DiagnosticLog CSP
下列清單顯示 DiagnosticLog 設定服務提供者節點:
- ./Vendor/MSFT/DiagnosticLog
DeviceStateData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/DeviceStateData
CSP 公開之所有裝置狀態數據類型的根節點。
DiagnosticLog CSP 內的 DeviceStateData 功能會提供額外的裝置資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
DeviceStateData/MdmConfiguration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/DeviceStateData/MdmConfiguration
此節點是要使用 「SNAP」 觸發 裝置管理 狀態數據的貼齊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
範例:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/DeviceStateData/MdmConfiguration</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>SNAP</Data>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>
DiagnosticArchive
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/DiagnosticArchive
封存定義和集合的根節點。
DiagnosticLog CSP 內的 DiagnosticArchive 功能可用來觸發裝置,將疑難解答數據收集到 zip 封存盤案,並將該封存上傳至雲端記憶體。
DiagnosticArchive 是專為特定疑難解答案例而設計,例如 IT 系統管理員使用事件記錄檔事件、登錄值,以及應用程式或 OS 記錄檔的集合調查應用程式安裝失敗。
注意
DiagnosticArchive 是裝置疑難解答的「急用」後台選項。 記錄檔之類的診斷數據可以成長到許多 GB。 收集、傳輸和儲存大量數據可能會加重使用者裝置、網路和雲端記憶體的負擔。 叫用 DiagnosticArchive 的管理伺服器必須小心將數據收集頻率和範圍降至最低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
DiagnosticArchive/ArchiveDefinition
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/DiagnosticArchive/ArchiveDefinition
此節點的 Collection 執行動作會接受 XML 代碼段 (做為字串) 描述要收集的數據以及上傳數據的位置。 結果會壓縮並上傳至指定 的 SasUrl。 壓縮的檔案名格式為 DiagLogs-{ComputerName}-YYYYMMDDTHHMMSSZ.zip。
透過 Windows 10 KB5011543 和 Windows 11 KB5011563,會有額外的額外項目支援,以判斷 CSP 產生的輸出檔案是否為扁平化資料夾結構,而不是在 XML 中為每個指示詞提供個別的資料夾。 下列範例顯示 Collection XML:
<Collection>
<!--NOTE: The value shown here is an example only, for more information see the ID documentation which follows the example -->
<ID>f1e20cb4-9789-4f6b-8f6a-766989764c6d</ID>
<!--NOTE: The value shown here is an example only, for more information see the SasUrl documentation which follows the example -->
<SasUrl><![CDATA[https://myaccount.blob.core.windows.net/mycontainer?sp=aw&st=2020-07-01T23:02:07Z&se=2020-07-02T23:02:07Z&sv=2019-10-10&sr=c&sig=wx9%2FhwrczAI0nZL7zl%2BhfZVfOBvboTAnrGYfjlO%2FRFA%3D]]></SasUrl>
<RegistryKey>HKLM\Software\Policies</RegistryKey>
<FoldersFiles>%ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl</FoldersFiles>
<Command>%windir%\system32\ipconfig.exe /all</Command>
<Command>%windir%\system32\mdmdiagnosticstool.exe -out %ProgramData%\temp\</Command>
<FoldersFiles>%ProgramData%\temp\*.*</FoldersFiles>
<Events>Application</Events>
<OutputFileFormat>Flattened</OutputFileFormat>
</Collection>
XML 應該在 元素內 Collection 包含下列元素:
- 標識碼:標識碼值可唯一識別此數據收集要求。 為了避免意外重複數據收集,CSP 會忽略具有相同標識符值的後續 Set 或 Execute 調用。 CSP 預期會在收到要求時填入值,因此必須由 IT 系統管理員或管理伺服器產生。
-
SasUrl:SasUrl 值是 CSP 上傳包含所收集數據之 zip 檔案的目標 URI。 管理伺服器必須負責布建記憶體,讓記憶體伺服器接受裝置的 HTTP PUT 至此 URL。 例如,裝置管理服務可以:
- 布建目標裝置可連線的雲端記憶體,例如 Microsoft Azure Blob 記憶體容器
- 產生共用存取簽章 URL,授與擁有者 (目標裝置) 儲存體容器的有限寫入許可權
- 透過 XML
SasUrl作為值,將此值傳遞給目標裝置Collection上的 CSP。
此外,XML 可能包含 一或多個數據收集指示詞,其中可能包含下列任何一項:
RegistryKey:將指定路徑下的所有索引鍵名稱和值匯出 (遞歸) 。
- 預期的輸入值:登錄路徑,例如 「HKLM\Software\Policies」。。
- 輸出格式:建立.reg檔案,類似於 reg.exe EXPORT 命令的輸出。
- 隱私權護欄:若要啟用診斷記錄擷取,同時降低IT系統管理員不小心擷取使用者產生檔的風險,登錄路徑僅限於HKLM和HKCR下的路徑。
事件:從具名 Windows 事件記錄檔匯出所有事件。
- 預期的輸入值:具名事件記錄檔通道,例如“Application” 或 “Microsoft-Windows-DeviceGuard/Operational”。
- 輸出格式:建立 .evtx 檔案。
命令:此指示詞類型允許執行特定命令,例如 ipconfig.exe。 請注意,DiagnosticArchive 和 Commands 指示詞不是一般用途的腳本平臺。 DiagnosticArchive 內容中允許這些命令處理可能無法透過現有記錄檔取得重要裝置信息的情況。
- 預期的輸入值:包含路徑和任何自變數的完整命令行,例如
%windir%\\system32\\ipconfig.exe /all。 - 輸出格式:命令的控制台文字輸出會擷取在文字檔中,並包含在整體輸出封存中。 對於可能會產生檔案輸出而非控制台輸出的命令,後續的FolderFiles指示詞會用來擷取該輸出。 上述範例 XML 會使用 mdmdiagnosticstool.exe 的 -out 參數來示範此模式。
- 隱私權護欄:若要啟用診斷數據擷取,同時降低IT系統管理員不小心擷取使用者產生文件的風險,只允許下列命令:
- %windir%\system32\certutil.exe
- %windir%\system32\dxdiag.exe
- %windir%\system32\gpresult.exe
- %windir%\system32\msinfo32.exe
- %windir%\system32\netsh.exe
- %windir%\system32\nltest.exe
- %windir%\system32\ping.exe
- %windir%\system32\powercfg.exe
