향상된 진단 데이터 정책 제한을 통해 수집된 Windows 10 진단 데이터 이벤트 및 필드

  • 아티클

적용 대상

  • Windows 10 버전 1709 및 최신 버전

중요

  • Windows Analytics의 업그레이드 준비 및 디바이스 상태 솔루션은 2020년 1월 31일에 사용이 중지됐습니다.
  • Desktop Analytics는 더 이상 사용되지 않으며 2022년 11월 30일에 사용이 중지됐습니다.

Desktop Analytics 보고서는 기본 수준에 포함되지 않은 진단 데이터에서 제공됩니다.

Windows 10, 버전 1709에서는 "고급 진단 데이터를 Windows Analytics에서 요구하는 최소 수준으로 제한"이라는 새로운 기능이 도입되었습니다. 이 기능을 사용하겠다고 설정하면 고급 수준에 포함된 운영 체제 진단 데이터 이벤트를 아래 설명된 이벤트로만 제한합니다. 고급 수준에는 아래에 설명되지 않은 제한된 충돌 보고서도 포함됩니다. 고급 수준에 대한 자세한 내용은 조직에서 Windows 진단 데이터 구성을 참조하십시오.

Windows Analytics가 만료되면 이 정책은 Desktop Analytics에서 계속 지원되지만 Office 관련 진단 데이터는 포함되지 않습니다.

KernelProcess.AppStateChangeSummary

이 이벤트는 응용 프로그램 사용 및 성능 특성을 요약하여 Microsoft의 성능 및 안정성을 개선하는 데 도움이 됩니다. 조직은 Desktop Analytics에서 이 이벤트를 사용하여 응용 프로그램 안정성에 대한 통찰력을 얻을 수 있습니다.

다음 필드를 사용할 수 있습니다.

  • CommitChargeAtExit_Sum: 종료 시 프로세스에 대한 총 메모리 요청입니다.
  • CommitChargePeakAtExit_Sum: 종료 시 프로세스에 대한 총 피크 메모리 요청입니다.
  • ContainerId: 서버 사일로 컨테이너 ID.
  • CrashCount: 프로세스 인스턴스에 대한 충돌 횟수입니다.
  • CycleCountAtExit_Sum: 종료 시 프로세스에 대한 총 프로세서 주기입니다.
  • ExtraInfoFlags: 로깅의 내부 상태를 나타내는 플래그입니다.
  • GhostCount_Sum: 응용 프로그램 응답이 중지된 총 인스턴스 수입니다.
  • HandleCountAtExit_Sum: 종료 시 프로세스에 대한 총 핸들 수입니다.
  • HangCount_Max: 감지된 최대 중지 횟수입니다.
  • HangCount_Sum: 감지된 최대 응용 프로그램 중지 횟수입니다.
  • HardFaultCountAtExit_Sum: 종료 시 프로세스에 대해 감지된 총 하드 페이지 오류 수입니다.
  • HeartbeatCount: 이 요약에 대해 기록된 하트비트입니다.
  • HeartbeatSuspendedCount: 프로세스가 중단된 이 요약에 대해 기록된 하트비트입니다.
  • LaunchCount: 시작된 프로세스 인스턴스 수입니다.
  • LicenseType: 향후 사용을 위해 예약되어 있습니다.
  • ProcessDurationMS_Sum: 벽시계 프로세스의 총 기간입니다.
  • ReadCountAtExit_Sum: 종료 시 프로세스에 대한 총 I/O 읽기 수입니다.
  • ReadSizeInKBAtExit_Sum: 종료 시 프로세스에 대한 총 I/O 읽기 크기입니다.
  • ResumeCount: 프로세스 인스턴스가 재개되었던 횟수입니다.
  • RunningDurationMS_Sum: 총 가동 시간입니다.
  • SuspendCount: 프로세스 인스턴스가 중단되었던 횟수입니다.
  • TargetAppId: 응용 프로그램 식별자입니다.
  • TargetAppType: 응용 프로그램 유형입니다.
  • TargetAppVer: 응용 프로그램 버전입니다.
  • TerminateCount: 프로세스 종료 횟수입니다.
  • WriteCountAtExit_Sum: 종료 시 프로세스에 대한 총 I/O 읽기 수입니다.
  • WriteSizeInKBAtExit_Sum: 종료 시 프로세스에 대한 총 I/O 쓰기 크기입니다.

