Dépanner ATA grâce aux journaux ATA

S’applique à : Advanced Threat Analytics version 1.9

Les journaux ATA fournissent un aperçu de ce que fait chaque composant d’ATA à un moment donné.

Journaux de passerelle ATA

Dans cette section, chaque référence à la passerelle ATA est également pertinente pour la passerelle ATA Lightweight.

Les journaux de la passerelle ATA se trouvent dans un sous-dossier appelé Journaux où ATA est installé ; la localisation par défaut est C:\Program Files\Microsoft Advanced Threat Analytics\. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse : C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs.

La passerelle ATA a les journaux suivants :

• Microsoft.Tri.Gateway.log : ce journal contient tout ce qui se produit dans la passerelle ATA (y compris la résolution et les erreurs). Son utilisation principale consiste à obtenir l’état global de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.

• Microsoft.Tri.Gateway-Resolution.log : ce journal contient les détails de résolution des entités vues dans le trafic par la passerelle ATA. Son principal usage consiste à examiner les problèmes de résolution des entités.

• Microsoft.Tri.Gateway-Errors.log : ce journal contient uniquement les erreurs interceptées par la passerelle ATA. Son utilisation principale consiste à effectuer des contrôles d’intégrité et à examiner les problèmes qui doivent être mis en corrélation avec des périodes spécifiques.

• Microsoft.Tri.Gateway-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires, et mesure leur nombre. Ce fichier démarre vide chaque fois que le service de passerelle ATA démarre et est mis à jour toutes les minutes. Son utilisation principale est de comprendre s’il existe de nouvelles erreurs ou problèmes avec la passerelle ATA (car les erreurs sont regroupées, il est plus facile de lire et de comprendre rapidement s’il existe de nouveaux problèmes).

• Microsoft.Tri.Gateway.Updater.log : ce journal est utilisé pour le processus de mise à jour de passerelle, qui est responsable de la mise à jour de la passerelle ATA s’il est configuré pour le faire automatiquement. Pour la passerelle légère ATA, le processus de mise à jour de passerelle est également responsable des limitations des ressources de la passerelle ATA Lightweight.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires, et mesure leur nombre. Ce fichier démarre vide chaque fois que le service ATA Updater démarre et est mis à jour toutes les minutes. Il vous permet de comprendre s’il existe de nouvelles erreurs ou problèmes avec ATA Updater. Les erreurs sont regroupées pour faciliter la compréhension rapide si de nouvelles erreurs ou problèmes sont détectés.

Remarque

Les trois premiers fichiers d'historique ont une taille maximale allant jusqu’à 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier d’historique est ouvert et le précédent est renommé en « <nom de fichier d’origine>-Archive-00000 » où le nombre incrémente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.

Journaux du Centre ATA

Les journaux du Centre ATA se trouvent dans un sous-dossier appelé Journaux d’activité. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse : C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs ».

Remarque

Les journaux de la Console ATA qui étaient anciennement sous journaux IIS se trouvent désormais sous les journaux du Centre ATA.

Le Centre ATA contient les journaux suivants :

• Microsoft.Tri.Center.log : ce journal contient tout ce qui se produit dans le Centre ATA, y compris les détections et les erreurs. Son utilisation principale consiste à obtenir l’état global de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.

• Microsoft.Tri.Center-Detection.log : ce journal contient uniquement les détails de détection du Centre ATA. Son principal usage consiste à examiner les problèmes de détection.

• Microsoft.Tri.Center-Errors.log : ce journal contient uniquement les erreurs interceptées par le Centre ATA. Son utilisation principale consiste à effectuer des contrôles d’intégrité et à examiner les problèmes qui doivent être mis en corrélation avec des périodes spécifiques.

• Microsoft.Tri.Center-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires, et mesure leur nombre. Ce fichier démarre vide chaque fois que le service Centre ATA démarre et est mis à jour toutes les minutes. Son utilisation principale est de comprendre s’il existe de nouvelles erreurs ou problèmes avec le Centre ATA, car les erreurs sont regroupées, il est plus facile de comprendre rapidement s’il existe une nouvelle erreur ou un problème.

Remarque

Les trois premiers fichiers d'historique ont une taille maximale allant jusqu’à 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier d’historique est ouvert et le précédent est renommé en « <nom de fichier d’origine>-Archive-00000 » où le nombre incrémente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.

Journaux de déploiement ATA

Les journaux de déploiement ATA se trouvent dans le répertoire temporaire de l’utilisateur qui a installé le produit. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse suivante : C:\Users<logged-in-user>\AppData\Local\Temp (ou un annuaire au-dessus de %temp%).

Journaux de déploiement du Centre ATA :

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement du Centre ATA. Son utilisation principale consiste à suivre le processus de déploiement du Centre ATA.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log : ce journal répertorie les étapes du processus de déploiement MongoDB dans le Centre ATA. Son utilisation principale consiste à suivre le processus de déploiement MongoDB.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des fichiers binaires du Centre ATA. Son utilisation principale consiste à suivre le déploiement des fichiers binaires du Centre ATA.

Journaux de déploiement de passerelle ATA et de passerelle légère ATA :

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement de la passerelle ATA. Son utilisation principale consiste à suivre le processus de déploiement de la passerelle ATA.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des fichiers binaires de passerelle ATA. Son utilisation principale consiste à suivre le déploiement des fichiers binaires de passerelle ATA.

Remarque

Outre les journaux de déploiement mentionnés ici, d’autres journaux commencent par « Microsoft Advanced Threat Analytics » qui peuvent également fournir des informations supplémentaires sur le processus de déploiement.

Voir aussi

• Prérequis ATA
• Planification de capacité ATA
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Visitez le forum ATA !