從 Windows 裝置收集診斷
收集診斷遠端動作可讓您收集和下載 Windows 裝置記錄,而不會中斷使用者。 只會存取非使用者位置和檔案類型。
收集診斷遠端動作也可以設定為在裝置上發生 Autopilot 失敗時自動收集和上傳 Windows 裝置記錄。 發生 Autopilot 失敗時,記錄會在失敗的裝置上處理,然後自動擷取並上傳至 Intune。 裝置每天可以自動擷取一組記錄。
診斷集合會儲存 28 天,然後刪除。 每個裝置一次最多可以儲存10個集合。
收集診斷 也可作為 大量裝置動作 ,一次從最多 25 部 Windows 裝置收集診斷記錄。
注意事項
Microsoft 人員可以存取裝置診斷,以協助疑難解答和解決事件。
需求
下列項目支援 收集診斷 遠端動作:
- Intune 或共同管理的裝置
- Windows 10 1909 版和更新版本
- Windows 11
- Microsoft HoloLens 2 2004 和更新版本
- 全域管理員、Intune 系統管理員,或在 [裝置合規性政策] 下) 和 [讀取 (] 下收集診斷 () 許可權的角色
- 公司擁有的裝置
- 在線且能夠在診斷期間與服務通訊的裝置
注意事項
若要讓診斷能夠從用戶端成功上傳,請確定網路上不會封鎖下列 URL: lgmsapeweu.blob.core.windows.net
lgmsapewus2.blob.core.windows.net
lgmsapesea.blob.core.windows.net
lgmsapeaus.blob.core.windows.net
lgmsapeind.blob.core.windows.net
收集診斷
若要使用 收集診斷 動作:
- 登入 Microsoft Intune 系統管理中心
- 流覽至 [ 裝置>][Windows> ] 選取支援的裝置。
- 在裝置的 [ 概觀 ] 頁面上,選取 [...]>收集診斷>是。 裝置的 [ 概觀 ] 頁面上會出現擱置中的通知。
- 若要查看動作的狀態,請選取 [裝置診斷監視器]。
- 動作完成之後,選取數據列中的 [下載] 作為動作 > [是]。
- 數據 ZIP 檔案會新增至您的下載匣,您可以將它儲存到您的電腦。
Autopilot 失敗的診斷集合
針對 Autopilot 診斷集合,不需要採取任何其他動作。 只要已啟用 Autopilot 自動擷取診斷功能,當裝置發生失敗時,就會自動擷取 Autopilot 診斷。
若要檢視 Autopilot 失敗後收集的診斷:
- 登入 Microsoft Intune 系統管理中心
- 流覽至 [裝置>] [Windows]。
- 選取裝置。
- 選取> [診斷下載]。
- 數據 ZIP 檔案會新增至您的下載匣,您可以將它儲存到您的電腦。
收集的資料
雖然沒有任何收集個人資料的意圖,但診斷可能包含用戶可識別的資訊,例如使用者或裝置名稱。
如果您已在 Windows 10 上安裝KB5011543,或在 Windows 11 上KB5011563,則 zip 檔案的格式會比較簡單,包括:
- 扁平化結構,其中所收集的記錄會命名為符合收集的數據
- 收集多個檔案時,會建立資料夾。
下列清單與診斷 zip 的順序相同。 每個集合都包含下列資料:
登入機碼:
- HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
- HKLM\SOFTWARE\Microsoft\EPMAgent
- HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
- HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
- HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
- HKLM\SOFTWARE\Microsoft\Windows 進階威脅防護
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SOFTWARE\Policies
- HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
- HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
- HKLM\SYSTEM\Setup\SetupDiag\Results
命令:
- %programfiles%\windows defender\mpcmdrun.exe -GetFiles
- %windir%\system32\certutil.exe -store
- %windir%\system32\certutil.exe -store -user my
- %windir%\system32\Dsregcmd.exe /status
- %windir%\system32\ipconfig.exe /all
- %windir%\system32\mdmdiagnosticstool.exe
- %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
- %windir%\system32\netsh.exe advfirewall show allprofiles
- %windir%\system32\netsh.exe advfirewall show global
- %windir%\system32\netsh.exe lan show 設定檔
- %windir%\system32\netsh.exe winhttp show Proxy
- %windir%\system32\netsh.exe wlan show 配置檔
- %windir%\system32\netsh.exe wlan show wlanreport