- %windir%\system32\w32tm.exe
- %windir%\system32\wpr.exe
- %windir%\system32\dsregcmd.exe
- %windir%\system32\dispdiag.exe
- %windir%\system32\ipconfig.exe
- %windir%\system32\logman.exe
- %windir%\system32\tracelog.exe
- %programfiles%\windows defender\mpcmdrun.exe
- %windir%\system32\MdmDiagnosticsTool.exe
- %windir%\system32\pnputil.exe
- 預期的輸入值:包含路徑和任何自變數的完整命令行,例如
FoldersFiles:從指定路徑擷取記錄檔 (,而不需要遞歸) 。
- 預期的輸入值:具有或不含通配符的檔案路徑,例如 「%windir%\System32」 或 「%programfiles%\*.log」。。
- 隱私權護欄:若要啟用診斷記錄擷取,同時降低IT系統管理員不小心擷取使用者產生檔的風險,只允許下列根目錄下的路徑:
- %PROGRAMFILES%
- %PROGRAMDATA%
- %PUBLIC%
- %WINDIR%
- %TEMP%
- %TMP%
- 此外,只會擷取具有下列擴展名的檔案:
- 。日誌
- .txt
- .dmp
- .cab
- .zip
- .xml
- .html
- .evtx
- 。Etl
OutputFileFormat:將資料夾結構壓平合併,而不是針對 XML 中的每個指示詞擁有個別的資料夾。
- “Flattened” 值是 OutputFileFormat 唯一支援的值。 如果 XML 中沒有 OutputFileFormat,或明確設定為 Flattened 以外的專案,則會將檔案結構保留在舊結構中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get、Replace |
DiagnosticArchive/ArchiveResults
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/DiagnosticArchive/ArchiveResults
提取上次封存執行的結果。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
範例:
取得上述 URI 會傳回最後一個診斷要求的數據收集結果。 例如:
<SyncML>
<SyncHdr/>
<SyncBody>
<Status>
<CmdID>1</CmdID>
<MsgRef>1</MsgRef>
<CmdRef>0</CmdRef>
<Cmd>SyncHdr</Cmd>
<Data>200</Data>
</Status>
<Status>
<CmdID>2</CmdID>
<MsgRef>1</MsgRef>
<CmdRef>1</CmdRef>
<Cmd>Get</Cmd>
<Data>200</Data>
</Status>
<Results>
<CmdID>3</CmdID>
<MsgRef>1</MsgRef>
<CmdRef>1</CmdRef>
<Item>
<Source>
<LocURI>./Vendor/MSFT/DiagnosticLog/DiagnosticArchive/ArchiveResults</LocURI>
</Source>
<Data>
<Collection HRESULT="0">
<ID>f1e20cb4-9789-4f6b-8f6a-766989764c6d</ID>
<RegistryKey HRESULT="0">HKLM\Software\Policies</RegistryKey>
<FoldersFiles HRESULT="0">C:\ProgramData\Microsoft\DiagnosticLogCSP\Collectors\*.etl</FoldersFiles>
<Command HRESULT="0">%windir%\system32\ipconfig.exe /all</Command>
<Command HRESULT="-2147024637">%windir%\system32\mdmdiagnosticstool.exe -out c:\ProgramData\temp\</Command>
<FoldersFiles HRESULT="0">c:\ProgramData\temp\*.*</FoldersFiles>
<Events HRESULT="0">Application</Events>
</Collection>
</Data>
</Item>
</Results>
<Final/>
</SyncBody>
</SyncML>
若要瞭解如何讀取產生的數據,請參閱 如何檢閱ArchiveResults。
EtwLog
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog
CSP 所管理之所有事件記錄節點類型的根節點。
DiagnosticLog CSP 的 Windows 事件追蹤 (ETW) 記錄功能可用來控制下列類型的事件追蹤:
ETW 記錄功能是專為進階使用量而設計,並假設開發人員熟悉 ETW。 如需詳細資訊,請 參閱關於事件追蹤。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
EtwLog/通道
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Channels
已註冊 「通道」節點的根節點。
事件追蹤的類型會從特定通道匯出事件數據。 使用者可以使用完整名稱來新增或刪除通道節點,例如 Microsoft-Windows-AppModel-Runtime/管理員。
DiagnosticLog CSP 會維護每個通道節點的記錄檔,如果在同一個通道節點上再次觸發 start 命令,則會覆寫記錄檔。
針對每個通道節點,用戶可以:
- 將通道事件數據匯出至記錄檔 (.evtx) 。
- 從事件記錄服務啟用或停用通道,以允許或不允許將事件數據寫入通道。
- 指定 XPath 查詢,以在匯出通道事件數據時篩選事件。
如需使用 DiagnosticLog 從電腦或行動裝置遠端收集記錄的詳細資訊,請參閱 收集 MDM 記錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
EtwLog/Channels/{ChannelName}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/{ChannelName}
每個動態節點都代表已註冊的 「通道」節點。 節點名稱必須是有效的 Windows 事件記錄檔通道名稱,例如 “Microsoft-Client-Licensing-Platform%2FAdmin”。 在 LocURI 中指定名稱時,它必須經過 URL 編碼,否則會意外轉譯成不同的 URI。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | UniqueName:節點名稱必須是有效的 Windows 事件記錄檔通道名稱,例如 “Microsoft-Client-Licensing-Platform%2FAdmin” |
範例:
新增通道
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">node</Format> </Meta> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除通道
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin</LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>
EtwLog/Channels/{ChannelName}/Export
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/{ChannelName}/Export
此節點會觸發從這個節點的相關聯 Windows 事件通道將事件匯出至記錄檔。 記錄檔的擴展名是 .evtx,這是 Windows 事件通道記錄檔的標準擴展名。 “Get” 命令會傳回這個節點的名稱。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | null |
| 存取類型 | Exec、Get |
範例:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin/Export</LocURI>
