Esaminare gli eventi e gli errori usando Visualizzatore eventi
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Visualizzare gli eventi nel registro eventi del servizio Defender per endpoint
È possibile esaminare gli ID evento nel Visualizzatore eventi nei singoli dispositivi. Ciò può essere utile quando, ad esempio, un dispositivo non viene visualizzato nell'elenco Dispositivi. In questo scenario è possibile cercare gli ID evento nel dispositivo e quindi usare la tabella seguente per determinare ulteriori passaggi di risoluzione dei problemi in base all'ID evento corrispondente.
Per aprire il registro eventi del servizio Defender per endpoint:
Selezionare Start dal menu Windows, digitare Visualizzatore eventi e premere INVIO per aprire il Visualizzatore eventi.
Nell'elenco dei log, in Riepilogo log scorrere fino a visualizzare Microsoft-Windows-SENSE/Operational. Fare doppio clic sull'elemento per aprire il log.
È anche possibile accedere al log espandendo i log> di applicazioni e serviziMicrosoft>Windows>SENSE e selezionare Operativo.
Nota
SENSE è il nome interno usato per fare riferimento al sensore comportamentale che alimenta Microsoft Defender per endpoint.
Gli eventi registrati dal servizio vengono visualizzati nel log.
Per un elenco degli eventi registrati dal servizio, vedere la tabella seguente.
| ID evento | Messaggio | Descrizione | Azione |
|---|---|---|---|
| 1 | Microsoft Defender per endpoint servizio avviato (versione variable). |
Si verifica durante l'avvio, l'arresto e l'onboarding del sistema. | Normale notifica operativa; non è necessaria alcuna azione. |
| 2 | Microsoft Defender per endpoint arresto del servizio. | Si verifica quando il dispositivo viene arrestato o disattivato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 3 | Microsoft Defender per endpoint servizio non è stato avviato. Codice errore: variable. |
Il servizio non è stato avviato. | Esaminare altri messaggi per determinare la possibile causa e la procedura di risoluzione dei problemi. |
| 4 | Microsoft Defender per endpoint servizio ha contattato il server all'indirizzo variable. |
Variabile = URL dei server di elaborazione di Defender per endpoint. Questo URL corrisponde a quello visualizzato nell'attività Firewall o di rete. |
Normale notifica operativa; non è necessaria alcuna azione. |
| 5 | Microsoft Defender per endpoint servizio non è riuscito a connettersi al server in variable. |
Variabile = URL dei server di elaborazione di Defender per endpoint. Il servizio non è riuscito a contattare i server di elaborazione esterni a tale URL. |
Controllare la connessione all'URL. Vedere Configurare la connettività proxy e Internet. |
| 6 | Microsoft Defender per endpoint servizio non è stato caricato e non sono stati trovati parametri di onboarding. | Il dispositivo non è stato caricato correttamente e non invia report al portale. | L'onboarding deve essere eseguito prima di avviare il servizio. Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 7 | Microsoft Defender per endpoint servizio non è riuscito a leggere i parametri di onboarding. Errore: variable. |
Variabile = descrizione dettagliata dell'errore. Il dispositivo non è stato caricato correttamente e non invia report al portale. | Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 8 | Microsoft Defender per endpoint servizio non è riuscito a pulire la configurazione. Codice errore: variable. |
Durante l'onboarding: Il servizio non è riuscito a pulire la configurazione durante l'onboarding. Il processo di onboarding continua. Durante l'offboarding: Il servizio non è riuscito a pulire la configurazione durante l'offboarding. Il processo di offboarding è terminato, ma il servizio continua a essere in esecuzione. |
Onboarding: Non è necessaria alcuna azione. Offboarding: Riavviare il sistema. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 9 | Microsoft Defender per endpoint servizio non è riuscito a modificare il tipo di avvio. Codice errore: variable. |
Durante l'onboarding: Il dispositivo non è stato caricato correttamente e non invia report al portale. Durante l'offboarding: Impossibile modificare il tipo di avvio del servizio. Il processo di offboarding continua. |
Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 10 | Microsoft Defender per endpoint servizio non è riuscito a rendere persistenti le informazioni di onboarding. Codice errore: variable. |
Il dispositivo non è stato caricato correttamente e non invia report al portale. | Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 11 | Onboarding o reonboarding del servizio Defender per endpoint completato. | Il dispositivo è stato caricato correttamente. | Normale notifica operativa; non è necessaria alcuna azione. La visualizzazione del dispositivo nel portale potrebbe richiedere diverse ore. |
| 12 | Microsoft Defender per endpoint impossibile applicare la configurazione predefinita. | Il servizio non è riuscito ad applicare la configurazione predefinita. | Questo errore deve essere risolto dopo un breve periodo di tempo. |
| 13 | Microsoft Defender per endpoint ID dispositivo calcolato: variable. |
Normale processo operativo. | Normale notifica operativa; non è necessaria alcuna azione. |
| 15 | Microsoft Defender per endpoint non è possibile avviare il canale di comando con URL: variable. |
Variabile = URL dei server di elaborazione di Defender per endpoint. Il servizio non è riuscito a contattare i server di elaborazione esterni a tale URL. |
Controllare la connessione all'URL. Vedere Configurare la connettività proxy e Internet. |
| 17 | Microsoft Defender per endpoint servizio non è riuscito a modificare il percorso del servizio Esperienze utente connesse e telemetria. Codice errore: variable. |
Si è verificato un errore con il servizio di telemetria di Windows. | Verificare che il servizio dati di diagnostica sia abilitato">Verificare che il servizio dati di diagnostica sia abilitato. Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 18 | Configurazione guidata (configurazione guidata di Windows) è stata completata. | Il servizio verrà avviato solo al termine dell'installazione degli aggiornamenti di Windows. | Normale notifica operativa; non è necessaria alcuna azione. |
| 19 | Configurazione guidata (Configurazione guidata di Windows) non è ancora stata completata. | Il servizio verrà avviato solo al termine dell'installazione degli aggiornamenti di Windows. | Normale notifica operativa; non è necessaria alcuna azione. Se questo errore persiste dopo un riavvio del sistema, assicurarsi che tutti gli aggiornamenti di Windows siano installati completamente. |
| 20 | Non è possibile attendere il completamento di Configurazione guidata (Windows Welcome). Codice errore: variable. |
Errore interno. | Se questo errore persiste dopo un riavvio del sistema, assicurarsi che siano installati tutti gli aggiornamenti di Windows. |
| 25 | Microsoft Defender per endpoint servizio non è riuscito a reimpostare lo stato di integrità nel Registro di sistema. Codice errore: variable. |
Il dispositivo non è stato caricato correttamente. Segnala al portale; Tuttavia, il servizio potrebbe non essere registrato in SCCM o nel Registro di sistema. | Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 26 | Microsoft Defender per endpoint servizio non è riuscito a impostare lo stato di onboarding nel Registro di sistema. Codice errore: variable. |
Il dispositivo non è stato caricato correttamente. Segnala al portale; tuttavia il servizio potrebbe non essere registrato in SCCM o nel Registro di sistema. |
Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 27 | Microsoft Defender per endpoint servizio non è riuscito a abilitare la modalità sense in Microsoft Defender Antivirus. Processo di onboarding non riuscito. Codice errore: variable. |
In genere, Microsoft Defender Antivirus entra in uno stato passivo speciale se un altro prodotto antimalware in tempo reale viene eseguito correttamente nel dispositivo e il dispositivo segnala a Defender per endpoint. | Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. Assicurarsi che la protezione antimalware in tempo reale sia in esecuzione correttamente. |
