秒为单位）

Microsoft.Windows.LogonController.LogonAndUnlockSubmit

发送尝试登录或解锁设备的用户的详细信息。

提供有以下字段：

• isSystemManagedAccount：指示用户帐户是否为系统托管帐户
• isUnlockScenario：用于指示事件为“登录”还是“解锁”的标志
• userType：指示用户类型：0 = 未知；1 = 本地；2 = Active Directory 域用户；3 = Microsoft 帐户；4 = Azure Active Directory 用户

Microsoft.Windows.LogonController.SignInFailure

发送有关在登录失败时检测到的任何错误代码的详细信息。

提供有以下字段：

• ntsStatus：从已尝试的登录返回的 NTSTATUS 错误代码状态
• ntsSubstatus：从已尝试的登录返回的 NTSTATUS 错误代码子状态

Microsoft.Windows.Security.Biometrics.Service.BioServiceActivityCapture

指示生物识别捕获已与已知模板进行比较

提供有以下字段：

• captureDetail：生物识别捕获的结果，与注册匹配或存在错误
• captureSuccessful：指示生物识别捕获是否匹配成功
• hardwareId：收集生物识别捕获的传感器的 ID
• isSecureSensor：用于指示生物识别传感器是否处于增强安全模式的标志
• isTrustletRunning：指示增强的安全组件当前是否正在运行
• isVsmCfg：用于指示是否已配置虚拟安全模式的标志

Microsoft.Windows.Security.Winlogon.SystemBootStop

系统启动已完成。

提供有以下字段：

• ticksSinceBoot：启动事件的持续时间（以毫秒为单位）

Microsoft.Windows.Shell.Desktop.LogonFramework.AllLogonTasks

此事件汇总了登录过程，旨在帮助 Microsoft 提高性能和可靠性。 通过将此事件与桌面分析结合使用，组织可以帮助发现托管设备上的登录问题。

包含以下字段：

• isAadUser：指示当前登录帐户是否为 Azure Active Directory 帐户
• isDomainUser：指示当前登录帐户是否为域帐户
• isMSA：指示当前登录帐户是否为 Microsoft 帐户
• logonOptimizationFlags：用于指示此登录会话的优化设置的标志
• logonTypeFlags：用于指示登录类型的标志（首次登录与稍后登录）
• systemManufacturer：设备制造商
• systemProductName：设备产品名称
• wilActivity：指示任务中的错误，以帮助 Microsoft 提高可靠性。

Microsoft.Windows.Shell.Desktop.LogonFramework.LogonTask

此事件描述作为用户登录序列的一部分的系统任务，并帮助 Microsoft 提高可靠性。

包含以下字段：

• isStartWaitTask：用于指示任务是否已启动后台任务的标志
• isWaitMethod：用于指示任务正在等待后台任务的标志
• logonTask：指示当前正在进行的登录步骤
• wilActivity：指示任务中的错误，以帮助 Microsoft 提高可靠性。

Microsoft.Windows.Shell.Explorer.DesktopReady

资源管理器的初始化已完成。

Microsoft-Windows-Security-EFS-EDPAudit-ApplicationLearning.EdpAuditLogApplicationLearning

对于受 Windows 信息保护策略限制的设备，当应用遇到策略边界（例如，试图从个人应用打开工作文档）时会生成学习事件。 这些事件有助于 Windows 信息保护管理员优化策略规则，并防止不必要的用户中断。

提供有以下字段：

• actiontype：指示当遇到策略边界时，应用尝试的资源访问类型（例如，打开本地文档与网络资源）。 有助于 Windows 信息保护管理员调整策略规则。
• appIdType：根据应用程序的类型，此字段指示 Windows 信息保护管理员需要为此应用创建何种类型的应用规则。
• appname：已触发事件的应用
• status：指示在 Windows 信息保护学习事件期间是否发生错误

Win32kTraceLogging.AppInteractivitySummary

汇总所使用的应用窗口（例如具有焦点），旨在帮助 Microsoft 提高兼容性和用户体验。 此外（通过使用桌面分析）还可以帮助组织了解和提高托管设备上的应用程序可靠性。

