Solución de problemas de ATA con los registros de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

Los registros de ATA proporcionan información sobre lo que cada componente de ATA está haciendo en cualquier momento dado.

Registros de la puerta de enlace de ATA

En esta sección, todas las referencias a la puerta de enlace de ATA también son relevantes para la puerta de enlace ligera de ATA.

Los registros de puerta de enlace de ATA se encuentran en una subcarpeta denominada Registros donde se instala ATA; la ubicación predeterminada es: C:\Archivos de programa\Microsoft Advanced Threat Analytics\. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Gateway\Logs.

La puerta de enlace de ATA tiene los siguientes registros:

• Microsoft.Tri.Gateway.log: este registro contiene todo lo que sucede en la puerta de enlace de ATA (incluida la resolución y los errores). Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.

• Microsoft.Tri.Gateway-Resolution.log: este registro contiene los detalles de resolución de las entidades que la puerta de enlace de ATA ve en el tráfico. Su uso principal es investigar problemas de resolución de entidades.

• Microsoft.Tri.Gateway-Errors.log: este registro contiene solo los errores detectados por la puerta de enlace de ATA. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben estar correlacionados con tiempos específicos.

• Microsoft.Tri.Gateway-ExceptionStatistics.log: este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio de puerta de enlace de ATA y se actualiza cada minuto. Su uso principal es comprender si hay nuevos errores o problemas con la puerta de enlace de ATA (porque si los errores están agrupados es más fácil leer y comprender rápidamente si hay problemas nuevos).

• Microsoft.Tri.Gateway.Updater.log: este registro se usa para el proceso del actualizador de puerta de enlace, que es responsable de actualizar la puerta de enlace de ATA si está configurado para hacerlo automáticamente. Para la puerta de enlace ligera de ATA, el proceso del actualizador de puerta de enlace también es responsable de las limitaciones de recursos de la puerta de enlace ligera de ATA.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log: este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio de actualización de ATA y se actualiza cada minuto. Permite comprender si hay nuevos errores o problemas con el actualizador de ATA. Los errores se agrupan para facilitar la comprensión rápida de si se detectan nuevos errores o problemas.

Nota:

Los tres primeros archivos de registro tienen un tamaño máximo de hasta 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre de archivo original>-Archived-00000", donde se incrementa el número cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.

Registros del Centro de ATA

Los registros del Centro ATA se encuentran en una subcarpeta denominada Registros. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\Logs".

Nota:

Los registros de la consola de ATA que anteriormente estaban en los registros de IIS ahora se encuentran en los registros del Centro de ATA.

El Centro de ATA tiene los siguientes registros:

• Microsoft.Tri.Center.log: este registro contiene todo lo que sucede en el Centro de ATA, incluidas las detecciones y los errores. Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.

• Microsoft.Tri.Center-Detection.log: este registro contiene solo los detalles de detección del Centro de ATA. Su uso principal es investigar los problemas de detección.

• Microsoft.Tri.Center-Errors.log: este registro contiene solo los errores detectados por el Centro de ATA. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben estar correlacionados con tiempos específicos.

• Microsoft.Tri.Center-ExceptionStatistics.log: este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio del Centro de ATA y se actualiza cada minuto. Su uso principal es comprender si hay nuevos errores o problemas con el Centro de ATA, ya que si los errores se agrupan es más fácil entender rápidamente si hay un nuevo error o problema.

Nota:

Los tres primeros archivos de registro tienen un tamaño máximo de hasta 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre de archivo original>-Archived-00000", donde se incrementa el número cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.

Registros de implementación de ATA

Los registros de implementación de ATA se encuentran en el directorio temporal del usuario que instaló el producto. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Usuarios<usuario que ha iniciado sesión>\AppData\Local\Temp (o un directorio por encima de %temp%).

Registros de implementación del Centro de ATA:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log: en este registro se enumeran los pasos del proceso de implementación del Centro de ATA. Su uso principal es realizar el seguimiento del proceso de implementación del Centro de ATA.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log: en este registro se enumeran los pasos del proceso de implementación de MongoDB en el Centro de ATA. Su uso principal es realizar el seguimiento del proceso de implementación de MongoDB.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log: este archivo de registro enumera los pasos del proceso de implementación de los archivos binarios del Centro de ATA. Su uso principal es realizar un seguimiento de la implementación de los archivos binarios del Centro de ATA.

Registros de implementación de puerta de enlace de ATA y puerta de enlace ligera de ATA:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log: en este registro se enumeran los pasos del proceso de implementación de la puerta de enlace de ATA. Su uso principal es realizar el seguimiento del proceso de implementación de la puerta de enlace de ATA.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log: este archivo de registro enumera los pasos del proceso de implementación de los archivos binarios de la puerta de enlace de ATA. Su uso principal es realizar un seguimiento de la implementación de los archivos binarios de la puerta de enlace de ATA.

Nota:

Además de los registros de implementación mencionados aquí, hay otros registros que comienzan por "Microsoft Advanced Threat Analytics" que también pueden proporcionar información adicional sobre el proceso de implementación.

Consulte también

• Requisitos previos de ATA
• Planeamiento de capacidad de ATA
• Configuración de la recopilación de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA