Passer en revue les événements et les erreurs à l’aide de observateur d'événements
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Afficher les événements dans le journal des événements du service Defender pour point de terminaison
Vous pouvez consulter les ID d’événement dans le observateur d'événements sur des appareils individuels. Cela peut être utile quand, par exemple, un appareil n’apparaît pas dans la liste Appareils. Dans ce scénario, vous pouvez rechercher des ID d’événement sur l’appareil, puis utiliser le tableau ci-dessous pour déterminer les étapes de résolution des problèmes supplémentaires en fonction de l’ID d’événement correspondant.
Pour ouvrir le journal des événements du service Defender pour point de terminaison :
Sélectionnez Démarrer dans le menu Windows, tapez observateur d'événements, puis appuyez sur Entrée pour ouvrir le observateur d'événements.
Dans la liste des journaux, sous Résumé du journal, faites défiler jusqu’à ce que vous voyiez Microsoft-Windows-SENSE/Operational. Double-cliquez sur l’élément pour ouvrir le journal.
Vous pouvez également accéder au journal en développant Journaux > des applications et des servicesMicrosoft>Windows>SENSE et en sélectionnant Opérationnel.
Remarque
SENSE est le nom interne utilisé pour faire référence au capteur comportemental qui alimente Microsoft Defender pour point de terminaison.
Les événements enregistrés par le service apparaissent dans le journal.
Consultez le tableau suivant pour obtenir la liste des événements enregistrés par le service.
ID d’événement | Message | Description | Action |
---|---|---|---|
1 | Microsoft Defender pour point de terminaison service a démarré (version variable ). |
Se produit pendant le démarrage, l’arrêt et l’intégration du système. | Notification de fonctionnement normal ; aucune action requise. |
2 | Microsoft Defender pour point de terminaison l’arrêt du service. | Se produit lorsque l’appareil est arrêté ou désactivé. | Notification de fonctionnement normal ; aucune action requise. |
3 | Microsoft Defender pour point de terminaison service n’a pas pu démarrer. Code d’échec : variable . |
Le service n’a pas démarré. | Passez en revue les autres messages pour déterminer la cause possible et les étapes de résolution des problèmes. |
4 | Microsoft Defender pour point de terminaison service a contacté le serveur à l’adresse variable . |
Variable = URL des serveurs de traitement Defender pour point de terminaison. Cette URL correspond à celle affichée dans le pare-feu ou l’activité réseau. |
Notification de fonctionnement normal ; aucune action requise. |
5 | Microsoft Defender pour point de terminaison service n’a pas pu se connecter au serveur sur variable . |
Variable = URL des serveurs de traitement Defender pour point de terminaison. Le service n’a pas pu contacter les serveurs de traitement externes à cette URL. |
Vérifiez la connexion à l’URL. Consultez Configurer le proxy et la connectivité Internet. |
6 | Microsoft Defender pour point de terminaison service n’est pas intégré et aucun paramètre d’intégration n’a été trouvé. | L’appareil n’a pas été correctement intégré et ne signale pas au portail. | L’intégration doit être exécutée avant de démarrer le service. Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
7 | Microsoft Defender pour point de terminaison service n’a pas pu lire les paramètres d’intégration. Échec : variable . |
Variable = description détaillée de l’erreur. L’appareil n’a pas été correctement intégré et ne signale pas au portail. | Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
8 | Microsoft Defender pour point de terminaison service n’a pas pu propre sa configuration. Code d’échec : variable . |
Pendant l’intégration : Le service n’a pas pu propre sa configuration pendant l’intégration. Le processus d’intégration se poursuit. Pendant la désintégration : Le service n’a pas pu propre sa configuration pendant la désintégration. Le processus de désintégration s’est terminé, mais le service continue de s’exécuter. |
Intégration : Aucune action n’est requise. Désintégrage : Redémarrez le système. Consultez Intégrer des appareils clients Windows. |
9 | Microsoft Defender pour point de terminaison service n’a pas pu modifier son type de démarrage. Code d’échec : variable . |
Pendant l’intégration : L’appareil n’a pas été correctement intégré et ne signale pas au portail. Pendant la désintégration : Échec de la modification du type de démarrage du service. Le processus de désintégration se poursuit. |
Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
10 | Microsoft Defender pour point de terminaison service n’a pas pu conserver les informations d’intégration. Code d’échec : variable . |
L’appareil n’a pas été correctement intégré et ne signale pas au portail. | Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
11 | Intégration ou reprise d’intégration du service Defender pour point de terminaison terminée. | L’appareil a été correctement intégré. | Notification de fonctionnement normal ; aucune action requise. L’affichage de l’appareil dans le portail peut prendre plusieurs heures. |
12 | Microsoft Defender pour point de terminaison n’a pas pu appliquer la configuration par défaut. | Le service n’a pas pu appliquer la configuration par défaut. | Cette erreur doit se résoudre après un court laps de temps. |
13 | Microsoft Defender pour point de terminaison’ID d’appareil calculé : variable . |
Processus de fonctionnement normal. | Notification de fonctionnement normal ; aucune action requise. |
15 | Microsoft Defender pour point de terminaison ne pouvez pas démarrer le canal de commande avec l’URL : variable . |
Variable = URL des serveurs de traitement Defender pour point de terminaison. Le service n’a pas pu contacter les serveurs de traitement externes à cette URL. |
Vérifiez la connexion à l’URL. Consultez Configurer le proxy et la connectivité Internet. |
17 | Microsoft Defender pour point de terminaison service n’a pas pu modifier l’emplacement du service Expériences utilisateur connectées et télémétrie. Code d’échec : variable . |
Une erreur s’est produite avec le service de télémétrie Windows. |
Vérifiez que le service de données de diagnostic est activé . Vérifiez> que le service de données de diagnostic est activé. Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
18 | OOBE (Windows Welcome) est terminé. | Le service ne démarre qu’une fois l’installation des mises à jour Windows terminée. | Notification de fonctionnement normal ; aucune action requise. |
19 | OOBE (Windows Welcome) n’est pas encore terminé. | Le service démarre uniquement une fois l’installation des mises à jour Windows terminée. | Notification de fonctionnement normal ; aucune action requise. Si cette erreur persiste après un redémarrage du système, vérifiez que toutes les mises à jour Windows sont complètes. |
20 | Impossible d’attendre la fin de l’OOBE (Windows Welcome). Code d’échec : variable . |
Erreur interne. | Si cette erreur persiste après un redémarrage du système, vérifiez que toutes les mises à jour Windows sont installées. |
25 | Microsoft Defender pour point de terminaison service n’a pas pu réinitialiser status d’intégrité dans le Registre. Code d’échec : variable . |
L’appareil n’a pas été correctement intégré. Il rend compte au portail ; Toutefois, le service peut ne pas apparaître comme inscrit dans SCCM ou le registre. | Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
26 | Microsoft Defender pour point de terminaison service n’a pas pu définir le status d’intégration dans le Registre. Code d’échec : variable . |
L’appareil n’a pas été correctement intégré. Il rend compte au portail ; Toutefois, le service peut ne pas apparaître comme inscrit dans SCCM ou le registre. |
Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
27 | Microsoft Defender pour point de terminaison service n’a pas pu activer le mode sensible dans Microsoft Defender Antivirus. Échec du processus d’intégration. Code d’échec : variable . |
Normalement, Microsoft Defender Antivirus passe à un état passif spécial si un autre produit anti-programme malveillant en temps réel s’exécute correctement sur l’appareil et que l’appareil signale à Defender pour point de terminaison. | Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. Vérifiez que la protection anti-programme malveillant en temps réel s’exécute correctement. |
28 | Microsoft Defender pour point de terminaison’inscription du service Expériences des utilisateurs connectés et télémétrie a échoué. Code d’échec : variable . |
Une erreur s’est produite avec le service de télémétrie Windows. |
Vérifiez que le service de données de diagnostic est activé. Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
29 | Échec de la lecture des paramètres de désintéglage. Type d’erreur : %1, Code d’erreur : %2, Description : %3 | Cet événement se produit lorsque le système ne peut pas lire les paramètres de désintéglage. | Vérifiez que l’appareil dispose d’un accès à Internet, puis réexécutez l’ensemble du processus de désintégration. Vérifiez que le package de désintégrage n’a pas expiré. |
30 | Microsoft Defender pour point de terminaison service n’a pas pu désactiver le mode sensible dans Microsoft Defender Antivirus. Code d’échec : variable . |
Normalement, Microsoft Defender Antivirus passe à un état passif spécial si un autre produit anti-programme malveillant en temps réel s’exécute correctement sur l’appareil et que l’appareil signale à Defender pour point de terminaison. | Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. Vérifiez que la protection anti-programme malveillant en temps réel s’exécute correctement. |
31 | Microsoft Defender pour point de terminaison l’annulation de l’inscription du service Expériences des utilisateurs connectés et télémétrie a échoué. Code d’échec : variable . |
Une erreur s’est produite avec le service de télémétrie Windows lors de l’intégration. Le processus de désintégration se poursuit. | Recherchez les erreurs avec le service de télémétrie Windows. |
32 | Microsoft Defender pour point de terminaison service n’a pas pu demander à s’arrêter après le processus de désintégration. Code d’échec : %1 | Une erreur s’est produite lors de la désintégration. | Redémarrez l’appareil. |
33 | Microsoft Defender pour point de terminaison service n’a pas pu conserver le GUID SENSE. Code d’échec : variable . |
Un identificateur unique est utilisé pour représenter chaque appareil qui signale au portail. Si l’identificateur ne persiste pas, le même appareil peut apparaître deux fois dans le portail. |
Vérifiez les autorisations du Registre sur l’appareil pour vous assurer que le service peut mettre à jour le Registre. |
34 | Microsoft Defender pour point de terminaison service n’a pas pu s’ajouter en tant que dépendance au service Expériences des utilisateurs connectés et Télémétrie, ce qui a entraîné l’échec du processus d’intégration. Code d’échec : variable . |