Microsoft.Office.TelemetryEngine.IsPreLaunch

Office UWP 응용프로그램에서 사용 가능합니다. 이 이벤트는 스토어에서 업그레이드/설치 후 Office 응용 프로그램이 처음 시작될 때 발생합니다. 기본 진단 데이터의 일부입니다. 특정 세션이 시작 세션인지 여부를 추적하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • SessionID: 세션의 ID

Microsoft.Office.SessionIdProvider.OfficeProcessSessionStart

이 이벤트는 새 Office 세션이 시작될 때 기본 정보를 보냅니다. 주어진 장치에서 보이는 고유 세션의 수를 세는 데 사용됩니다. 응용 프로그램이 장치에서 실행 중인지 여부를 확인하기 위한 하트비트 이벤트로 사용됩니다. 또한 전체 응용 프로그램의 안정성을 위한 중요한 신호 역할을 합니다.

  • AppSessionGuid: 응용 프로그램의 프로세스에 매핑되는 세션의 ID입니다.
  • processSessionId: 응용 프로그램의 프로세스에 매핑되는 세션의 ID입니다.

Microsoft.Office.TelemetryEngine.SessionHandOff

Win32 Office 응용 프로그램에서 사용 가능합니다. 이 이벤트는 사용자가 시작한 파일 열기 이벤트를 처리하기 위해 만들어진 새로운 세션이 있는지 여부를 파악하는 데 도움이 됩니다. 신뢰성 신호를 유도하고 응용 프로그램이 예상대로 작동하는지 확인하는 데 사용되는 중요한 진단 정보입니다.

  • appVersionBuild: 응용 프로그램 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • childSessionID: 사용자가 시작한 파일 열기를 처리하기 위해 만들어진 세션의 ID입니다.
  • parentSessionId: 이미 실행중인 세션의 ID

Microsoft.Office.CorrelationMetadata.UTCCorrelationMetadata

UTC를 통해 Office 메타 데이터를 수집하여 Office 원격 분석 파이프라인을 통해 수집 된 동일한 데이터와 비교하여 데이터의 정확성과 완전성을 검사합니다.

  • abConfigs: 이 세션에 사용 가능한 기능 목록
  • abFlights: 이 세션에 사용 가능한 기능 목록
  • AppSessionGuid: 세션의 ID
  • appVersionBuild: 응용 프로그램 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRevision: 버전의 네 번째 부분 ..*.XXXXX
  • audienceGroup: 이 그룹은 참가자입니까, 제작의 일부입니까?
  • audienceId: 대상 그룹 설정 ID
  • channel: 반기 채널의 일부입니까, 반기 채널 (대상 지정)의 일부입니까?
  • deviceClass: 이 장치는 데스크톱 장치입니까, 모바일 장치입니까?
  • impressionId: 이 세션에서 사용 가능한 기능
  • languageTag: 앱의 언어
  • officeUserID: 특정 장치의 사무실 설치에 연결된 고유한 식별자입니다.
  • osArchitecture: 컴퓨터가 32 비트입니까, 64 비트입니까?
  • osEnvironment: 이 앱은 win32 앱입니까, UWP 앱입니까?
  • osVersionString: OS 버전
  • sessionID: 세션의 ID

Microsoft.Office.ClickToRun.UpdateStatus

모든 Win32 Office 응용 프로그램에서 사용 가능합니다. Office 제품군의 업데이트 프로세스 상태 (성공인지 또는 실패라면 오류 세부 정보와 함께)를 이해하는 데 도움을 줍니다.

  • build: 앱 버전
  • channel: GA 채널의 일부인가요?
  • errorCode: 업그레이드 프로세스 중에 어떤 오류가 발생 했습니까?
  • errorMessage: 업그레이드 프로세스 중에 발생한 오류 메시지는 무엇입니까?
  • status: 업그레이드가 성공적이었습니까?
  • targetBuild: 어떤 앱 버전으로 업그레이드하려고 했습니까?