| 28 | Microsoft Defender per endpoint registrazione del servizio Esperienze utente connesse e telemetria non è riuscita. Codice errore: variable. |
Si è verificato un errore con il servizio di telemetria di Windows. | Verificare che il servizio dati di diagnostica sia abilitato. Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 29 | Impossibile leggere i parametri di offboarding. Tipo di errore: %1, codice errore: %2, descrizione: %3 | Questo evento si verifica quando il sistema non è in grado di leggere i parametri di offboarding. | Verificare che il dispositivo abbia accesso a Internet, quindi eseguire di nuovo l'intero processo di offboarding. Assicurarsi che il pacchetto di offboarding non sia scaduto. |
| 30 | Microsoft Defender per endpoint servizio non è riuscito a disabilitare la modalità sense in Microsoft Defender Antivirus. Codice errore: variable. |
In genere, Microsoft Defender Antivirus entra in uno stato passivo speciale se un altro prodotto antimalware in tempo reale viene eseguito correttamente nel dispositivo e il dispositivo segnala a Defender per endpoint. | Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. Assicurarsi che la protezione antimalware in tempo reale sia in esecuzione correttamente. |
| 31 | Microsoft Defender per endpoint annullamento della registrazione del servizio Esperienze utente connesse e telemetria. Codice errore: variable. |
Si è verificato un errore con il servizio di telemetria di Windows durante l'onboarding. Il processo di offboarding continua. | Verificare la presenza di errori con il servizio di telemetria di Windows. |
| 32 | Microsoft Defender per endpoint servizio non è riuscito a richiedere di arrestarsi dopo il processo di offboarding. Codice errore: %1 | Errore durante l'offboarding. | Riavviare il dispositivo. |
| 33 | Microsoft Defender per endpoint servizio non è riuscito a rendere persistente il GUID SENSE. Codice errore: variable. |
Un identificatore univoco viene usato per rappresentare ogni dispositivo che segnala al portale. Se l'identificatore non viene salvato in modo permanente, lo stesso dispositivo potrebbe essere visualizzato due volte nel portale. |
Controllare le autorizzazioni del Registro di sistema nel dispositivo per assicurarsi che il servizio possa aggiornare il Registro di sistema. |
| 34 | Microsoft Defender per endpoint servizio non è riuscito ad aggiungersi come dipendenza dal servizio Esperienze utente connesse e telemetria, causando un errore del processo di onboarding. Codice errore: variable. |
Si è verificato un errore con il servizio di telemetria di Windows. | Verificare che il servizio dati di diagnostica sia abilitato. Verificare che le impostazioni e gli script di onboarding siano stati distribuiti correttamente. Provare a ridistribuire i pacchetti di configurazione. Vedi Eseguire l'onboarding di dispositivi client Windows. |
| 35 | Le quote di comunicazione vengono aggiornate. Quota disco in MB: variable, quota di caricamento giornaliera in MB: variable |
Variabile = quota del disco in MB. | Normale notifica operativa; non è necessaria alcuna azione. |
| 36 | Microsoft Defender per endpoint registrazione del servizio Esperienze utente connesse e telemetria completata. Codice di completamento: variable. |
Registrazione di Defender per endpoint con il servizio Esperienze utente connesse e telemetria completato correttamente. | Normale notifica operativa; non è necessaria alcuna azione. |
| 37 | Microsoft Defender per endpoint Un modulo sta per superare la quota. Modulo: %1, quota: {%2} {%3}, percentuale di utilizzo della quota: %4. | Il dispositivo è vicino alla quota allocata della finestra corrente di 24 ore. Sta per essere limitato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 38 | La connessione di rete è identificata come bassa. Microsoft Defender per endpoint contatta il server ogni %1 minuti. Connessione a consumo: %2, Internet disponibile: %3, rete gratuita disponibile: %4. | Il dispositivo usa una rete a consumo/a pagamento e contatta il server meno frequentemente. | Normale notifica operativa; non è necessaria alcuna azione. |
