Pemecahan masalah sensor Microsoft Defender untuk Identitas menggunakan log Defender for Identity

Log Defender for Identity memberikan wawasan tentang apa yang dilakukan setiap komponen sensor Microsoft Defender untuk Identitas pada titik waktu tertentu.

Log Defender for Identity terletak di subfolder yang disebut Log tempat Defender for Identity diinstal; lokasi defaultnya adalah: C:\Program Files\Azure Advanced Threat Protection Sensor\. Di lokasi penginstalan default, dapat ditemukan di: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.

Log sensor Defender for Identity

Sensor Defender for Identity memiliki log berikut:

• Microsoft.Tri.Sensor.log - Log ini berisi semua yang terjadi di sensor Defender for Identity (termasuk resolusi dan kesalahan). Penggunaan utamanya adalah mendapatkan status keseluruhan semua operasi dalam urutan kronologis di mana mereka terjadi.

• Microsoft.Tri.Sensor-Errors.log – Log ini hanya berisi kesalahan yang tertangkap oleh sensor Defender for Identity. Penggunaan utamanya adalah melakukan pemeriksaan kesehatan dan menyelidiki masalah yang perlu dikorelasikan dengan waktu tertentu.

• Microsoft.Tri.Sensor.Updater.log - Log ini digunakan untuk proses pembaruan sensor, yang bertanggung jawab untuk memperbarui sensor Defender for Identity jika dikonfigurasi untuk melakukannya secara otomatis.

• Microsoft.Tri.Sensor.Updater-Errors.log – Log ini hanya berisi kesalahan yang ditangkap oleh pembaharu sensor Defender for Identity. Penggunaan utamanya adalah melakukan pemeriksaan kesehatan dan menyelidiki masalah yang perlu dikorelasikan dengan waktu tertentu.

Catatan

File log memiliki ukuran maksimum hingga 50 MB. Ketika ukuran tersebut tercapai, file log baru dibuka dan yang sebelumnya diganti namanya menjadi "<nama> file asli-Archived-00000" di mana angka meningkat setiap kali diganti namanya. Secara default, jika lebih dari 10 file dari jenis yang sama sudah ada, yang terlama akan dihapus.

Log penyebaran Defender for Identity

Log penyebaran Defender for Identity terletak di direktori sementara pengguna yang menginstal produk. Biasanya akan ditemukan di %USERPROFILE%\AppData\Local\Temp. Jika disebarkan oleh layanan, layanan mungkin ditemukan di C:\Windows\Temp.

Log penyebaran sensor Defender for Identity:

• Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log - File log ini menyediakan seluruh proses penyebaran sensor dan dapat ditemukan di folder sementara yang disebutkan sebelumnya.

• Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log - Log ini mencantumkan langkah-langkah dalam proses penyebaran sensor Defender for Identity. Penggunaan utamanya adalah melacak proses penyebaran sensor Defender for Identity.

• Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log - File log ini mencantumkan langkah-langkah dalam proses penyebaran biner sensor Defender for Identity. Penggunaan utamanya adalah melacak penyebaran biner sensor Defender for Identity.

Catatan

Selain log penyebaran yang disebutkan di sini, ada log lain yang dimulai dengan "Azure Advanced Threat Protection" yang juga dapat memberikan informasi tambahan tentang proses penyebaran.

Konten terkait

• Prasyarat Defender for Identity
• Perencanaan kapasitas Defender for Identity
• Mengonfigurasi pengumpulan peristiwa
• Mengonfigurasi penerusan peristiwa Windows
• Lihat forum Defender for Identity!