Une erreur s’est produite avec le service de télémétrie Windows. |
Vérifiez que le service de données de diagnostic est activé. Vérifiez que les paramètres d’intégration et les scripts ont été correctement déployés. Essayez de redéployer les packages de configuration. Consultez Intégrer des appareils clients Windows. |
35 | Les quotas de communication sont mis à jour. Quota de disque en Mo : variable , quota de chargement quotidien en Mo : variable |
Variable = quota de disque en Mo. | Notification de fonctionnement normal ; aucune action requise. |
36 | Microsoft Defender pour point de terminaison’inscription du service Expériences des utilisateurs connectés et télémétrie a réussi. Code de saisie semi-automatique : variable . |
L’inscription de Defender pour point de terminaison auprès du service Expériences des utilisateurs connectés et télémétrie s’est terminée avec succès. | Notification de fonctionnement normal ; aucune action requise. |
37 | Microsoft Defender pour point de terminaison Un module est sur le point de dépasser son quota. Module : %1, Quota : {%2} {%3}, Pourcentage d’utilisation du quota : %4. | L’appareil est proche de son quota alloué de la fenêtre de 24 heures actuelle. Il est sur le point d’être limité. | Notification de fonctionnement normal ; aucune action requise. |
38 | La connexion réseau est identifiée comme faible. Microsoft Defender pour point de terminaison contacte le serveur toutes les %1 minutes. Connexion limitée : %2, Internet disponible : %3, réseau gratuit disponible : %4. | L’appareil utilise un réseau à l’usage/payant et contacte le serveur moins fréquemment. | Notification de fonctionnement normal ; aucune action requise. |
39 | La connexion réseau est identifiée comme normale. Microsoft Defender pour point de terminaison contacte le serveur toutes les %1 minutes. Connexion limitée : %2, Internet disponible : %3, réseau gratuit disponible : %4. | L’appareil n’utilise pas de connexion limitée/payante et contacte le serveur comme d’habitude. | Notification de fonctionnement normal ; aucune action requise. |
40 | L’état de la batterie est identifié comme faible. Microsoft Defender pour point de terminaison contacte le serveur toutes les %1 minutes. État de la batterie : %2. | L’appareil a un niveau de batterie faible et contacte le serveur moins fréquemment. | Notification de fonctionnement normal ; aucune action requise. |
41 | L’état de la batterie est identifié comme normal. Microsoft Defender pour point de terminaison contacte le serveur toutes les %1 minutes. État de la batterie : %2. | L’appareil n’a pas un niveau de batterie faible et contacte le serveur comme d’habitude. | Notification de fonctionnement normal ; aucune action requise. |
42 | Microsoft Defender pour point de terminaison composant n’a pas pu effectuer l’action. Composant : %1, Action : %2, Type d’exception : %3, Message d’exception : %4 | Erreur interne. Le service n’a pas pu démarrer. | Si cette erreur persiste, contactez le support technique. |
43 | Microsoft Defender pour point de terminaison composant n’a pas pu effectuer l’action. Composant : %1, Action : %2, Type d’exception : %3, Erreur d’exception : %4, Message d’exception : %5 | Erreur interne. Le service n’a pas pu démarrer. | Si cette erreur persiste, contactez le support technique. |
44 | Désactivation du service Defender pour point de terminaison terminée. | Le service a été désactivé. | Notification de fonctionnement normal ; aucune action requise. |
45 | Échec de l’inscription et du démarrage de la session de suivi des événements [%1]. Code d’erreur : %2 | Une erreur s’est produite au démarrage du service lors de la création d’une session ETW. Cela a provoqué l’échec du démarrage du service. | Si cette erreur persiste, contactez le support technique. |
46 | Échec de l’inscription et du démarrage de la session de suivi des événements [%1] en raison d’un manque de ressources. Code d’erreur : %2. Cela est probablement dû au fait qu’il y a trop de sessions de suivi d’événements actives. Le service effectue une nouvelle tentative en 1 minute. | Une erreur s’est produite au démarrage du service lors de la création d’une session ETW en raison d’un manque de ressources. Le service est en cours d’exécution, mais ne signale pas les événements de capteur tant que la session ETW ne démarre pas. | Notification de fonctionnement normal ; aucune action requise. Le service tente de démarrer la session toutes les minutes. |
47 | Inscription et démarrage réussis de la session de trace d’événements - récupéré après des tentatives ayant échoué précédentes. | Cet événement suit l’événement précédent après le démarrage réussi de la session ETW. | Notification de fonctionnement normal ; aucune action requise. |
48 | Échec de l’ajout d’un fournisseur [%1] à la session de suivi des événements [%2]. Code d’erreur : %3. Cela signifie que les événements de ce fournisseur ne sont pas signalés. | Échec de l’ajout d’un fournisseur à la session ETW. Par conséquent, les événements du fournisseur ne sont pas signalés. | Vérifiez le code d’erreur. Si l’erreur persiste, contactez le support technique. |
49 | Commande de configuration cloud non valide reçue et ignorée. Version : %1, status : %2, code d’erreur : %3, message : %4 | Nous avons reçu un fichier de configuration non valide du service cloud qui a été ignoré. | Si cette erreur persiste, contactez le support technique. |