Microsoft.Office.TelemetryEngine.FirstIdle

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 원격 분석을 전송할 준비가 되면 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.FirstProcessed

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 수집해야 하는 규칙 또는 이벤트 목록을 처리 할 때 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.FirstRuleRequest

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 앱에서 전송해야 하는 첫번째 규칙 또는 이벤트 목록을 수신할 때 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.Init

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 초기화되었거나 시작되지 않은 경우 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.Resume

이 이벤트는 응용 프로그램이 절전 모드에서 다시 시작될 때 발생합니다. 응용 프로그램의 수명 주기에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • maxSequenceIdSeen: 이 세션에서 지금까지 얼마나 많은 이벤트를 보았습니까?
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • rulesSubmittedBeforeResume: 프로세스가 재개되기 전에 몇 개의 이벤트가 제출되었습니까?
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.RuleRequestFailed

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 이벤트 목록을 포함하는 규칙을 검색하지 못할 때 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.RuleRequestFailedDueToClientOffline

이 이벤트는 장치가 오프라인일때 Office 응용 프로그램 내의 원격 분석 엔진이 이벤트 목록을 포함하는 규칙을 검색하지 못할 때 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.ShutdownComplete

이 이벤트는 Office 응용 프로그램 내의 원격 측정 엔진이 수집해야 하는 규칙 또는 이벤트 목록을 처리 할 때 발생합니다. 앱 종료 중에 특정 크래시가 발생하는지 여부를 이해하고 잠재적으로 데이터 손실을 초래할 수 있는지 여부를 파악하는 데 유용합니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • maxSequenceIdSeen: 이 세션에서 지금까지 얼마나 많은 이벤트를 보았습니까?
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • rulesSubmittedBeforeResume: 프로세스가 재개되기 전에 몇 개의 이벤트가 제출되었습니까?
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.ShutdownStart

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 초기화되지 않고 응용 프로그램이 종료될 때 발생합니다. 앱 종료 중에 특정 크래시가 발생하는지 여부를 이해하고 잠재적으로 데이터 손실을 초래할 수 있는지 여부를 파악하는 데 유용합니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • rulesSubmittedBeforeResume: 프로세스가 재개되기 전에 몇 개의 이벤트가 제출되었습니까?
  • SessionID: 세션의 ID

Microsoft.Office.TelemetryEngine.SuspendComplete

이 이벤트는 Office 응용 프로그램 내의 원격 분석 엔진이 수집해야 하는 규칙 또는 이벤트 목록을 처리 할 때 발생합니다. 원격 분석에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • maxSequenceIdSeen: 이 세션에서 지금까지 얼마나 많은 이벤트를 보았습니까?
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • rulesSubmittedBeforeResume: 프로세스가 재개되기 전에 몇 개의 이벤트가 제출되었습니까?
  • SessionID: 세션의 ID
  • SuspendType: 일시 중단 유형

Microsoft.Office.TelemetryEngine.SuspendStart

이 이벤트는 Office 응용 프로그램이 앱의 수명 주기 변경에 따라 일시 중단되면 발생합니다. 응용 프로그램의 수명 주기에 문제가 있는지 여부를 파악하는 데 사용됩니다.

  • appVersionBuild: 버전의 세 번째 부분 ..XXXXX.*
  • appVersionMajor: 버전의 첫 번째 부분 X...*
  • appVersionMinor: 버전의 두 번째 부분 .X..*
  • appVersionRev: 버전의 네 번째 부분 ..*.XXXXX
  • maxSequenceIdSeen: 이 세션에서 지금까지 얼마나 많은 이벤트를 보았습니까?
  • officeUserID: 장치에 연결된 설치 ID입니다. 특정 사용자에게 매핑되지 않습니다.
  • rulesSubmittedBeforeResume: 프로세스가 재개되기 전에 몇 개의 이벤트가 제출되었습니까?
  • SessionID: 세션의 ID
  • SuspendType: 일시 중단 유형

Microsoft.OSG.OSS.CredProvFramework.ReportResultStop

이 이벤트는 자격 증명 공급자를 통한 사용자 인증 시도의 결과를 나타냅니다. Microsoft의 로그인 안정성 개선에 도움이 됩니다. Desktop Analytics에 이 이벤트를 사용하면 조직이 관리되는 장치에서 다양한 방법(예: 생체 인식)의 로그인 성공을 모니터링하고 개선하는 데 도움이 됩니다.