| 39 | La connessione di rete è identificata come normale. Microsoft Defender per endpoint contatta il server ogni %1 minuti. Connessione a consumo: %2, Internet disponibile: %3, rete gratuita disponibile: %4. | Il dispositivo non usa una connessione a consumo/a pagamento e contatta il server come di consueto. | Normale notifica operativa; non è necessaria alcuna azione. |
| 40 | Lo stato della batteria è identificato come basso. Microsoft Defender per endpoint contatta il server ogni %1 minuti. Stato batteria: %2. | Il dispositivo ha un livello di batteria basso e contatta il server meno frequentemente. | Normale notifica operativa; non è necessaria alcuna azione. |
| 41 | Lo stato della batteria è identificato come normale. Microsoft Defender per endpoint contatta il server ogni %1 minuti. Stato batteria: %2. | Il dispositivo non ha un livello di batteria basso e contatta il server come di consueto. | Normale notifica operativa; non è necessaria alcuna azione. |
| 42 | Microsoft Defender per endpoint componente non è riuscito a eseguire l'azione. Componente: %1, azione: %2, tipo di eccezione: %3, messaggio eccezione: %4 | Errore interno. Impossibile avviare il servizio. | Se l'errore persiste, contattare il supporto tecnico. |
| 43 | Microsoft Defender per endpoint componente non è riuscito a eseguire l'azione. Componente: %1, Azione: %2, Tipo di eccezione: %3, Errore eccezione: %4, Messaggio eccezione: %5 | Errore interno. Impossibile avviare il servizio. | Se l'errore persiste, contattare il supporto tecnico. |
| 44 | Offboarding del servizio Defender per endpoint completato. | Il servizio è stato disattivato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 45 | Impossibile registrare e avviare la sessione di traccia eventi [%1]. Codice errore: %2 | Si è verificato un errore all'avvio del servizio durante la creazione della sessione ETW. Ciò ha causato un errore di avvio del servizio. | Se l'errore persiste, contattare il supporto tecnico. |
| 46 | Impossibile registrare e avviare la sessione di traccia eventi [%1] a causa della mancanza di risorse. Codice errore: %2. Ciò è molto probabile perché sono presenti troppe sessioni di traccia eventi attive. Il servizio riprova in 1 minuto. | Si è verificato un errore all'avvio del servizio durante la creazione della sessione ETW a causa della mancanza di risorse. Il servizio è in esecuzione, ma non segnala gli eventi del sensore fino all'avvio della sessione ETW. | Normale notifica operativa; non è necessaria alcuna azione. Il servizio tenta di avviare la sessione ogni minuto. |
| 47 | La registrazione e l'avvio della sessione di traccia degli eventi sono stati completati dopo i precedenti tentativi non riusciti. | Questo evento segue l'evento precedente dopo aver avviato correttamente la sessione ETW. | Normale notifica operativa; non è necessaria alcuna azione. |
| 48 | Impossibile aggiungere un provider [%1] alla sessione di traccia eventi [%2]. Codice errore: %3. Ciò significa che gli eventi di questo provider non vengono segnalati. | Impossibile aggiungere un provider alla sessione ETW. Di conseguenza, gli eventi del provider non vengono segnalati. | Controllare il codice di errore. Se l'errore persiste, contattare il supporto tecnico. |
| 49 | Comando di configurazione cloud non valido ricevuto e ignorato. Versione: %1, stato: %2, codice errore: %3, messaggio: %4 | Ricevuto un file di configurazione non valido dal servizio cloud ignorato. | Se l'errore persiste, contattare il supporto tecnico. |
| 50 | Nuova configurazione cloud applicata correttamente. Versione: %1. | È stata applicata correttamente una nuova configurazione dal servizio cloud. | Normale notifica operativa; non è necessaria alcuna azione. |
| 51 | Impossibile applicare la nuova configurazione cloud, versione: %1. Applicazione dell'ultima configurazione valida nota, versione %2. | Ha ricevuto un file di configurazione non valido dal servizio cloud. L'ultima configurazione valida nota è stata applicata correttamente. | Se l'errore persiste, contattare il supporto tecnico. |