</Target>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>
EtwLog/Channels/{ChannelName}/Filter
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/{ChannelName}/Filter
這個節點用於設定或取得 xpath 查詢字串,以便在從通道匯出記錄檔時篩選事件。 預設值為空字串。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 取得、取代 |
| 預設值 | "" |
範例:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin/Filter</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
EtwLog/Channels/{ChannelName}/State
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/{ChannelName}/State
此節點用於設定或取得系統中此節點相關聯 Windows 事件通道的「已啟用」狀態。 將它設定為 「TRUE」 可啟用通道;將它設定為 「FALSE」 會停用通道。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 取得、取代 |
允許的值:
| 值 | 描述 |
|---|---|
| true | 已啟用通道。 |
| false | 通道已停用。 |
範例:
取得通道狀態:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin/State</LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>設定通道狀態:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>2</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Client-Licensing-Platform%2FAdmin/State</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">bool</Format> </Meta> <Data>false</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
EtwLog/收集器
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors
已註冊 「收集器」節點的根節點。
這種類型的事件追蹤會從已註冊的 ETW 提供者集合收集事件數據。 事件收集器是已註冊 ETW 提供者的容器。 用戶可以新增或刪除收集器節點,並在此收集器中註冊或取消註冊多個提供者。
{CollectorName}在 CSP 內必須是唯一的,而且不能是有效的事件通道名稱或提供者 GUID。
DiagnosticLog CSP 會維護每個收集器節點的記錄檔,如果在同一個收集器節點上再次觸發 start 命令,就會覆寫記錄檔。
針對每個收集器節點,用戶可以:
- 啟動或停止所有已註冊和已啟用提供者的工作階段。
- 查詢工作階段狀態。
- 變更追蹤記錄檔模式。
- 變更追蹤記錄檔大小限制。
當追蹤會話進行時,設定記錄檔模式和記錄檔大小限制不會生效。 當使用者停止目前的會話,然後為此收集器重新啟動時,就會套用這些屬性。
針對此收集器中的每個已註冊提供者,用戶可以:
- 指定關鍵詞以篩選來自此提供者的事件。
- 變更追蹤層級以篩選來自此提供者的事件。
- 在追蹤會話中啟用或停用提供者。
State、Keywords 和 TraceLevel 上的變更會在追蹤會話進行時立即生效。
注意
Microsoft-WindowsPhone-Enterprise-Diagnostics-Provider (GUID - 3da494e4-0fe2-415C-b895-fb5265c5c83b) 內建必要的偵錯資源檔,可在遠端計算機上譯碼記錄檔。 任何其他記錄可能沒有譯碼所需的偵錯資源。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
範例:
若要使用此 CSP 收集診斷:
- 為目標 ETW 提供者的容器指定 CollectorName 。
- (選擇性) 使用下列選項設定記錄和記錄檔參數:
- 提供其 ProviderGUID 給 EtwLog/Collectors/CollectorName/Providers/ProviderGUID 的 Add 作業,以指出一或多個目標 ETW 提供者。
- (選擇性) 使用下列選項設定記錄和記錄檔參數:
- 使用 TraceControl EXECUTE 命令 “START” 開始記錄。
- 在目標裝置上執行動作,以在記錄檔中產生活動。
- 使用 TraceControl EXECUTE 命令 「STOP」 停止記錄。
- 使用 FileDownload 中
%temp%所述的讀取記錄檔方法,收集位於資料夾中的記錄檔。
EtwLog/Collectors/{CollectorName}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}
每個動態節點都代表已註冊的 『Collector』 節點。 CSP 會維護此收集器的 ETW 追蹤作業階段,並使用其名稱做為唯一識別碼。 在收集器中,可以註冊和取消註冊有效的 ETW 提供者。 如果提供者的狀態為 「已啟用」,收集器的關聯追蹤會話將會啟用其中已註冊的提供者。 每個提供者的狀態、追蹤層級和關鍵詞都可以分開控制。 此節點的名稱不得為有效的 Windows 事件通道名稱。 它可以是 etw 提供者 guid,只要它不等於已註冊的 'Provider' 節點名稱即可。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | ServerGeneratedUniqueIdentifier |
範例:
新增收集器
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">node</Format> </Meta> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除收集器
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement</LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>
EtwLog/Collectors/{CollectorName}/LogFileSizeLimitMB
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/LogFileSizeLimitMB
此節點用於設定或取得追蹤記錄檔大小限制 (以 MB 為單位,) 此收集器節點的相關追蹤會話。 值範圍為 1~2048。 預設值為 4。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 取得、取代 |
| 允許的值 | 範圍: [1-2048] |
| 預設值 | 4 |
EtwLog/Collectors/{CollectorName}/Providers
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/Providers
在此收集器節點中註冊之所有提供者的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}
每個動態節點都代表在此收集器節點中註冊的 ETW 提供者。 節點名稱必須是有效的提供者 GUID。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | UniqueName:節點名稱必須是有效的提供者 GUID。 |
範例:
新增提供者:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">node</Format> </Meta> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除提供者:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b</LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>
EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/Keywords