다음 필드를 사용할 수 있습니다.

  • CredTileProviderId: 자격 증명 공급자의 ID입니다.
  • IsConnectedUser: 사용자가 연결되어 있는지 여부를 나타내는 플래그입니다.
  • IsPLAPTile: 이 자격 증명 타일이 사전 로그온 액세스 공급자인지 여부를 나타내는 플래그입니다.
  • IsRemoteSession: 세션이 원격인지 여부를 나타내는 플래그입니다.
  • IsV2CredProv: V2의 자격 증명 공급자인지 여부를 나타내는 플래그입니다.
  • OpitonalStatusText: 상태 텍스트입니다.
  • ProcessImage: 프로세스의 이미지 경로입니다.
  • ProviderId: 자격 증명 공급자 ID입니다.
  • ProviderStatusIcon: 어떤 상태 아이콘이 표시되어야 하는지 나타냅니다.
  • ReturnCode: ReportResult 함수의 출력입니다.
  • SessionId: 세션 식별자입니다.
  • Sign-in error status: 로그인 오류 상태입니다.
  • SubStatus: 로그인 오류 하위 상태입니다.
  • UserTag: 사용자가 공급자를 선택했던 횟수입니다.

Microsoft.Windows.Kernel.Power.OSStateChange

이 이벤트는 운영 체제 상태(켜짐, 꺼짐, 절전 모드 등) 간 전환을 나타냅니다. 이 이벤트를 Desktop Analytics와 사용하면, 조직에서 관리 장치의 안정성 및 성능을 모니터링할 수 있습니다.

다음 필드를 사용할 수 있습니다.

  • AcPowerOnline: True인 경우 장치가 AC 전원을 사용하고 있습니다. "False"인 경우 장치가 배터리 전원을 사용하고 있습니다.
  • ActualTransitions: 마지막 시스템 부팅 이후 운영 체제 상태 간 전환 횟수입니다.
  • BatteryCapacity: 최대 배터리 용량(mWh)입니다.
  • BatteryCharge: 배터리의 총 용량 가운데 현재 충전량입니다(%).
  • BatteryDischarging: 배터리의 방전 또는 충전 여부를 나타내는 플래그입니다.
  • BootId: 운영 체제 설치 이후 총 부팅 횟수입니다.
  • BootTimeUTC: (BootID에 의해 식별된) 특정 부팅 이벤트의 날짜 및 시간입니다.
  • EnergyChangeV2: 전력 사용량 변화를 반영하는 스냅숏 값입니다(mWh).
  • EnergyChangeV2Flags: EnergyChangeV2 컨텍스트 표시 플래그입니다.
  • EventSequence: 데이터의 완성도를 평가하는 데 사용되는 일련 번호입니다.
  • LastStateTransition: 마지막 운영 체제 상태 전환의 ID입니다.
  • LastStateTransitionSub: 마지막 운영 체제 하위 상태 전환의 ID입니다.
  • StateDurationMS: 마지막 운영 체제 상태에서 소요된 시간(밀리초)입니다.
  • StateTransition: 시스템이 전환 중인 운영 체제 상태의 ID입니다.
  • StateTransitionSub: 시스템이 전환 중인 운영 체제 하위 상태의 ID입니다.
  • TotalDurationMS: 마지막 부팅 이후 모든 상태에서 소요된 총 시간(밀리초)입니다.
  • TotalUptimeMS: 마지막 부팅 이후 장치가 실행 중 상태인 총 시간(밀리초)입니다.
  • TransitionsToOn: 마지막 부팅 이후 전원 켜짐 상태로 전환된 횟수입니다.
  • UptimeDeltaMS: 마지막 이벤트 이후 작동 시간에 추가된 총 시간(밀리초)입니다.