| 52 | Impossibile applicare la nuova configurazione cloud, versione: %1. Non è stato possibile applicare l'ultima configurazione valida nota, versione %2. La configurazione predefinita è stata applicata correttamente. | Ha ricevuto un file di configurazione non valido dal servizio cloud. Impossibile applicare l'ultima configurazione valida nota e la configurazione predefinita è stata applicata. | Il servizio tenterà di scaricare un nuovo file di configurazione entro 5 minuti. Se l'evento n. 50 non è visualizzato, contattare il supporto tecnico. |
| 53 | Configurazione cloud caricata dall'archiviazione persistente, versione: %1. | La configurazione è stata caricata dall'archiviazione persistente all'avvio del servizio. | Normale notifica operativa; non è necessaria alcuna azione. |
| 54 | Stato globale (per modello) modificato. Stato: %1, modello: %2 | Se stato = 0: la regola di segnalazione dei dati informatici ha raggiunto la quota di limitazione definita e non invia altri dati fino alla scadenza della quota di limitazione. Se state = 1: la quota di limitazione è scaduta e la regola riprenderà l'invio dei dati. | Normale notifica operativa; non è necessaria alcuna azione. |
| 55 | Impossibile creare il autologger ETW sicuro. Codice errore: %1 | Impossibile creare il logger ETW sicuro. | Riavviare il dispositivo. Se l'errore persiste, contattare il supporto tecnico. |
| 56 | Impossibile rimuovere il logger automatico ETW sicuro. Codice errore: %1 | Impossibile rimuovere la sessione ETW sicura durante l'offboarding. | Contattare il supporto tecnico. |
| 57 | Acquisizione di uno snapshot del computer a scopo di risoluzione dei problemi. | Viene raccolto un pacchetto di indagine, noto anche come pacchetto forense. | Normale notifica operativa; non è necessaria alcuna azione. |
| 59 | Comando iniziale: %1 | Avvio dell'esecuzione del comando di risposta. | Normale notifica operativa; non è necessaria alcuna azione. |
| 60 | Impossibile eseguire il comando %1, errore: %2. | Impossibile eseguire il comando di risposta. | Se l'errore persiste, contattare il supporto tecnico. |
| 61 | I parametri di comando della raccolta dati non sono validi: SasUri: %1, compressionLevel: %2. | Impossibile leggere o analizzare gli argomenti del comando della raccolta dati (argomenti non validi). | Se l'errore persiste, contattare il supporto tecnico. |
| 62 | Impossibile avviare esperienze utente connesse e servizio di telemetria. Codice errore: %1 | Impossibile avviare il servizio Esperienze utente connesse e telemetria (diagtrack). I dati di telemetria non Microsoft Defender per endpoint non vengono inviati da questo computer. | Cercare altri suggerimenti per la risoluzione dei problemi nel registro eventi: Microsoft-Windows-UniversalTelemetryClient/Operational. |
| 63 | Aggiornamento del tipo di avvio del servizio esterno. Nome: %1, tipo di avvio effettivo: %2, tipo di avvio previsto: %3, codice di uscita: %4 | Tipo di avvio aggiornato del servizio esterno. | Normale notifica operativa; non è necessaria alcuna azione. |
| 64 | Avvio del servizio esterno arrestato. Nome: %1, codice di uscita: %2 | Avvio di un servizio esterno. | Normale notifica operativa; non è necessaria alcuna azione. |
| 65 | Impossibile caricare il driver Minifilter del componente Eventi di sicurezza Microsoft. Codice errore: %1 | Impossibile caricare MsSecFlt.sys minifiltro del file system. | Riavviare il dispositivo. Se l'errore persiste, contattare il supporto tecnico. |
| 66 | Aggiornamento dei criteri: modalità latenza - %1 | I criteri di frequenza di connessione C&C sono stati aggiornati. | Normale notifica operativa; non è necessaria alcuna azione. |
| 68 | Il tipo di avvio del servizio è imprevisto. Nome servizio: %1, tipo di avvio effettivo: %2, tipo di avvio previsto: %3 | Tipo di avvio del servizio esterno imprevisto. | Correggere il tipo di avvio del servizio esterno. |
| 69 | Il servizio viene arrestato. Nome servizio: %1 | Il servizio esterno viene arrestato. | Avviare il servizio esterno. |