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/Keywords
此節點用於在此收集器節點的相關追蹤會話中設定或取得事件提供者的關鍵詞。 字串的格式為十六進位數位,寬度為 16 個字元。 它會在內部轉換成 CSP 中的 ULONGLONG 數據類型。 預設值為 “0”,這表示包含來自此提供者的所有事件。 如果相關聯的追蹤會話正在進行中,則會立即套用新的關鍵詞設定;如果沒有,則會在下次啟動該會話時套用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 取得、取代 |
| 預設值 | "0" |
範例:
取得提供者關鍵詞:
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>1</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b/Keywords </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>設定提供者關鍵字:
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>4</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b/Keywords </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type>text/plain</Type> </Meta> <Data>12345678FFFFFFFF</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/State
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/State
此節點用於設定或取得此收集器節點相關聯追蹤會話中事件提供者的狀態。 如果追蹤會話未啟動,變更值會控制是否要在會話啟動時啟用提供者;如果追蹤會話已啟動,則變更其值會導致在即時追蹤會話中啟用或停用提供者。 默認值為 true。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 取得、取代 |
| 預設值 | true |
允許的值:
| 值 | 描述 |
|---|---|
| true (預設) | 追蹤會話中已啟用提供者。 這是預設值。 |
| false | 追蹤會話中已停用提供者。 |
範例:
設定提供者狀態:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b/State</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
</Meta>
<Data>false</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/TraceLevel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/Providers/{ProviderGuid}/TraceLevel
此節點用於在此收集器節點的相關追蹤會話中設定或取得此事件提供者的追蹤層級。 默認值為 5,這是TRACE_LEVEL_VERBOSE。 如果相關聯的追蹤會話正在進行中,則會立即套用新的追蹤層級設定;如果沒有,則會在下次啟動該會話時套用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 取得、取代 |
| 預設值 | 5 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | TRACE_LEVEL_CRITICAL - 異常的結束或終止事件。 |
| 2 | TRACE_LEVEL_ERROR - 嚴重錯誤事件。 |
| 3 | TRACE_LEVEL_WARNING - 警告事件,例如配置失敗。 |
| 4 | TRACE_LEVEL_INFORMATION - 非錯誤事件,例如進入或結束事件。 |
| 5 (預設) | TRACE_LEVEL_VERBOSE - 詳細資訊。 |
範例:
設定提供者 TraceLevel:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/Providers/3da494e4-0fe2-415C-b895-fb5265c5c83b/TraceLevel</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
EtwLog/Collectors/{CollectorName}/TraceControl
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/TraceControl
此節點會觸發此收集器節點相關聯追蹤會話的「啟動」和「停止」。 “Get” 會傳回這個節點的名稱。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
允許的值:
| 值 | 描述 |
|---|---|
| 開始 | 啟動記錄追蹤。 |
| 停止 | 停止記錄追蹤。 |
範例:
新增記錄工作之後,您可以在此節點上執行 Execute 命令來啟動/停止追蹤。
啟動收集器追蹤記錄:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Exec> <CmdID>2</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/TraceControl</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> </Meta> <Data>START</Data> </Item> </Exec> <Final/> </SyncBody> </SyncML>停止收集器追蹤記錄:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Exec> <CmdID>2</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/DeviceManagement/TraceControl</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> </Meta> <Data>STOP</Data> </Item> </Exec> <Final/> </SyncBody> </SyncML>
EtwLog/Collectors/{CollectorName}/TraceLogFileMode
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/TraceLogFileMode
此節點用於設定或取得這個收集器節點相關聯追蹤會話的追蹤記錄檔模式。 只有兩個允許的值是 1 和 2,這是EVENT_TRACE_FILE_MODE_SEQUENTIAL和EVENT_TRACE_FILE_MODE_CIRCULAR。 預設值為 1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 依序將事件 EVENT_TRACE_FILE_MODE_SEQUENTIAL-Writes 至記錄檔。 當檔案達到其大小上限時,它會停止。 |
| 2 | 將事件 EVENT_TRACE_FILE_MODE_CIRCULAR-Writes 至記錄檔。 檔案達到大小上限之後,最舊的事件會取代為傳入事件。 |
EtwLog/Collectors/{CollectorName}/TraceStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/{CollectorName}/TraceStatus
此節點用於取得此收集器節點相關聯追蹤會話的狀態。 1 表示「進行中」;0 表示「未啟動或停止」。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
FileDownload
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload
與 csp 中記錄檔下載相關的所有 csp 節點的根節點。
DiagnosticLog CSP 的 FileDownload 功能可讓管理伺服器直接從裝置提取數據。 在 FileDownload 內容中,客戶端和伺服器角色在概念上會反轉,管理伺服器會作為用戶端,從受管理的裝置下載數據。
讀取記錄檔:
- 列舉 ./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel 下的記錄檔。
- 在列舉結果中選取記錄檔。