50 | Nouvelle configuration cloud appliquée avec succès. Version : %1. | Application réussie d’une nouvelle configuration à partir du service cloud. | Notification de fonctionnement normal ; aucune action requise. |
51 | Échec de l’application de la nouvelle configuration cloud, version : %1. Application réussie de la dernière configuration correcte connue, version %2. | Nous avons reçu un fichier de configuration incorrect du service cloud. La dernière configuration correcte connue a été appliquée avec succès. | Si cette erreur persiste, contactez le support technique. |
52 | Échec de l’application de la nouvelle configuration cloud, version : %1. Échec de l’application de la dernière configuration correcte connue, version %2. La configuration par défaut a été correctement appliquée. | Nous avons reçu un fichier de configuration incorrect du service cloud. Échec de l’application de la dernière configuration correcte connue et la configuration par défaut a été appliquée. | Le service tente de télécharger un nouveau fichier de configuration dans les 5 minutes. Si vous ne voyez pas l’événement #50, contactez le support. |
53 | Configuration cloud chargée à partir du stockage persistant, version : %1. | La configuration a été chargée à partir du stockage persistant au démarrage du service. | Notification de fonctionnement normal ; aucune action requise. |
54 | L’état global (par modèle) a changé. État : %1, modèle : %2 | Si l’état = 0 : la règle de création de rapports de cyberdonnées a atteint son quota de limitation défini et n’envoie pas de données supplémentaires tant que le quota de limitation n’a pas expiré. Si l’état = 1 : le quota de limitation a expiré et la règle reprend l’envoi de données. | Notification de fonctionnement normal ; aucune action requise. |
55 | Échec de la création de l’autologger ETW sécurisé. Code d’échec : %1 | Échec de la création de l’enregistreur d’événements ETW sécurisé. | Redémarrez l’appareil. Si cette erreur persiste, contactez le support technique. |
56 | Échec de la suppression de l’autologger ETW sécurisé. Code d’échec : %1 | Échec de la suppression de la session ETW sécurisée lors de la désactivation. | Contactez le support technique. |
57 | Capture d’un instantané de l’ordinateur à des fins de résolution des problèmes. | Un package d’investigation, également appelé package d’investigation, est en cours de collecte. | Notification de fonctionnement normal ; aucune action requise. |
59 | Commande de démarrage : %1 | Démarrage de l’exécution de la commande response. | Notification de fonctionnement normal ; aucune action requise. |
60 | Échec de l’exécution de la commande %1, erreur : %2. | Échec de l’exécution de la commande response. | Si cette erreur persiste, contactez le support technique. |
61 | Les paramètres de la commande de collecte de données ne sont pas valides : SasUri : %1, compressionLevel : %2. | Échec de la lecture ou de l’analyse des arguments de commande de collecte de données (arguments non valides). | Si cette erreur persiste, contactez le support technique. |
62 | Échec du démarrage du service Expériences des utilisateurs connectés et télémétrie. Code d’échec : %1 | Le service Expériences des utilisateurs connectés et télémétrie (diagtrack) n’a pas pu démarrer. Les données de télémétrie non Microsoft Defender pour point de terminaison ne sont pas envoyées à partir de cet ordinateur. | Recherchez d’autres conseils de résolution des problèmes dans le journal des événements : Microsoft-Windows-UniversalTelemetryClient/Operational. |
63 | Mise à jour du type de démarrage du service externe. Nom : %1, type de début réel : %2, type de début attendu : %3, code de sortie : %4 | Type de démarrage mis à jour du service externe. | Notification de fonctionnement normal ; aucune action requise. |
64 | Démarrage du service externe arrêté. Nom : %1, code de sortie : %2 | Démarrage d’un service externe. | Notification de fonctionnement normal ; aucune action requise. |
65 | Échec du chargement du pilote minifiltre du composant Événements de sécurité Microsoft. Code d’échec : %1 | Échec du chargement du minifiltre MsSecFlt.sys système de fichiers. | Redémarrez l’appareil. Si cette erreur persiste, contactez le support technique. |
66 | Mise à jour de la stratégie : mode de latence - %1 | La stratégie de fréquence de connexion C&C a été mise à jour. | Notification de fonctionnement normal ; aucune action requise. |
68 | Le type de début du service est inattendu. Nom du service : %1, type de début réel : %2, type de début attendu : %3 | Type de démarrage de service externe inattendu. | Correction du type de démarrage du service externe. |
69 | Le service est arrêté. Nom du service : %1 | Le service externe est arrêté. | Démarrez le service externe. |
70 | Mise à jour de la stratégie : Autoriser la collecte d’exemples - %1 | L’exemple de stratégie de collecte a été mis à jour. | Notification de fonctionnement normal ; aucune action requise. |
71 | Exécution réussie de la commande : %1 | La commande a été exécutée avec succès. | Notification de fonctionnement normal ; aucune action requise. |
72 | Nous avons essayé d’envoyer le premier rapport de profil d’ordinateur complet. Code de résultat : %1 | Information uniquement. | Notification de fonctionnement normal ; aucune action requise. |