| 70 | Aggiornamento dei criteri: Consenti raccolta di esempi - %1 | I criteri di raccolta di esempi sono stati aggiornati. | Normale notifica operativa; non è necessaria alcuna azione. |
| 71 | Comando completato: %1 | Il comando è stato eseguito correttamente. | Normale notifica operativa; non è necessaria alcuna azione. |
| 72 | Si è tentato di inviare il primo report completo del profilo del computer. Codice risultato: %1 | Solo informativo. | Normale notifica operativa; non è necessaria alcuna azione. |
| 73 | Avvio logico per la piattaforma: %1 | Solo informativo. | Normale notifica operativa; non è necessaria alcuna azione. |
| 74 | Il tag del dispositivo nel Registro di sistema supera il limite di lunghezza. Nome tag: %2. Limite di lunghezza: %1. | Il tag del dispositivo supera il limite di lunghezza. | Usare un tag del dispositivo più breve. |
| 81 | Impossibile creare Microsoft Defender per endpoint autologger ETW. Codice errore: %1 | Impossibile creare la sessione ETW. | Riavviare il dispositivo. Se l'errore persiste, contattare il supporto tecnico. |
| 82 | Impossibile rimuovere Microsoft Defender per endpoint autologger ETW. Codice errore: %1 | Impossibile eliminare la sessione ETW. | Contattare il supporto tecnico. |
| 84 | Impostare Microsoft Defender modalità di esecuzione antivirus. Forza modalità passiva: %1, codice risultato: %2. | Impostare la modalità di esecuzione di Defender (attiva o passiva). | Normale notifica operativa; non è necessaria alcuna azione. |
| 85 | Impossibile attivare Microsoft Defender per endpoint eseguibile. Codice errore: %1 | L'eseguibile SenseIR non è riuscito. | Riavviare il dispositivo. Se l'errore persiste, contattare il supporto tecnico. |
| 86 | L'avvio ha arrestato di nuovo il servizio esterno che dovrebbe essere attivo. Nome: %1, codice di uscita: %2 | Avvio del servizio esterno. | Normale notifica operativa; non è necessaria alcuna azione. |
| 87 | Impossibile avviare il servizio esterno. Nome: %1 | Impossibile avviare il servizio esterno. | Contattare il supporto tecnico. |
| 88 | Aggiornamento del tipo di avvio del servizio esterno. Nome: %1, tipo di avvio effettivo: %2, tipo di avvio previsto: %3, codice di uscita: %4 | Aggiornato il tipo di avvio del servizio esterno. | Normale notifica operativa; non è necessaria alcuna azione. |
| 89 | Impossibile aggiornare il tipo di avvio del servizio esterno. Nome: %1, tipo di inizio effettivo: %2, tipo di inizio previsto: %3 | Non è possibile aggiornare il tipo di avvio del servizio esterno. | Contattare il supporto tecnico. |
| 90 | Impossibile configurare Protezione del sistema Runtime Monitor per la connessione al servizio cloud nell'area geografica %1. Codice errore: %2 | Protezione del sistema Runtime Monitor non invia dati di attestazione al servizio cloud. | Controllare le autorizzazioni nel percorso di registrazione: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Se non vengono rilevati problemi, contattare il supporto tecnico. |
| 91 | Impossibile rimuovere Protezione del sistema informazioni sull'area geografica di Monitoraggio runtime. Codice errore: %1 | Protezione del sistema Runtime Monitor non invia dati di attestazione al servizio cloud. | Controllare le autorizzazioni nel percorso di registrazione: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Se non vengono rilevati problemi, contattare il supporto tecnico. |
| 92 | Arresto dell'invio della quota di dati informatici del sensore perché viene superata la quota di dati. Riprenderà l'invio al termine del periodo di quota. Maschera di stato: %1 | Superare il limite di limitazione. | Normale notifica operativa; non è necessaria alcuna azione. |
| 93 | Ripresa dell'invio di dati informatici del sensore. Maschera di stato: %1 | Riprendere l'invio di dati informatici. | Normale notifica operativa; non è necessaria alcuna azione. |