- 設定每個 DM 伺服器承載限制的 BlockSizeKB 。
- 取得 BlockCount 以判斷讀取要求總數。
- 設定 BlockIndexToRead 以初始化讀取起點。
- 取得用於上傳記錄區塊的 BlockData 。
- 增加 BlockIndexToRead。
- 重複步驟 5 到 7,直到 BlockIndexToRead == (BlockIndexToRead – 1) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
FileDownload/DMChannel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel
用於控制記錄 csp 節點所產生之相關記錄檔之檔案下載之所有 csp 節點的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
FileDownload/DMChannel/{FileContext}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}
每個動態節點都代表一個 『FileContext』 節點,該節點對應至其中一個記錄 CSP 節點所產生的記錄檔, ('EtwLog' 節點底下) 。 節點名稱必須是已註冊的 'Provider'、'Collector' 或 'Channel' 節點的名稱。 記錄檔及其位置將由 CSP 根據節點名稱來決定。 將記錄檔分成多個已設定區塊大小的區塊,然後傳送 MDM 伺服器所要求的區塊,即可完成檔案下載。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
| 動態節點命名 | UniqueName:節點名稱必須是已註冊的 'Provider'、'Collector' 或 'Channel' 節點的名稱。 |
FileDownload/DMChannel/{FileContext}/BlockCount
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/BlockCount
此節點用於取得相關聯記錄檔的區塊總數。 如果尚未產生記錄檔,則傳回的值為 -1;如果追蹤會話正在進行中,則傳回的值為 -2。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
範例:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockCount</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
FileDownload/DMChannel/{FileContext}/BlockData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/BlockData
這個節點可用來取得 『BlockIndexToRead』 節點所指向之區塊的二進位數據。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | b64 |
| 存取類型 | [取得] |
範例:
<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockData</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
FileDownload/DMChannel/{FileContext}/BlockIndexToRead
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/BlockIndexToRead
此節點用於設定和取得指向 『BlockData』 節點之數據區塊的區塊索引。 值範圍為 0~ (BlockCount-1) 。
範例:
將 BlockIndexToRead 設定為 0:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockIndexToRead</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> </Meta> <Data>0</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>將 BlockIndexToRead 設定為 1:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockIndexToRead</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> </Meta> <Data>1</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 取得、取代 |
FileDownload/DMChannel/{FileContext}/BlockSizeKB
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/BlockSizeKB
此節點用於設定或取得區塊大小, (以 KB 為單位) 以下載關聯記錄檔。 值範圍為 1~16。 預設值為 4。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 取得、取代 |
| 允許的值 | 範圍: [1-16] |
| 預設值 | 4 |
範例:
設定 BlockSizeKB:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockSizeKB</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> </Meta> <Data>1</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>取得 BlockSizeKB:
<?xml version="1.0"?> <SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/DeviceManagement/BlockSizeKB</LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>
FileDownload/DMChannel/{FileContext}/DataBlocks
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/DataBlocks
相關聯記錄檔之所有 'BlockNumber' 節點的根節點。 其子系的數目應該是記錄檔的總區塊計數。 如果 'BlockCount' 節點的值小於 0,就不會有子節點存在。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
FileDownload/DMChannel/{FileContext}/DataBlocks/{BlockNumber}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/FileDownload/DMChannel/{FileContext}/DataBlocks/{BlockNumber}
每個動態節點都代表 『BlockNumber』 節點。 節點名稱是一個整數,等於這個節點所代表之區塊的索引。 因此,節點名稱應該從 0 到 (BlockCount -1) 。 它會傳回這個節點所參考之區塊的二進位數據。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | b64 |
| 存取類型 | [取得] |
| 動態節點命名 | ClientInventory |
原則
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy
包含診斷設定的原則。
這可用來設定 Windows 事件記錄檔原則,例如記錄檔大小上限。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
原則/通道
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels
包含事件記錄檔通道設定的原則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Policy/Channels/{ChannelName}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels/{ChannelName}