73 | Détecter le démarrage de la plateforme : %1 | Information uniquement. | Notification de fonctionnement normal ; aucune action requise. |
74 | La balise d’appareil dans le Registre dépasse la limite de longueur. Nom de la balise : %2. Limite de longueur : %1. | La balise de l’appareil dépasse la limite de longueur. | Utilisez une balise d’appareil plus courte. |
81 | Impossible de créer Microsoft Defender pour point de terminaison journal automatique ETW. Code d’échec : %1 | Échec de la création de la session ETW. | Redémarrez l’appareil. Si cette erreur persiste, contactez le support technique. |
82 | Échec de la suppression Microsoft Defender pour point de terminaison journal automatique ETW. Code d’échec : %1 | Échec de la suppression de la session ETW. | Contactez le support technique. |
84 | Définissez Microsoft Defender mode d’exécution de l’antivirus. Forcer le mode passif : %1, code de résultat : %2. | Définissez le mode d’exécution defender (actif ou passif). | Notification de fonctionnement normal ; aucune action requise. |
85 | Échec du déclenchement de Microsoft Defender pour point de terminaison exécutable. Code d’échec : %1 | Échec de l’exécutable SenseIR en vedette. | Redémarrez l’appareil. Si cette erreur persiste, contactez le support technique. |
86 | Le démarrage a de nouveau arrêté le service externe qui devrait être en place. Nom : %1, code de sortie : %2 | Redémarrant le service externe. | Notification de fonctionnement normal ; aucune action requise. |
87 | Impossible de démarrer le service externe. Nom : %1 | Échec du démarrage du service externe. | Contactez le support technique. |
88 | Mise à jour du type de démarrage du service externe. Nom : %1, type de début réel : %2, type de début attendu : %3, code de sortie : %4 | Mise à jour du type de démarrage du service externe. | Notification de fonctionnement normal ; aucune action requise. |
89 | Impossible de mettre à jour le type de début du service externe. Nom : %1, type de début réel : %2, type de début attendu : %3 | Impossible de mettre à jour le type de démarrage du service externe. | Contactez le support technique. |
90 | Échec de la configuration de System Guard Runtime Monitor pour se connecter au service cloud dans la région géographique %1. Code d’échec : %2 | System Guard Runtime Monitor n’envoie pas de données d’attestation au service cloud. | Vérifiez les autorisations sur le chemin d’accès au registre : « HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm ». Si aucun problème n’est détecté, contactez le support. |
91 | Impossible de supprimer System Guard informations de géorégion du moniteur d’exécution. Code d’échec : %1 | System Guard Runtime Monitor n’envoie pas de données d’attestation au service cloud. | Vérifiez les autorisations sur le chemin d’accès au registre : « HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm ». Si aucun problème n’est détecté, contactez le support. |
92 | Arrêt de l’envoi du quota de données cyber du capteur, car le quota de données est dépassé. Reprend l’envoi une fois la période de quota écoulée. Masque d’état : %1 | Dépasser la limite de limitation. | Notification de fonctionnement normal ; aucune action requise. |
93 | Reprise de l’envoi des données cyber du capteur. Masque d’état : %1 | Reprendre la soumission de données cyber. | Notification de fonctionnement normal ; aucune action requise. |
94 | Microsoft Defender pour point de terminaison exécutable a démarré | L’exécutable SenseCE a démarré. | Notification de fonctionnement normal ; aucune action requise. |
95 | Microsoft Defender pour point de terminaison exécutable est terminé | L’exécutable SenseCE est terminé. | Notification de fonctionnement normal ; aucune action requise. |
96 | Microsoft Defender pour point de terminaison Init a appelé. Code de résultat : %2 | L’exécutable SenseCE a appelé initialisation MCE. | Notification de fonctionnement normal ; aucune action requise. |
97 | Il existe des problèmes de connectivité au cloud pour le scénario DLP | Il existe des problèmes de connectivité réseau qui affectent le flux de classification DLP. | Vérifiez la connectivité réseau. |
98 | La connectivité au cloud pour le scénario DLP a été restaurée | La connectivité au réseau a été restaurée et le flux de classification DLP peut continuer. | Notification de fonctionnement normal ; aucune action requise. |
99 | Sense a rencontré l’erreur suivante lors de la communication avec le serveur : (%1). Résultat : (%2) | Une erreur de communication s’est produite. | Pour plus d’informations, consultez les événements suivants dans le journal des événements. |
100 | Microsoft Defender pour point de terminaison exécutable n’a pas pu démarrer. Code d’échec : %1 | L’exécutable SenseCE n’a pas pu démarrer. | Redémarrez l’appareil. Si cette erreur persiste, contactez le support technique. |
102 | Microsoft Defender pour point de terminaison l’exécutable Détection et réponse réseau a démarré | L’exécutable SenseNdr a démarré. | Notification de fonctionnement normal ; aucune action requise. |
103 | Microsoft Defender pour point de terminaison l’exécutable détection et réponse réseau a pris fin | L’exécutable SenseNdr est terminé. | Notification de fonctionnement normal ; aucune action requise. |
104 | Échec du déchargement asynchrone du pilote en file d’attente. Code d’échec : %1. | Se produit pendant la désintégrage. | Notification de fonctionnement normal ; aucune action requise. |