- %windir%\system32\ping.exe -n 50 localhost
- %windir%\system32\pnputil.exe /enum-drivers
- %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
- %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html
事件檢視器:
- 應用程式
- Microsoft-Windows-AppLocker/EXE and DLL
- Microsoft-Windows-AppLocker/MSI and Script
- Microsoft-Windows-AppLocker/Packaged app-Deployment
- Microsoft-Windows-AppLocker/Packaged app-Execution
- Microsoft-Windows-AppxPackaging/Operational
- Microsoft-Windows-Bitlocker/Bitlocker Management
- Microsoft-Windows-HelloForBusiness/Operational
- Microsoft-Windows-SENSE/Operational
- Microsoft-Windows-SenseIR/Operational
- 具有進階安全性/防火牆的 Microsoft-Windows-Windows 防火牆
- Microsoft-Windows-WinRM/Operational
- Microsoft-Windows-WMI-Activity/Operational
- Microsoft-Windows-AppXDeployment/Operational
- Microsoft-Windows-AppXDeploymentServer/Operational
- 設定
- 系統
檔案:
- %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
- %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
- %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
- %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
- %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
- %ProgramData%\USOShared\logs\system\*.etl
- %ProgramData Microsoft Update Health Tools\Logs\*.etl
- %temp%\CloudDesktop*.log
- %temp%\MDMDiagnostics\battery-report.html
- %temp%\MDMDiagnostics\energy-report.html
- %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
- %temp%\MDMDiagnostics\msinfo32.log
- %windir%\ccm\logs\*.log
- %windir%\ccmsetup\logs\*.log
- %windir%\logs\CBS\cbs.log
- %windir%\logs\measuredboot\*.*
- %windir%\logs\Panther\unattendgc\setupact.log
- %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
- %windir%\Logs\SetupDiag\SetupDiagResults.xml
- %windir%\logs\WindowsUpdate\*.etl
- %windir%\SensorFramework*.etl
- %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
- %windir%\temp%computername%*.log
- %windir%\temp\officeclicktorun*.log
- %TEMP%\winget\defaultstate*.log
停用裝置診斷
默認會啟用 收集診斷 遠程動作。 您可以遵循下列步驟,停用所有裝置 的收集診斷 遠端動作:
流覽至 [租使用者管理>] [裝置診斷]。
將 [裝置診斷] 底下的控件變更為 [公司管理的裝置],其執行 Windows 10 版本 1909 及更新版本,或 Windows 11。為 [已停用]。
停用 Autopilot 自動收集診斷
默認會啟用 Autopilot 自動診斷擷取。 您可以依照下列步驟停用 Autopilot 自動診斷擷取:
流覽至 [租使用者管理>] [裝置診斷]。
在 Windows 10 1909 版或更新版本的 Autopilot 程式期間發生失敗且 Windows 11 時,變更 [自動擷取診斷] 底下的控件。診斷可能包含使用者標識資訊,例如使用者或裝置名稱 (預覽) 。至 [已停用]。
裝置診斷的已知問題
目前有兩個主要問題可能會導致裝置診斷失敗:
- 裝置上可能會發生逾時,而沒有修補 程式KB4601315 或 KB4601319。 這些修補程式包含 DiagnosticLog CSP 的修正,可防止在上傳期間逾時。 安裝更新之後,請務必重新啟動您的裝置。
- 裝置無法在24小時內收到裝置動作。 如果裝置離線或關閉,可能會導致失敗。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應