每個動態節點都代表已註冊的 「通道」節點。 節點名稱必須是有效的 Windows 事件記錄檔通道名稱,例如 “Microsoft-Client-Licensing-Platform%2FAdmin”。 在 LocURI 中指定名稱時,它必須經過 URL 編碼,否則會意外轉譯成不同的 URI。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | UniqueName:節點名稱必須是有效的 Windows 事件記錄檔通道名稱,例如 Microsoft-Client-Licensing-Platform%2FAdmin。 在 LocURI 中指定名稱時,它必須是 URL 編碼,否則可能會意外轉譯成不同的 URI。 |
範例:
新增通道
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>2</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">node</Format> <Type></Type> </Meta> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除通道
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>3</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName </LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>取得通道
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>4</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>
Policy/Channels/{ChannelName}/ActionWhenFull
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels/{ChannelName}/ActionWhenFull
記錄檔達到大小上限時所要採取的動作。 “Truncate”、“Overwrite”、“Archive”。
如果您停用或未設定此原則設定,則會使用本機設定的值作為預設值。 安裝的每個通道,無論是收件匣或ISV,都會負責定義自己的本機設定,而且任何系統管理員都可以變更該設定。 透過此原則設定的值會覆寫,但不會取代本機設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
允許的值:
| 值 | 描述 |
|---|---|
| 截斷 | 當記錄檔達到其檔案大小上限時,新的事件不會寫入記錄檔,而且會遺失。 |
| 覆寫 | 當記錄檔達到其檔案大小上限時,新的事件會覆寫舊事件。 |
| Archive | 當記錄檔達到其大小上限時,記錄檔會儲存到 [封存位置] 原則設定所指定的位置。 如果未設定封存位置值,新檔案會儲存在與目前記錄檔相同的目錄中。 |
範例:
新增 ActionWhenFull
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>14</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/ActionWhenFull </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type>text/plain</Type> </Meta> <Data>Archive</Data> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除 ActionWhenFull
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>15</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/ActionWhenFull </LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>取得 ActionWhenFull
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>13</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/ActionWhenFull </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>取代 ActionWhenFull
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>16</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/ActionWhenFull </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type>text/plain</Type> </Meta> <Data>Truncate</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
Policy/Channels/{ChannelName}/Enabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels/{ChannelName}/Enabled
此原則設定會指定通道應啟用或停用。 將值設定為TRUE 以啟用 ,並將 FALSE 設為停用。
如果您停用或未設定此原則設定,則會使用本機設定的值作為預設值。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
允許的值:
| 值 | 描述 |
|---|---|
| true | 啟用通道。 |
| false | 停用通道。 |
範例:
已啟用新增
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>18</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/Enabled </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">bool</Format> <Type>text/plain</Type> </Meta> <Data>TRUE</Data> </Item> </Add> <Final/> </SyncBody> </SyncML>已啟用刪除
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>19</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/Enabled </LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>啟 用
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>17</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/Enabled </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>已啟用取代
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>20</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/Enabled </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">bool</Format> <Type>text/plain</Type> </Meta> <Data>FALSE</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
Policy/Channels/{ChannelName}/MaximumFileSize
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels/{ChannelName}/MaximumFileSize
通道記錄檔的大小上限,以 MB 為單位。
- 如果啟用此原則設定,您可以將記錄檔大小上限設定為 1 MB 到 2 TB 的增量。
- 如果您停用或未設定此原則設定,則記錄檔的大小上限會設定為本機設定的值。 本機系統管理員可以使用 [記錄屬性] 對話框來變更此值,且預設為 1 MB。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-2000000] |