Microsoft.Windows.LogonController.LogonAndUnlockSubmit

로그인 또는 장치 잠금 해제를 시도하는 사용자의 세부 정보를 전송합니다.

다음 필드를 사용할 수 있습니다.

  • isSystemManagedAccount: 사용자의 계정이 시스템 관리인지 여부를 나타냅니다.
  • isUnlockScenario: 이벤트가 로그온 또는 잠금 해제인지 여부를 나타내는 플래그입니다.
  • userType: 사용자 유형을 나타냅니다. 0 = 알 수 없음, 1 = 로컬, 2 = Active Directory 도메인 사용자, 3 = Microsoft 계정, 4 = Azure Active Directory 사용자

Microsoft.Windows.LogonController.SignInFailure

실패한 로그인 동안 감지된 모든 오류 코드에 대한 세부 정보를 전송합니다.

다음 필드를 사용할 수 있습니다.

  • ntsStatus: 로그인 시도에서 반환된 NTSTATUS 오류 코드 상태입니다.
  • ntsSubstatus: 로그인 시도에서 반환된 NTSTATUS 오류 코드 하위 상태입니다.

Microsoft.Windows.Security.Biometrics.Service.BioServiceActivityCapture

생체 인식 캡처가 알려진 템플릿과 비교되었음을 나타냅니다.

다음 필드를 사용할 수 있습니다.

  • captureDetail: 등록과 일치 또는 오류라는 생체 인식 캡처 결과입니다.
  • captureSuccessful: 생체 인식 캡처가 성공적으로 일치되었는지 여부를 나타냅니다.
  • hardwareId: 생체 인식 캡처를 수집한 센서의 ID입니다.
  • isSecureSensor: 생체 인식 센서가 고급 보안 모드에 있는지 여부를 나타내는 플래그입니다.
  • isTrustletRunning: 고급 보안 구성 요소가 현재 실행 중인지 여부를 나타냅니다.
  • isVsmCfg: 가상 보안 모드가 구성되었는지 여부를 나타내는 플래그입니다.

Microsoft.Windows.Security.Winlogon.SystemBootStop

시스템 부팅이 완료되었습니다.

다음 필드를 사용할 수 있습니다.

  • ticksSinceBoot: 부팅 이벤트의 시간(밀리초)입니다.

Microsoft.Windows.Shell.Desktop.LogonFramework.AllLogonTasks

이 이벤트는 로그인 절차를 요약하여 Microsoft의 성능 및 안정성을 개선하는 데 도움이 됩니다. 이 이벤트를 Desktop Analytics와 사용하면, 조직에서 관리 장치의 로그인 문제를 식별할 수 있습니다.

다음 필드를 사용할 수 있습니다.

  • isAadUser: 현재 로그온이 Azure Active Directory 계정에 대한 것인지 여부를 나타냅니다.
  • isDomainUser: 현재 로그온이 도메인 계정에 대한 것인지 여부를 나타냅니다.
  • isMSA: 현재 로그온이 Microsoft 계정에 대한 것인지 여부를 나타냅니다.
  • logonOptimizationFlags: 이 로그온 세션에 대한 최적화 설정을 나타내는 플래그입니다.
  • logonTypeFlags: 로그온 유형(처음 로그온 또는 이후 로그온)을 나타내는 플래그입니다.
  • systemManufacturer: 장치 제조업체입니다.
  • systemProductName: 장치 제품 이름입니다.
  • wilActivity: 작업의 오류를 나타내어 Microsoft의 안정성 개선에 도움이 됩니다.

Microsoft.Windows.Shell.Desktop.LogonFramework.LogonTask

이 이벤트는 사용자 로그온 순서의 일부인 시스템 작업을 설명하고 Microsoft의 안정성 개선에 도움이 됩니다.

다음 필드를 사용할 수 있습니다.