105 | Échec de l’attente du déchargement du pilote | Se produit pendant la désintégrage. | Notification de fonctionnement normal ; aucune action requise. |
106 | Microsoft Defender pour point de terminaison service n’a pas pu démarrer. Code d’échec %1 ; Échec du chargement de la DLL MsSense. Module. | Se produit au démarrage. | Contactez le support technique. |
107 | Microsoft Defender pour point de terminaison service n’a pas pu démarrer. Code d’échec %1 ; Problème avec le module DLL MsSense. | Se produit au démarrage. | Contactez le support technique. |
108 | Phase de mise à jour : %1, nouvelle version de la plateforme : %2, message : %3. | Se produit pendant la mise à jour. | Notification de fonctionnement normal ; aucune action requise. |
109 | Phase de mise à jour : %1 nouvelle version de la plateforme : %2, message d’échec : %3, erreur : %4. | Se produit pendant la mise à jour. | Contactez le support technique. |
110 | Échec de la suppression des filtres PAM MDEContain. | Se produit pendant la désintégrage. | Contactez le support technique. |
307 | Échec de la mise à jour des autorisations du pilote Code d’échec : %1. | Se produit pendant l’intégration. | Contactez le support technique. |
308 | Échec de l’accès à la liste de contrôle d’accès sur le dossier %1 Code d’échec : %2. | Se produit pendant l’intégration. | Contactez le support technique. |
401 | Microsoft Defender pour point de terminaison service n’a pas pu générer la clé. Code d’échec : %1. | Échec de la création de la clé de chiffrement. | Si l’ordinateur ne signale pas, contactez le support technique. Sinon, aucune action n’est requise. |
402 | Microsoft Defender pour point de terminaison service n’a pas pu conserver l’état de l’authentification. Code d’échec : %1. | Échec de la conservation de l’état de l’authentification. | Si un appareil ne signale pas, contactez le support technique. Sinon, aucune action n’est requise. |
403 | Inscription de Microsoft Defender pour point de terminaison service terminée. | Inscription réussie au service d’authentification. | Notification de fonctionnement normal ; aucune action requise. |
404 | Microsoft Defender pour point de terminaison service a généré une clé. | Génération de clé de chiffrement réussie. | Notification de fonctionnement normal ; aucune action requise. |
405 | Échec de la communication avec le service d’authentification. %1 la requête a échoué, hresult : %2, code d’erreur HTTP : %3. | Échec de l’envoi de la demande au service d’authentification. | Notification de fonctionnement normal ; aucune action requise. |
406 | Demande de %1 rejetée par le service d’authentification. Hresult : %2, code d’erreur : %3. | La requête a retourné une réponse non souhaitée. | Notification de fonctionnement normal ; aucune action requise. |
407 | Microsoft Defender pour point de terminaison service n’a pas pu signer le message (authentification). Code d’échec : %1. | Échec de la signature de la demande. | Notification de fonctionnement normal ; aucune action requise. |
408 | Microsoft Defender pour point de terminaison service n’a pas pu supprimer l’état de l’authentification persistante. État : %1, Code d’échec : %2. | Échec de la conservation de l’état de l’authentification. | Si un appareil ne signale pas, contactez le support technique. Sinon, aucune action n’est requise. |
409 | Microsoft Defender pour point de terminaison service n’a pas pu ouvrir la clé. Code d’échec : %1. | Échec de l’ouverture de la clé de chiffrement. | Si un appareil ne signale pas, contactez le support technique. Sinon, aucune action n’est requise. |
410 | L’inscription est requise dans le cadre de la réinscription de Microsoft Defender pour point de terminaison service. | Se produit pendant la réinscrire. | Notification de fonctionnement normal ; aucune action requise. |
411 | Le chargement de cyber télémétrie a été suspendu pour Microsoft Defender pour point de terminaison service en raison d’un jeton non valide/expiré. | Cyber-chargement temporairement suspendu. | Notification de fonctionnement normal ; aucune action requise. |
412 | Le chargement des données de télémétrie cyber a repris pour Microsoft Defender pour point de terminaison service en raison d’un jeton récemment actualisé. | Le cyber-chargement a repris avec succès. | Notification de fonctionnement normal ; aucune action requise. |
1800 | CSP : Obtenir la Node's valeur. NodeId : (%1), TokenName : (%2). |
Une opération de Get est sur le point de démarrer. | Contactez le support technique. |
1801 | CSP : Échec de l’obtention Node's de la valeur. NodeId : (%1), TokenName : (%2), Result : (%3). |
Une opération d’obtention a échoué. | Contactez le support technique. |
1802 | CSP : Obtenir Node's la valeur terminée. NodeId : (%1), TokenName : (%2), Result : (%3). |
Une opération d’obtention a réussi. | Contactez le support technique. |
1803 | CSP : Obtenir la dernière valeur connectée terminée. Résultat (%1), IsDefault : (%2). | Dernière fois que l’appareil a communiqué avec cnc. | Notification de fonctionnement normal ; aucune action requise. |
1804 | CSP : Obtenir la valeur de l’ID d’organisation terminée. Résultat : (%1), IsDefault : (%2). | L’appareil d’ID d’organisation obtenu lors de l’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1805 | CSP : La valeur Get Sense Is Running est terminée. Résultat : (%1). | Détecter le message en cours d’exécution après l’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1806 | CSP : Obtenez la valeur de l’état d’intégration terminée. Résultat : (%1), IsDefault : (%2). | Get is Sense onboarded. | Notification de fonctionnement normal ; aucune action requise. |