| 預設值 | 1 |
範例:
新增 MaximumFileSize
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>6</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/MaximumFileSize </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> <Type>text/plain</Type> </Meta> <Data>3</Data> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除 MaximumFileSize
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>7</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/MaximumFileSize </LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>取得 MaximumFileSize
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>5</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/MaximumFileSize </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>取代 MaximumFileSize
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>8</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/MaximumFileSize </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> <Type>text/plain</Type> </Meta> <Data>5</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
Policy/Channels/{ChannelName}/SDDL
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Vendor/MSFT/DiagnosticLog/Policy/Channels/{ChannelName}/SDDL
控制通道存取的 SDDL 字串。 如需詳細資訊,請參閱 ChannelType 複雜類型。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 區分大小寫 | True |
範例:
新增 SDDL
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Add> <CmdID>10</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/SDDL </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type>text/plain</Type> </Meta> <Data>YourSDDL</Data> </Item> </Add> <Final/> </SyncBody> </SyncML>刪除 SDDL
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Delete> <CmdID>11</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/SDDL </LocURI> </Target> </Item> </Delete> <Final/> </SyncBody> </SyncML>取得 SDDL
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Get> <CmdID>9</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/SDDL </LocURI> </Target> </Item> </Get> <Final/> </SyncBody> </SyncML>取代 SDDL
<SyncML xmlns="SYNCML:SYNCML1.2"> <SyncBody> <Replace> <CmdID>12</CmdID> <Item> <Target> <LocURI> ./Vendor/MSFT/DiagnosticLog/Policy/Channels/ChannelName/SDDL </LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type>text/plain</Type> </Meta> <Data>YourNewSDDL</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML>
比較 FileDownload 和 DiagnosticArchive
FileDownload 和 DiagnosticArchive 功能都可用來將數據從裝置取得到管理伺服器,但它們已針對不同的工作流程進行優化。
- FileDownload 可讓管理伺服器直接從受管理裝置提取位元元節層級追蹤數據。 數據傳輸會透過現有的 OMA-DM/SyncML 內容進行。 它會與 EtwLogs 功能搭配使用,作為進階監視或診斷流程的一部分。 FileDownlod 需要管理伺服器進行細微的協調流程,但避免需要專用雲端記憶體。
- DiagnosticArchive 可讓管理伺服器將一組完整的指示提供給 CSP 作為單一命令。 根據這些指示,CSP 會協調工作用戶端,將要求的診斷檔案封裝成 zip 封存,並將該封存上傳至雲端記憶體。 數據傳輸會透過 HTTP PUT 在 OMA-DM 工作階段外部進行。
如何檢閱ArchiveResults
ArchiveResults 所建立和上傳的 zip 封存包含資料夾結構,如下列範例所示:
PS C:\> dir C:\DiagArchiveExamples\DiagLogs-MYDEVICE-20201202T182748Z
Directory: C:\DiagArchiveExamples\DiagLogs-MYDEVICE-20201202T182748Z
Mode LastWriteTime Length Name
---- ------------- ------ ----
la--- 1/4/2021 2:45 PM 1
la--- 1/4/2021 2:45 PM 2
la--- 12/2/2020 6:27 PM 2701 results.xml
來自原始 Collection XML 的每個資料收集指示詞都會對應至輸出中的資料夾。 例如,第一個指示詞是:
<Collection HRESULT="0">
<RegistryKey HRESULT="0">HKLM\Software\Policies</RegistryKey>
</Collection>
然後,資料夾 1 會包含對應 export.reg 的檔案。
檔案 results.xml 是輸出的授權對應。 其中包含每個指示詞的狀態代碼。 檔案中指示詞的順序會對應至輸出資料夾的順序。 使用 results.xml 系統管理員可以查看已收集的數據、可能發生的失敗,以及哪些資料夾包含哪些輸出。 例如,下列 results.xml 內容指出 HKLM\Software\Policies 的登錄匯出成功,而且可以在資料夾 1中找到數據。 它也表示命令 netsh.exe wlan show profiles 失敗。
<Collection HRESULT="0">
<ID>268b3056-8c15-47c6-a1bd-4bc257aef7b2</ID>
<RegistryKey HRESULT="0">HKLM\Software\Policies</RegistryKey>
<Command HRESULT="-2147024895">%windir%\system32\netsh.exe wlan show profiles</Command>
</Collection>
系統管理員可以將自動化套用至 「results.xml」,以建立自己慣用的數據檢視。 例如,下列 PowerShell 單行程式會從 XML 擷取具有狀態代碼和詳細數據的已排序指示詞清單。
