收集 MDM 日志

本文内容

为了帮助诊断由 MDM 服务器管理的 设备中的注册或设备管理问题，可以检查从桌面收集的 MDM 日志。 以下部分介绍收集 MDM 日志的过程。

从 设备下载 MDM 诊断信息日志

在托管设备上，转到 “设置>帐户>”“访问工作或学校”。

选择工作或学校帐户，然后选择 “信息”。

在 “设置” 页底部，选择“ 创建报表”。

此时会打开一个窗口，显示日志文件的路径。 选择“ 导出”。

在“文件资源管理器”中，导航到 C:Users 以查看报表。

使用 命令直接从 设备收集日志

还可以使用以下命令收集 MDM 诊断信息日志：

mdmdiagnosticstool.exe -area "DeviceEnrollment;DeviceProvisioning;Autopilot" -zip "c:userspublicdocumentsMDMDiagReport.zip"

了解 zip 结构

zip 文件根据 命令中使用的区域具有日志。 此说明基于 、 和 区域。 它适用于通过命令行或反馈中心收集的 zip 文件

直接从 设备收集日志

MDM 日志在以下位置的 事件查看器中捕获：

下面是屏幕截图：

在此位置，默认情况下，管理员通道记录事件。 但是，如果需要更详细的日志，可以通过在 事件查看器 的“查看”菜单中选择“显示分析和调试日志”选项来启用调试日志。

收集管理员日志右键单击管理员节点。选择“ 将所有事件另存为”。选择一个位置并输入文件名。选择保存。选择 “显示这些语言的信息 ”，然后选择“ 英语”。选择“确定”。

有关更详细的日志记录，可以启用 调试 日志。 右键单击“ 调试” 节点，然后选择“ 启用日志”。

收集调试日志右键单击“ 调试” 节点。选择“ 将所有事件另存为”。选择一个位置并输入文件名。选择保存。选择 “显示这些语言的信息 ”，然后选择“ 英语”。选择“确定”。

可以在 设备上的事件查看器中打开日志文件 (.evtx 文件) 。

从 设备远程收集日志

如果电脑已在 MDM 中注册，则可以通过 MDM 通道从电脑远程收集日志（如果 MDM 服务器支持此功能）。 CSP 可用于按全名启用事件查看器通道。 下面是管理员和调试通道的事件查看器名称：

示例：启用调试通道日志记录

    
        
            2
            
                
                    ./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/State
                
                
                    bool
                
                true
            
        
        
    

示例：导出调试日志

    
        
            2
            
                
                    ./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/Export
                
            
        
        
    

从 全息远程收集日志

对于已在 MDM 中注册的全息，可以使用 CSP 通过 MDM 通道远程收集 MDM 日志。

可以使用 CSP 启用 ETW 提供程序。 提供程序 ID 为 -0FE2-415C-B895-。 以下示例演示如何启用 ETW 提供程序：

添加收集器节点

    
        
            1
            
                
                   ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM
                
                
                    node
                
            
        
        
    

将 ETW 提供程序添加到跟踪

    
        
            1
            
                
                    ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/Providers/3DA494E4-0FE2-415C-B895-FB5265C5C83B
                
                
                    node
                
            
        
        
    

启动收集器跟踪日志记录

    
        
            2
            
                
                    ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl
                
                
                    chr
                
                START
            
        
        
    

停止收集器跟踪日志记录

    
        
            2
            
                
                    ./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl
                
                
                    chr
                
                STOP
            
        
        
    

在设备上收集日志后，可以使用 CSP 的 部分通过 MDM 通道检索文件。 有关详细信息，请参阅 CSP。

查看日志

为了获得最佳结果，请确保查看日志的电脑或 VM 与从中收集日志的操作系统的内部版本匹配。

打开 .msc。

右键单击“事件查看器 (本地) 并选择”打开保存的日志”。

导航到从设备获取的 etl 文件，然后打开该文件。

出现提示时选择“ 是 ”，将其保存为新的日志格式。

新视图包含来自通道的跟踪。 从“操作”菜单中选择“筛选当前日志”。

通过选择 “-s- ”，将筛选器添加到事件源，然后选择“ 确定”。

现在可以开始查看日志了。

收集设备状态数据

下面是如何使用 CSP 收集当前 MDM 设备状态数据的示例。 可以在 CSP 中使用与处理 etl 文件相同的 节点从设备收集文件。

  
    
      2
      
        
          ./Vendor/MSFT/DiagnosticLog/DeviceStateData/MdmConfiguration
        
        
           chr
        
        SNAP