Résolution des problèmes du capteur Microsoft Defender pour Identity à l’aide des journaux d’activité Defender pour Identity
Les journaux d’activité Defender pour Identity permettent de savoir ce que fait chaque composant du capteur Microsoft Defender pour Identity à un moment donné.
Les journaux d’activité Defender pour Identity se trouvent dans un sous-dossier appelé Journaux d’activité où Defender pour Identity est installé ; l’emplacement par défaut est : C:\Program Files\Azure Advanced Threat Protection Sensor\. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse suivante : C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Journaux du capteur de Defender pour Identity
Le capteur Defender pour Identity dispose des journaux d’activité suivants :
Microsoft.Tri.Sensor.log : ce journal contient tout ce qui se produit dans le capteur Defender pour Identity (y compris la résolution et les erreurs). Son utilisation principale consiste à obtenir l’état global de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.
Microsoft.Tri.Sensor-Errors.log : ce journal contient uniquement les erreurs interceptées par le capteur Defender pour Identity. Son utilisation principale consiste à effectuer des contrôles d’intégrité et à examiner les problèmes qui doivent être mis en corrélation avec des périodes spécifiques.
Microsoft.Tri.Sensor.Updater.log : ce journal est utilisé pour le processus de mise à jour du capteur, qui est responsable de la mise à jour du capteur Defender pour Identity s’il est configuré pour le faire automatiquement.
Microsoft.Tri.Sensor.Updater-Errors.log : ce journal contient uniquement les erreurs interceptées par l’outil de mise à jour du capteur Defender pour Identity. Son utilisation principale consiste à effectuer des contrôles d’intégrité et à examiner les problèmes qui doivent être mis en corrélation avec des périodes spécifiques.
Remarque
Les fichiers journaux ont une taille maximale allant jusqu’à 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier journal est ouvert et le précédent est renommé en « <nom de fichier d’origine>-Archive-00000 » où le nombre augmente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.
Journaux de déploiement de Defender pour Identity
Les journaux de déploiement Defender pour Identity se trouvent dans le répertoire temporaire de l’utilisateur qui a installé le produit. Il se trouve généralement à l’emplacement %USERPROFILE%\AppData\Local\Temp. S’il a été déployé par un service, il se trouve à l’emplacement C:\Windows\Temp.
Journaux de déploiement du capteur Defender pour Identity :
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log : ce fichier journal fournit l’intégralité du processus de déploiement du capteur et se trouve dans le dossier temporaire mentionné précédemment.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement du capteur Defender pour Identity. Son utilisation principale consiste à suivre le processus de déploiement du capteur Defender pour Identity.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des binaires du capteur Defender pour Identity. Son utilisation principale consiste à suivre le déploiement des binaires du capteur Defender pour Identity.
Remarque
Outre les journaux de déploiement mentionnés ici, d’autres journaux qui commencent par « Azure Advanced Threat Protection » peuvent également fournir des informations supplémentaires sur le processus de déploiement.