Сбор данных диагностики с устройства Windows

  • Статья

Удаленное действие Сбор данных диагностики позволяет собирать и скачивать журналы с устройств на базе Windows, не отвлекая пользователя. Доступны только расположения, не относящиеся к пользователям, и типы файлов.

Удаленное действие Сбор диагностика также можно настроить для автоматического сбора и отправки журналов устройств Windows при сбое Autopilot на устройстве. При сбое Autopilot журналы будут обрабатываться на неисправном устройстве, а затем автоматически записываться и передаваться в Intune. Устройство может автоматически записывать один набор журналов в день.

Собранные данные диагностики хранятся 28 дней, а затем удаляются. Для каждого устройства можно одновременно хранить до 10 коллекций.

Сбор диагностических средств также доступен в качестве массовых действий устройств, которые собирают диагностические журналы с 25 устройств с Windows одновременно.

Примечание.

Сотрудники Корпорации Майкрософт могут обращаться к диагностика устройств, чтобы помочь в устранении неполадок и разрешении инцидентов.

Требования

Удаленное действие Сбор данных диагностики поддерживают:

  • Intune или совместно управляемые устройства
  • Windows 10 версии 1909 и более поздних
  • Windows 11
  • Microsoft HoloLens 2 2004 года и более поздних
  • Глобальные администраторы, администраторы Intune или роль с разрешениями сбор диагностика (в разделе Удаленные задачи) и Чтениеразделе Политики соответствия устройств)
  • Корпоративные устройства
  • Устройства, которые находятся в сети и могут взаимодействовать со службой во время диагностика

Примечание.

Чтобы диагностика успешно отправлялись из клиента, убедитесь, что следующие URL-адреса не заблокированы в сети:lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

Сбор диагностики

Чтобы использовать действие Сбор диагностики:

  1. Вход в Центр администрирования Microsoft Intune
  2. Перейдите в раздел Устройства>Windows> выберите поддерживаемое устройство.
  3. На странице "Обзор" устройства выберите ...>Собрать диагностика>Го. На странице Обзор устройства появится уведомление об ожидании.
  4. Чтобы увидеть состояние действия, выберите Монитор диагностики устройства.
  5. После завершения действия выберите Скачать в строке для действия >Да.
  6. ZIP-файл данных будет добавлен в область загрузки, и вы сможете сохранить его на компьютере.

Сбор диагностических данных при сбое Autopilot

Для сбора диагностика Autopilot никаких дополнительных действий не требуется. Autopilot диагностика будет автоматически записываться при сбое устройств, если включена функция диагностики автоматического захвата Autopilot.

Чтобы просмотреть диагностика, собранные после сбоя Autopilot, выполните следующие действия.

  1. Вход в Центр администрирования Microsoft Intune
  2. Перейдите в раздел Устройства>Windows.
  3. Выберите устройство:
  4. Выберите Скачать диагностику>.
  5. ZIP-файл данных будет добавлен в область загрузки, и вы сможете сохранить его на компьютере.

Собираемые данные

Хотя нет намерения собирать персональные данные, диагностика может включать в себя информацию, идентифицируемую пользователем, например имя пользователя или устройства.

Если вы установили KB5011543 на Windows 10 или KB5011563 на Windows 11, формат ZIP-файла будет проще:

  • Плоская структура, в которой собранные журналы именуются в соответствии с собранными данными.
  • При сборе нескольких файлов создается папка.

Этот список соответствует тому же порядку, что и в ZIP-файле диагностики. Каждая коллекция содержит следующие данные:

Разделы реестра:

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

Команды:

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Средства просмотра событий:

  • Application
  • Microsoft-Windows-AppLocker/EXE and DLL
  • Microsoft-Windows-AppLocker/MSI and Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activity/Operational
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • Настройка
  • Системные

Файлы:

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

Отключение диагностики устройств

Удаленное действие Сбор диагностика включено по умолчанию. Чтобы отключить удаленное действие Сбор данных диагностики для всех устройств, выполните следующие действия.

  1. Вход в Центр администрирования Microsoft Intune

  2. Перейдите в разделДиагностика устройстваадминистрирования> клиента.

  3. Измените элемент управления в разделе Диагностика устройства доступны для корпоративных устройств под управлением Windows 10 версии 1909 и более поздних версий или Windows 11. На Отключено.

    Снимок экрана: панель диагностика устройства с выделенным элементом управления для диагностика устройства, для параметра Отключено.

Отключение автоматического сбора диагностика Autopilot

Автоматическая запись диагностики Autopilot включена по умолчанию. Вы можете отключить автоматическую запись диагностики Autopilot, выполнив следующие действия.

  1. Вход в Центр администрирования Microsoft Intune

  2. Перейдите в разделДиагностика устройстваадминистрирования> клиента.

  3. Измените элемент управления в разделе Автоматически записывать диагностика при сбое устройства во время процесса Autopilot в Windows 10 версии 1909 или более поздней и Windows 11. Диагностика может включать сведения, идентифицируемые пользователем, такие как имя пользователя или устройства (предварительная версия). Значение Отключено.

    Снимок экрана: панель диагностика устройства с выделенным элементом управления для автоматического сбора диагностика Autopilot с установленным значением Отключено.

Известные проблемы с диагностикой устройств

В настоящее время существуют две основные проблемы, которые могут привести к сбою диагностики устройств:

  1. На устройствах без исправлений KB4601315 или KB4601319 может истекать время ожидания. Эти исправления содержат исправление для DiagnosticLog CSP, которое предотвращает завершение времени ожидания при передаче. После установки обновления обязательно перезагрузите устройство.
  2. Устройство не смогло получить действие устройства в течение 24 часов. Если устройство находится в автономном режиме или отключено, это может привести к сбою.