Select-XML -Path results.xml -XPath '//RegistryKey | //Command | //Events | //FoldersFiles' | Foreach-Object -Begin {$i=1} -Process { [pscustomobject]@{DirectiveNumber=$i; DirectiveHRESULT=$_.Node.HRESULT; DirectiveInput=$_.Node.('#text')} ; $i++}
這個範例會產生類似下列輸出的輸出:
DirectiveNumber DirectiveHRESULT DirectiveInput
--------------- ---------------- --------------
1 0 HKLM\Software\Policies
2 0 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall
3 0 HKLM\Software\Microsoft\IntuneManagementExtension
4 0 HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
5 0 %windir%\system32\ipconfig.exe /all
6 0 %windir%\system32\netsh.exe advfirewall show allprofiles
7 0 %windir%\system32\netsh.exe advfirewall show global
8 -2147024895 %windir%\system32\netsh.exe wlan show profiles
下一個範例會將 zip 封存解壓縮成自定義的扁平化檔案結構。 每個檔名都包含指示詞編號、HRESULT 等等。 這個範例可以自定義,以針對要包含在檔名中的資訊,以及要針對特殊字元進行哪些格式設定選項做出不同的選擇。
param( $DiagnosticArchiveZipPath = "C:\DiagArchiveExamples\DiagLogs-MYDEVICE-20201202T182748Z.zip" )
#region Formatting Choices
$flatFileNameTemplate = '({0:D2}) ({3}) (0x{2:X8})'
$maxLengthForInputTextPassedToOutput = 80
#endregion
#region Create Output Folders and Expand Zip
$diagnosticArchiveTempUnzippedPath = $DiagnosticArchiveZipPath + "_expanded"
if(-not (Test-Path $diagnosticArchiveTempUnzippedPath)){mkdir $diagnosticArchiveTempUnzippedPath}
$reformattedArchivePath = $DiagnosticArchiveZipPath + "_formatted"
if(-not (Test-Path $reformattedArchivePath)){mkdir $reformattedArchivePath}
Expand-Archive -Path $DiagnosticArchiveZipPath -DestinationPath $diagnosticArchiveTempUnzippedPath
#endregion
#region Discover and Move/rename Files
$resultElements = ([xml](Get-Content -Path (Join-Path -Path $diagnosticArchiveTempUnzippedPath -ChildPath "results.xml"))).Collection.ChildNodes | Foreach-Object{ $_ }
$n = 0
foreach( $element in $resultElements )
{
$directiveNumber = $n
$n++
if($element.Name -eq 'ID'){ continue }
$directiveType = $element.Name
$directiveStatus = [int]$element.Attributes.ItemOf('HRESULT').psbase.Value
$directiveUserInputRaw = $element.InnerText
$directiveUserInputFileNameCompatible = $directiveUserInputRaw -replace '[\\|/\[\]<>\:"\?\*%\.\s]','_'
$directiveUserInputTrimmed = $directiveUserInputFileNameCompatible.substring(0, [System.Math]::Min($maxLengthForInputTextPassedToOutput, $directiveUserInputFileNameCompatible.Length))
$directiveSummaryString = $flatFileNameTemplate -f $directiveNumber,$directiveType,$directiveStatus,$directiveUserInputTrimmed
$directiveOutputFolder = Join-Path -Path $diagnosticArchiveTempUnzippedPath -ChildPath $directiveNumber
$directiveOutputFiles = Get-ChildItem -Path $directiveOutputFolder -File
foreach( $file in $directiveOutputFiles)
{
$leafSummaryString = $directiveSummaryString,$file.Name -join ' '
Copy-Item $file.FullName -Destination (Join-Path -Path $reformattedArchivePath -ChildPath $leafSummaryString)
}
}
#endregion
Remove-Item -Path $diagnosticArchiveTempUnzippedPath -Force -Recurse
此範例腳本會產生類似下列一組檔案的一組檔案,這對於系統管理員以互動方式瀏覽結果,而不需要流覽任何子資料夾或重複參照 results.xml ,可以是實用的檢視:
PS C:\> dir C:\DiagArchiveExamples\DiagLogs-MYDEVICE-20201202T182748Z.zip_formatted | format-table Length,Name
Length Name
------ ----
46640 (01) (HKLM_Software_Policies) (0x00000000) export.reg
203792 (02) (HKLM_Software_Microsoft_Windows_CurrentVersion_Uninstall) (0x00000000) export.reg
214902 (03) (HKLM_Software_Microsoft_IntuneManagementExtension) (0x00000000) export.reg
212278 (04) (HKLM_SOFTWARE_WOW6432Node_Microsoft_Windows_CurrentVersion_Uninstall) (0x00000000) export.reg
2400 (05) (_windir__system32_ipconfig_exe__all) (0x00000000) output.log
2147 (06) (_windir__system32_netsh_exe_advfirewall_show_allprofiles) (0x00000000) output.log
1043 (07) (_windir__system32_netsh_exe_advfirewall_show_global) (0x00000000) output.log
59 (08) (_windir__system32_netsh_exe_wlan_show_profiles) (0x80070001) output.log
1591 (09) (_windir__system32_ping_exe_-n_50_localhost) (0x00000000) output.log
5192 (10) (_windir__system32_Dsregcmd_exe__status) (0x00000000) output.log