Az ATA hibaelhárítása az ATA-naplók használatával

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

Az ATA-naplók betekintést nyújtanak abba, hogy az ATA egyes összetevői mit csinálnak egy adott időpontban.

ATA-átjáró naplói

Ebben a szakaszban az ATA-átjáróra mutató minden hivatkozás az egyszerűsített ATA-átjáró esetében is releváns.

Az ATA-átjáró naplói egy naplók nevű almappában találhatók, ahol az ATA telepítve van; az alapértelmezett hely: C:\Program Files\Microsoft Advanced Threat Analytics\. Az alapértelmezett telepítési helyen a következő helyen található: C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs.

Az ATA-átjáró a következő naplókkal rendelkezik:

• Microsoft.Tri.Gateway.log – Ez a napló mindent tartalmaz, ami az ATA-átjáróban történik (beleértve a megoldásokat és a hibákat). Fő felhasználási célja az összes művelet általános állapotának lekérése abban az időrendi sorrendben, amelyben a műveletek történtek.

• Microsoft.Tri.Gateway-Resolution.log – Ez a napló az ATA-átjáró által a forgalomban látott entitások megoldási adatait tartalmazza. Fő felhasználási célja az entitások megoldási problémáinak vizsgálata.

• Microsoft.Tri.Gateway-Errors.log – Ez a napló csak az ATA-átjáró által észlelt hibákat tartalmazza. Fő felhasználási célja az állapotellenőrzések elvégzése és az adott időpontokkal korrelálandó problémák kivizsgálása.

• Microsoft.Tri.Gateway-ExceptionStatistics.log – Ez a napló csoportosítja az összes hasonló hibát és kivételt, és méri azok számát. Ez a fájl az ATA-átjáró szolgáltatás minden indításakor üresen indul, és percenként frissül. A fő felhasználási módja annak megértése, hogy vannak-e új hibák vagy problémák az ATA-átjáróval kapcsolatban (mivel a hibák csoportosítva vannak, könnyebben olvasható és gyorsan megérthető, ha vannak új problémák).

• Microsoft.Tri.Gateway.Updater.log – Ezt a naplót használja az átjárófrissítési folyamathoz, amely az ATA-átjáró automatikus frissítéséért felelős. Az egyszerűsített ATA-átjáró esetében az átjárófrissítési folyamat felelős az egyszerűsített ATA-átjáró erőforrás-korlátaiért is.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log – Ez a napló az összes hasonló hibát és kivételt együtt csoportosítja, és méri azok számát. Ez a fájl minden alkalommal üresen indul el, amikor az ATA Updater szolgáltatás elindul, és percenként frissül. Ez lehetővé teszi annak megértését, hogy vannak-e új hibák vagy problémák az ATA-frissítővel kapcsolatban. A hibák csoportosítása megkönnyíti az új hibák vagy problémák észlelésének gyors megértését.

Megjegyzés:

Az első három naplófájl maximális mérete legfeljebb 50 MB. Ha eléri ezt a méretet, egy új naplófájl nyílik meg, és az előzőt átnevezi az "<eredeti fájlnév-Archiválva-00000>" névre, ahol a szám minden átnevezéskor növekszik. Alapértelmezés szerint ha már több mint 10 fájl létezik ugyanabból a típusból, a rendszer törli a legrégebbi fájlt.

ATA-központ naplói

Az ATA-központ naplói egy Naplók nevű almappában találhatók. Az alapértelmezett telepítési helyen a következő helyen található: C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs".

Megjegyzés:

A korábban az IIS-naplók alatt lévő ATA-konzolnaplók mostantól az ATA-központ naplói alatt találhatók.

Az ATA-központ a következő naplókat tartalmazza:

• Microsoft.Tri.Center.log – Ez a napló mindent tartalmaz, ami az ATA-központban történik, beleértve az észleléseket és a hibákat. Fő felhasználási célja az összes művelet általános állapotának lekérése abban az időrendi sorrendben, amelyben a műveletek történtek.

• Microsoft.Tri.Center-Detection.log – Ez a napló csak az ATA-központ észlelési adatait tartalmazza. Fő felhasználási célja az észlelési problémák kivizsgálása.

• Microsoft.Tri.Center-Errors.log – Ez a napló csak az ATA-központ által észlelt hibákat tartalmazza. Fő felhasználási célja az állapotellenőrzések elvégzése és az adott időpontokkal korrelálandó problémák kivizsgálása.

• Microsoft.Tri.Center-ExceptionStatistics.log – Ez a napló az összes hasonló hibát és kivételt csoportosítja, és méri azok számát. Ez a fájl az ATA-központ szolgáltatás minden indításakor üresen indul, és percenként frissül. Fő felhasználási célja annak megértése, hogy vannak-e új hibák vagy problémák az ATA-központtal kapcsolatban – mivel a hibák csoportosítva vannak, így könnyebb gyorsan megérteni, hogy van-e új hiba vagy probléma.

Megjegyzés:

Az első három naplófájl maximális mérete legfeljebb 50 MB. Ha eléri ezt a méretet, egy új naplófájl nyílik meg, és az előzőt átnevezi az "<eredeti fájlnév-Archiválva-00000>" névre, ahol a szám minden átnevezéskor növekszik. Alapértelmezés szerint ha már több mint 10 fájl létezik ugyanabból a típusból, a rendszer törli a legrégebbi fájlt.

Az ATA üzembehelyezési naplói

Az ATA üzembehelyezési naplói a terméket telepítő felhasználó ideiglenes könyvtárában találhatók. Az alapértelmezett telepítési helyen a következő helyen található: C:\Felhasználók<bejelentkezett felhasználó>\AppData\Local\Temp (vagy %temp fölötti könyvtár).

Az ATA-központ üzembehelyezési naplói:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log – Ez a napló az ATA-központ üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja az ATA-központ üzembehelyezési folyamatának nyomon követése.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log – Ez a napló az ATA-központban a MongoDB üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja a MongoDB üzembehelyezési folyamatának nyomon követése.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log – Ez a naplófájl az ATA-központ bináris fájljainak üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja az ATA-központ bináris fájljainak üzembe helyezésének nyomon követése.

Az ATA-átjáró és az egyszerűsített ATA-átjáró üzembehelyezési naplói:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log – Ez a napló az ATA-átjáró üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja az ATA-átjáró üzembehelyezési folyamatának nyomon követése.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log – Ez a naplófájl az ATA-átjáró bináris fájljainak üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja az ATA-átjáró bináris fájljainak üzembe helyezésének nyomon követése.

Megjegyzés:

Az itt említett üzembehelyezési naplók mellett vannak más naplók is, amelyek a "Microsoft Advanced Threat Analytics" kezdetű naplókkal kezdődnek, amelyek további információkat is nyújthatnak az üzembe helyezési folyamatról.

Kapcsolódó információk

• Az ATA előfeltételei
• ATA-kapacitástervezés
• Eseménygyűjtemény konfigurálása
• A Windows eseménytovábbításának konfigurálása
• Tekintse meg az ATA fórumot!