Solución de problemas del sensor de Microsoft Defender for Identity mediante los registros de Defender for Identity
Los registros de Defender for Identity proporcionan información sobre lo que cada componente del sensor de Microsoft Defender for Identity está haciendo en un momento dado.
Los registros de Defender for Identity se encuentran en una subcarpeta denominada Registros donde se instala Defender for Identity; la ubicación predeterminada es: C:\Program Files\Azure Advanced Threat Protection Sensor\. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Registros del sensor de Defender for Identity
El sensor de Defender for Identity tiene los siguientes registros:
Microsoft.Tri.Gateway.log: este registro contiene todo lo que sucede en la puerta de enlace del sensor Defender for Identity (incluida la resolución y los errores). Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.
Microsoft.Tri.Sensor-Errors.log: este registro contiene solo los errores detectados por el sensor de Defender for Identity. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben estar correlacionados con tiempos específicos.
Microsoft.Tri.Sensor.Updater.log: este registro se usa para el proceso del actualizador del sensor, que es responsable de actualizar el sensor de Defender for Identity, si estuviera configurado para hacerlo automáticamente.
Microsoft.Tri.Sensor.Updater-Errors.log: este registro contiene solo los errores detectados por el servicio del actualizador del sensor de Defender for Identity. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben estar correlacionados con tiempos específicos.
Nota:
Los archivos de registro tienen un tamaño máximo de hasta 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre de archivo original>-Archived-00000", donde se incrementa el número cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.
Registros de implementación de Defender for Identity
Los registros de implementación de Defender for Identity se encuentran en el directorio temporal del usuario que instaló el producto. Normalmente se encuentra en %USERPROFILE%\AppData\Local\Temp. Si lo implementó un servicio, puede encontrarse en C:\Windows\Temp.
Registros de implementación del sensor de Defender for Identity:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log: este archivo de registro proporciona todo el proceso de implementación del sensor y se puede encontrar en la carpeta temporal mencionada anteriormente.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log: en este registro se enumeran los pasos del proceso de implementación del sensor de Defender for Identity. Su uso principal es realizar el seguimiento del proceso de implementación del sensor de Defender for Identity.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log: en este registro se enumeran los pasos del proceso de implementación del sensor binario de Defender for Identity. Su uso principal es realizar un seguimiento de la implementación de los archivos binarios del sensor de Defender for Identity.
Nota:
Además de los registros de implementación mencionados aquí, hay otros registros que comienzan por "Azure Advanced Threat Protection" que también pueden proporcionar información adicional sobre el proceso de implementación.