  • isStartWaitTask: 작업이 백그라운드 작업을 시작하는지 여부를 나타내는 플래그입니다.
  • isWaitMethod: 작업이 백그라운드 작업에서 대기 중임을 나타내는 플래그입니다.
  • logonTask: 어떤 로그온 단계가 현재 실행 중인지 나타냅니다.
  • wilActivity: 작업의 오류를 나타내어 Microsoft의 안정성 개선에 도움이 됩니다.

Microsoft.Windows.Shell.Explorer.DesktopReady

탐색기 초기화가 완료되었습니다.

Microsoft-Windows-Security-EFS-EDPAudit-ApplicationLearning.EdpAuditLogApplicationLearning

Windows Information Protection 정책의 대상인 장치의 경우 앱이 정책 경계(예: 개인 앱으로부터 작업 문서를 열려는 시도)를 발견할 때 학습 이벤트가 생성됩니다. 이러한 이벤트는 Windows Information Protection 관리자가 정책 규칙을 조정하고 불필요한 사용자 중단을 방지하는 데 도움이 됩니다.

다음 필드를 사용할 수 있습니다.

  • actiontype: 앱에서 정책 경계를 발견했을 때 앱에서 시도(예: 로컬 문서 또는 네트워크 리소스 열기)하는 리소스 액세스의 유형을 나타냅니다. Windows Information Protection 관리자가 정책 규칙을 조정하는 데 유용합니다.
  • appIdType: 응용 프로그램의 유형에 따라 이 필드는 Windows Information Protection 관리자가 이 앱을 만드는 데 필요한 앱 규칙의 유형을 나타냅니다.
  • appname: 이벤트를 트리거하는 앱입니다.
  • status: Windows Information Protection 학습 이벤트 도중에 오류가 발생했는지를 나타냅니다.

Win32kTraceLogging.AppInteractivitySummary

Microsoft의 호환성 및 사용자 환경 개선에 도움이 되도록 Windows에서 사용되고 있는 앱(예: 포커스)을 요약합니다. 또한 Desktop Analytics를 사용하면 조직이 관리되는 디바이스에서 응용 프로그램 안정성을 이해하고 개선하는 데 도움이 됩니다.

다음 필드를 사용할 수 있습니다.

  • AggregationDurationMS: 실제 집계 기간(밀리초)입니다.
  • AggregationFlags: 집계 설정을 나타내는 플래그입니다.
  • AggregationPeriodMS: 의도한 집계 기간(밀리초)입니다.
  • AggregationStartTime: AppInteractivity 집계의 시작 날짜 및 시간입니다.
  • AppId: 사용하는 응용 프로그램 ID입니다.
  • AppSessionId: 응용 프로그램의 사용 세션을 식별하는 GUID입니다.
  • AppVersion: 이 이벤트를 생성하는 응용 프로그램의 버전입니다.
  • AudioInMS: 오디오 캡처 시간(밀리초)입니다.
  • AudioOutMS: 오디오 재생 시간(밀리초)입니다.
  • BackgroundMouseSec: 앱이 백그라운드에 있는 동안 마우스 가리키기 이벤트가 있었음을 나타냅니다.
  • BitPeriodMS: InFocusBitmap에 의해 표시된 시간 길이입니다.
  • CommandLineHash: 명령줄의 해시입니다.
  • CompositionDirtyGeneratedSec: 활성 앱이 업데이트가 있다고 보고하는 동안의 시간(초)를 나타냅니다.
  • CompositionDirtyPropagatedSec: 앱에 호스트된 시각 효과 포함 별도 프로세스가 업데이트 신호를 보내는 총 시간(초)입니다.
  • CompositionRenderedSec: 앱의 콘텐츠가 렌더링된 시간(초)입니다.
  • EventSequence: [추가 정보 필요]
  • FocusLostCount: 집계 기간 동안 앱이 포커스를 손실한 횟수입니다.
  • GameInputSec: 게임 컨트롤러를 사용한 사용자 입력이 있는 시간(초)입니다.
  • HidInputSec: 게임 컨트롤러 대신 다른 장치를 사용한 사용자 입력이 있는 시간(초)입니다.
  • InFocusBitmap: 응용 프로그램의 포커스 보유 및 손실을 나타내는 비트 시리즈입니다.
  • InFocusDurationMS: 응용 프로그램에 포커스가 있는 시간(초)입니다.
  • InputSec: 모든 사용자 입력이 있는 동안의 초입니다.
  • InteractiveTimeoutPeriodMS: 비활성으로 대화형 세션을 만료한 총 시간(밀리초)입니다.
  • KeyboardInputSec: 키보드 입력이 있는 동안의 초입니다.
  • MonitorFlags: 개별 모니터의 앱 사용을 나타내는 플래그입니다.
  • MonitorHeight: 애플리케이션 호스트 모니터 해상도의 세로 픽셀 수입니다.
  • MonitorWidth: 애플리케이션 호스트 모니터 해상도의 가로 픽셀 수입니다.
  • MouseInputSec: 마우스 입력이 있는 동안의 초입니다.
  • NewProcessCount: 집계에 기여하는 새 프로세스의 수입니다.
  • PartATransform_AppSessionGuidToUserSid: 이벤트의 다른 부분이 어떻게 구성되었는지에 영향을 주는 플래그입니다.
  • PenInputSec: 펜 입력이 있는 동안의 초입니다.
  • SpeechRecognitionSec: 총 음성 인식 초입니다.
  • SummaryRound: 요약된 라운드(배치)를 나타내는 증분 숫자입니다.
  • TargetAsId 이벤트의 다른 부분이 어떻게 구성되었는지에 영향을 주는 플래그입니다.
  • TotalUserOrDisplayActiveDurationMS: 사용자 또는 디스플레이가 활성인 총 시간(밀리초)입니다.
  • TouchInputSec: 터치 입력이 있는 동안의 초입니다.
  • UserActiveDurationMS: 사용자가 모든 입력 방법을 포함하여 활성인 총 시간입니다.
  • UserActiveTransitionCount: 사용자 활동 전환 횟수입니다.
  • UserOrDisplayActiveDurationMS: 사용자가 디스플레이를 사용하는 총 시간입니다.
  • ViewFlags: 앱 보기의 속성을 나타내는 플래그 (예 : 특수한 VR보기 또는 보지 않기)입니다.
  • WindowFlags: 앱 창의 런타임 속성을 나타내는 플래그입니다.
  • WindowHeight: 응용 프로그램 창의 세로 픽셀 수입니다.
  • WindowWidth: 응용 프로그램 창의 가로 픽셀 수입니다.

수정 버전

PartA_UserSid가 제거됨

이 목록의 이전 수정 버전에는 이름이 PartA_UserSid인 필드가 Microsoft.Windows.LogonController.LogonAndUnlockSubmit 이벤트의 멤버인 것으로 지정되었습니다. 이 설명은 잘못되었습니다. 해당 필드가 이벤트에 존재하지 않는다는 것을 반영하도록 목록이 업데이트되었습니다.

Office 이벤트 추가됨

Windows 10, 버전 1809에 ( KB 4462932KB 4462933 으로 시작하는 버전 1709 및 1803에도 각각 적용됩니다.) 16 개의 이벤트가 추가되어 Office 앱 시작 및 가용성에 대해 설명합니다. Windows Analytics에서 Office 데이터의 정확도를 높이기 위해 이러한 이벤트가 추가되었습니다.

참고

Desktop Analytics에서 이 정책을 통해 Office 데이터가 더 이상 제공되지 않습니다.

CertAnalytics 이벤트 제거

Windows 10, 버전 1809에서(각각 KB 4462932KB 4462933부터 버전 1709 및 1803에도 적용됨), 3개의 "CertAnalytics" 이벤트가 더 이상 Desktop Analytics에 필요하지 않으므로 제거되었습니다.

참고

Windows 진단 데이터 뷰어를 사용하여 이 항목에서 설명한대로 이벤트 및 해당 필드를 관찰하고 검토할 수 있습니다.