1807 | CSP : Obtenez la valeur d’intégration terminée. Hachage de l’objet blob d’intégration : (%1), IsDefault : (%2), État d’intégration : (%3), État d’intégration IsDefault : (%4). | Get is Sense onboarded and onboarding blob hash. | Notification de fonctionnement normal ; aucune action requise. |
1808 | CSP : Obtenir la valeur de la désintégration terminée. Désintégrer le hachage d’objet blob : (%1), IsDefault : (%2). | Obtenez le hachage d’objet blob de désintégration. | Notification de fonctionnement normal ; aucune action requise. |
1809 | CSP : Obtenir la valeur d’exemple de partage complète. Résultat : (%1), IsDefault : (%2). | Get is sample upload est autorisé. | Notification de fonctionnement normal ; aucune action requise. |
1810 | CSP : processus d’intégration. Commencé. | Flux d’intégration démarré. | Notification de fonctionnement normal ; aucune action requise. |
1811 | CSP : processus d’intégration. Suppression de l’objet blob de désintégration terminée. Résultat : (%1). | Objet blob de désintéglage supprimé dans le cadre du flux d’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1812 | CSP : processus d’intégration. L’écriture de l’objet blob d’intégration est terminée. Résultat : (%1). | Écrit un objet blob d’intégration dans le registre dans le cadre du flux d’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1813 | CSP : processus d’intégration. Le service a démarré avec succès. | Démarrage du service Sense dans le cadre du flux d’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1814 | CSP : processus d’intégration. État d’exécution du service en attente terminé. Résultat : (%1). | Fin de l’attente du démarrage de Sense dans le cadre du flux d’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1815 | CSP : Définissez la valeur de partage de l’exemple terminé. Valeur précédente : (%1), IsDefault : (%2), Nouvelle valeur : (%3), Résultat : (%4). | Définissez la valeur de partage de l’exemple. | Notification de fonctionnement normal ; aucune action requise. |
1816 | CSP : processus de désintégration. Supprimer l’objet blob d’intégration terminé. Résultat (%1). | Objet blob d’intégration supprimé dans le cadre du flux de désintéglage. | Notification de fonctionnement normal ; aucune action requise. |
1817 | CSP : processus de désintégration. Écrire l’objet blob de désintéglage terminé. Résultat (%1). | L’objet blob de désintégration a été écrit dans le registre dans le cadre du flux de désintéglage. | Notification de fonctionnement normal ; aucune action requise. |
1818 | CSP : Définir Node's la valeur démarrée. NodeId : (%1), TokenName : (%2). |
Une opération de Set est sur le point de démarrer. | Notification de fonctionnement normal ; aucune action requise. |
1819 | CSP : Échec de la définition Node's de la valeur. NodeId : (%1), TokenName : (%2), Result : (%3). |
Une opération de Set a échoué. | Contactez le support technique. |
1820 | CSP : Définir la Node's valeur terminée. NodeId : (%1), TokenName : (%2), Result : (%3). |
Une opération de Set a réussi. | Notification de fonctionnement normal ; aucune action requise. |
1821 | CSP : Définition de la fréquence des rapports de télémétrie démarrée. Nouvelle valeur : (%1). | Commencez à définir la valeur de TelemetryReportingFrequency. | Notification de fonctionnement normal ; aucune action requise. |
1822 | CSP : Définissez la fréquence des rapports de télémétrie terminée. Valeur précédente : (%1), IsDefault : (%2), Nouvelle valeur : (%3), Résultat : (%4). | Terminez la définition de la valeur de TelemetryReportingFrequency. | Notification de fonctionnement normal ; aucune action requise. |
1823 | CSP : Obtenir la fréquence des rapports de télémétrie terminée. Valeur : (%1), Valeur de Registre : (%2), IsDefault : (%3). | Obtient la valeur de TelemetryReportingFrequency. | Notification de fonctionnement normal ; aucune action requise. |
1824 | CSP : Obtenir les ID de groupe terminés. Valeur : (%1), IsDefault : (%2). | Obtient des groupIds du registre. | Notification de fonctionnement normal ; aucune action requise. |
1825 | CSP : Définir les ID de groupe a dépassé la limite autorisée. Autorisé : (%1), Réel : (%2). | Échec de la définition de groupIds en raison de la longueur. | Notification de fonctionnement normal ; aucune action requise. |
1826 | CSP : Définissez les ID de groupe terminés. Valeur : (%1), Résultat : (%2). | Définissez groupIds. | Notification de fonctionnement normal ; aucune action requise. |
1827 | CSP : processus d’intégration. Le service est en cours d’exécution : (%1), Hachage d’objet blob d’intégration précédent : (%2), IsDefault : (%3), État d’intégration : (%4), État d’intégration IsDefault : (%5), Hachage du nouvel objet blob d’intégration : (%6). | Valeurs de trace dans le cadre de l’intégration. | Notification de fonctionnement normal ; aucune action requise. |
1828 | CSP : processus d’intégration. Le service est en cours d’exécution : (%1), Hachage d’objet blob de désintéglage précédent : (%2), IsDefault : (%3), État d’intégration : (%4), État d’intégration isDefault : (%5), Nouveau hachage d’objet blob de désintégration : (%6). | Valeurs de trace dans le cadre de la désintégrage. | Notification de fonctionnement normal ; aucune action requise. |
1829 | CSP : Échec de la définition de la valeur de partage de l’exemple. Valeur demandée : (%1), Valeurs autorisées entre (%2) et (%3). | Valeur non valide pour l’opération SampleSharing. | Contactez le support technique. |
1830 | CSP : Échec de la définition de la valeur de fréquence des rapports de télémétrie. Valeur demandée : (%1). | Échec de la définition de la valeur de TelemetryReportingFrequency. | Contactez le support technique si le problème persiste. |
1831 | CSP : Get Sense est en cours d’exécution. Le service est configuré en tant que démarrage différé et hasn't a encore démarré. |
Obtenez le résultat SenseIsRunning. | Notification de fonctionnement normal ; aucune action requise. |
1832 | FOURNISSEUR DE SOLUTIONS CLOUD : Terminer le groupe d’étiquetage des appareils. Valeur : (%1), IsDefault : (%2). | Obtenez DeviceTagging Group à partir du registre terminé. | Notification de fonctionnement normal ; aucune action requise. |
1833 | CSP : Obtenez la valeur de criticité de l’étiquetage des appareils. Dans le Registre : (%1), IsDefault : (%2), Conversion réussie : (%3), Résultat : (%4). | Obtenez deviceTagging Criticality à partir du registre terminé. | Notification de fonctionnement normal ; aucune action requise. |
1834 | CSP : Obtenir la valeur de la méthode d’identification de l’étiquetage des appareils terminée. Dans le Registre : (%1), IsDefault : (%2), Conversion réussie : (%3), Résultat : (%4). | Obtenir la méthode DeviceTagging Id à partir du registre terminée. | Notification de fonctionnement normal ; aucune action requise. |
1835 | CSP : Définir le groupe d’étiquetage des appareils terminé. Valeur : (%1), Résultat : (%2). | Définissez Le groupe DeviceTagging dans le registre terminé. | Notification de fonctionnement normal ; aucune action requise. |
1836 | CSP : Définir le groupe d’étiquetage des appareils a dépassé la limite autorisée. Autorisé : (%1), Réel : (%2). | La définition du groupe DeviceTagging a échoué, car la limite de longueur maximale a été dépassée. | Contactez le support technique si le problème persiste. |
1837 | CSP : Définissez la valeur de criticité de l’étiquetage des appareils terminée. Valeur précédente : (%1), IsDefault : (%2), Nouvelle valeur : (%3), Résultat : (%4). | Définissez la criticité DeviceTagging dans le registre terminée. | Notification de fonctionnement normal ; aucune action requise. |
1838 | CSP : Échec de la définition de la valeur de criticité de l’étiquetage des appareils. Valeur demandée : (%1), Valeurs autorisées entre (%2) et (%3). | La définition de la criticité deviceTagging a échoué, car la valeur n’était pas dans la plage attendue. | Contactez le support technique si le problème persiste. |
1839 | CSP : Définissez la valeur méthode d’identification de l’étiquetage des appareils terminée. Valeur précédente : (%1), IsDefault : (%2), Nouvelle valeur : (%3), Résultat : (%4). | Définissez DeviceTagging Id Method dans le Registre terminé. | Notification de fonctionnement normal ; aucune action requise. |
1840 | CSP : Échec de la définition de la valeur de la méthode d’identification de l’étiquetage des appareils. Valeur demandée : (%1), Valeurs autorisées entre (%2) et (%3). | La méthode Set DeviceTagging ID a échoué, car la valeur n’était pas dans la plage attendue. | Contactez le support technique si le problème persiste. |
Afficher les événements Defender pour point de terminaison dans le journal des événements système
Microsoft Defender pour point de terminaison événements apparaissent également dans le journal des événements système.
Pour ouvrir le journal des événements système :
- Sélectionnez Démarrer dans le menu Windows, tapez observateur d'événements, puis appuyez sur Entrée pour ouvrir le observateur d'événements.
- Dans la liste des journaux, sous Résumé du journal, faites défiler jusqu’à ce que vous voyiez Système. Double-cliquez sur l’élément pour ouvrir le journal.
Vous pouvez utiliser ce tableau pour plus d’informations sur les événements Defender pour point de terminaison dans le journal des événements système et pour déterminer les étapes de résolution des problèmes supplémentaires.
ID d’événement | Message | Description | Action |
---|---|---|---|
1 | Le fichier de stockage de la session en temps réel « SenseNdrPktmon » a atteint sa taille maximale. Par conséquent, les nouveaux événements ne seront pas enregistrés dans cette session tant que l’espace n’est pas disponible. | Cette session en temps réel, entre Pktmon , le service Windows intégré qui capture le trafic réseau, et notre agent (SenseNDR) qui analyse les paquets de manière asynchrone, est configurée pour être limitée pour éviter les problèmes de performances potentiels. Par conséquent, cette alerte peut apparaître si un trop grand nombre de paquets sont interceptés dans un court laps de temps, ce qui entraîne l’ignoré de certains paquets. Cette alerte est plus courante avec un trafic réseau élevé. | Notification de fonctionnement normal ; aucune action requise. |
Voir aussi
- Intégrer des appareils clients Windows
- Configurer les paramètres de proxy du dispositif et de connectivité Internet
- Résoudre des problèmes avec Microsoft Defender pour point de terminaison
- Vue d’ensemble de l’analyseur client
- Télécharger et exécuter l’analyseur client
- Comprendre le de rapport HTML de l’analyseur
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.