提供有以下字段：

• AggregationDurationMS：聚合时段的实际持续时间（以毫秒为单位）
• AggregationFlags：用于显示聚合设置的标志
• AggregationPeriodMS：聚合时段的预期持续时间（以毫秒为单位）
• AggregationStartTime：AppInteractivity 聚合的开始日期和时间
• AppId：可供使用的应用程序 ID
• AppSessionId：用于标识应用程序使用会话的 GUID
• AppVersion：生成此事件的应用程序版本
• AudioInMS：音频捕获持续时间（以毫秒为单位）
• AudioOutMS：音频播放持续时间（以毫秒为单位）
• BackgroundMouseSec：指示当应用在后台运行时存在鼠标悬停事件
• BitPeriodMS：用 InFocusBitmap 表示的时长
• CommandLineHash：命令行哈希
• CompositionDirtyGeneratedSec：表示在此期间活动应用报告其具有更新的时间（以秒为单位）
• CompositionDirtyPropagatedSec：具有视觉对象的独立进程在应用发出信号的更新中托管的总时间（以秒为单位）
• CompositionRenderedSec：呈现应用内容的时间（以秒为单位）
• EventSequence：[需要更多信息]
• FocusLostCount：在聚合期间内应用丢失焦点的次数
• GameInputSec：用户使用游戏控制器进行输入的时间（以秒为单位）
• HidInputSec：用户使用设备而不是游戏控制器进行输入的时间（以秒为单位）
• InFocusBitmap：表示应用程序具有和丢失焦点的一系列位
• InFocusDurationMS：应用程序具有焦点的总时间（以毫秒为单位）
• InputSec：在此期间有用户输入的总秒数
• InteractiveTimeoutPeriodMS：非活动使交互会话过期的总时间（以毫秒为单位）
• KeyboardInputSec：在此期间有键盘输入的总秒数
• MonitorFlags：用于指示应用使用单独监视器的标志
• MonitorHeight：应用程序主机监视器分辨率的垂直像素
• MonitorWidth：应用程序主机监视器分辨率的水平像素
• MouseInputSec：在此期间有鼠标输入的总秒数
• NewProcessCount：参与聚合的新进程数
• PartATransform_AppSessionGuidToUserSid： 对事件其他部分的构成方式产生影响的标志
• PenInputSec：在此期间有笔输入的总秒数
• SpeechRecognitionSec：语音识别的总秒数
• SummaryRound：用于指示要汇总的轮循（批处理）的增量数值
• TargetAsId：对事件其他部分的构成方式产生影响的标志
• TotalUserOrDisplayActiveDurationMS：用户或屏幕处于活动状态的总时间（以毫秒为单位）
• TouchInputSec：在此期间有触摸输入的总秒数
• UserActiveDurationMS：用户处于活动状态（包括所有输入方法）的总时间
• UserActiveTransitionCount：用户活动进出的转换次数
• UserOrDisplayActiveDurationMS：用户使用屏幕的总时间
• ViewFlags：用于表示应用视图（例如特殊 VR 视图或非特殊 VR 视图）的标志
• WindowFlags：用于表示应用窗口运行时属性的标志
• WindowHeight：应用程序窗口中的垂直像素
• WindowWidth：应用程序窗口中的水平像素数

修订

删除了 PartA_UserSid

此列表的上次修订指出名为 PartA_UserSid 的字段是事件 Microsoft.Windows.LogonController.LogonAndUnlockSubmit 的一部分。 此语句不正确。 为了反映事件中不存在此类字段，该列表已更新。

添加了 Office 事件

在 Windows 10 版本 1809（也分别适用于从 KB 4462932和KB 4462933 开始的版本 1709 和 1803）中，添加了 16 个事件，以描述 Office 应用启动和可用性。 添加这些事件是为了提高 Windows Analytics 中 Office 数据的精确度。

注意

Office 数据将不再通过此策略在桌面分析中提供。

删除了 CertAnalytics 事件

在 Windows 10 版本 1809（也分别适用于从 KB 4462932 和 KB 4462933 开始的版本 1709 和 1803）中，删除了 3 个“CertAnalytics”事件，因为桌面分析不再需要这些事件。

注意

如本主题中所述，你可以使用 Windows 诊断数据查看器观察并查看事件及其字段。