| 94 | Microsoft Defender per endpoint eseguibile è stato avviato | L'eseguibile SenseCE è stato avviato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 95 | Microsoft Defender per endpoint eseguibile è terminato | L'eseguibile SenseCE è terminato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 96 | Microsoft Defender per endpoint chiamata di Init. Codice risultato: %2 | L'eseguibile SenseCE ha chiamato l'inizializzazione MCE. | Normale notifica operativa; non è necessaria alcuna azione. |
| 97 | Esistono problemi di connettività al cloud per lo scenario DLP | Esistono problemi di connettività di rete che influiscono sul flusso di classificazione DLP. | Controllare la connettività di rete. |
| 98 | La connettività al cloud per lo scenario DLP è stata ripristinata | La connettività alla rete è stata ripristinata e il flusso di classificazione DLP può continuare. | Normale notifica operativa; non è necessaria alcuna azione. |
| 99 | Sense ha rilevato l'errore seguente durante la comunicazione con il server: (%1). Risultato: (%2) | Si è verificato un errore di comunicazione. | Per altri dettagli, controllare gli eventi seguenti nel registro eventi. |
| 100 | Microsoft Defender per endpoint eseguibile non è stato avviato. Codice errore: %1 | Impossibile avviare l'eseguibile SenseCE. | Riavviare il dispositivo. Se l'errore persiste, contattare il supporto tecnico. |
| 102 | Microsoft Defender per endpoint è stato avviato il file eseguibile di rilevamento e risposta di rete | L'eseguibile SenseNdr è stato avviato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 103 | Microsoft Defender per endpoint file eseguibile di rilevamento e risposta di rete è terminato | L'eseguibile SenseNdr è terminato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 104 | Impossibile accodare lo scaricamento asincrono del driver. Codice errore: %1. | Si verifica durante l'offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 105 | Impossibile attendere lo scaricamento del driver | Si verifica durante l'offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 106 | Microsoft Defender per endpoint servizio non è stato avviato. Codice errore %1 ; Impossibile caricare la DLL MsSense. Modulo. | Si verifica durante l'avvio. | Contattare il supporto. |
| 107 | Microsoft Defender per endpoint servizio non è stato avviato. Codice errore %1 ; Problema con il modulo DLL MsSense. | Si verifica durante l'avvio. | Contattare il supporto. |
| 108 | Fase di aggiornamento:%1, nuova versione della piattaforma: %2, messaggio: %3. | Si verifica durante l'aggiornamento. | Normale notifica operativa; non è necessaria alcuna azione. |
| 109 | Fase di aggiornamento:%1 nuova versione della piattaforma: %2, messaggio di errore: %3, errore: %4. | Si verifica durante l'aggiornamento. | Contattare il supporto. |
| 110 | Impossibile rimuovere i filtri MDEContain WFP. | Si verifica durante l'offboarding. | Contattare il supporto. |
| 307 | Impossibile aggiornare le autorizzazioni del driver Codice errore: %1. | Si verifica durante l'onboarding. | Contattare il supporto. |
| 308 | Impossibile accedere all'elenco di controllo di accesso nella cartella %1 Codice errore: %2. | Si verifica durante l'onboarding. | Contattare il supporto. |
| 401 | Microsoft Defender per endpoint servizio non è riuscito a generare la chiave. Codice errore: %1. | Impossibile creare la chiave di crittografia. | Se il computer non segnala, contattare il supporto tecnico. In caso contrario, non è necessaria alcuna azione. |
| 402 | Microsoft Defender per endpoint servizio non è riuscito a rendere persistente lo stato di autenticazione. Codice errore: %1. | Impossibile rendere persistente lo stato di autenticazione. | Se un dispositivo non segnala, contattare il supporto tecnico. In caso contrario, non è necessaria alcuna azione. |
| 403 | Registrazione del servizio Microsoft Defender per endpoint completata. | Registrazione riuscita al servizio di autenticazione. | Normale notifica operativa; non è necessaria alcuna azione. |
| 404 | Microsoft Defender per endpoint servizio ha generato correttamente una chiave. | Generazione di chiavi crittografiche riuscita. | Normale notifica operativa; non è necessaria alcuna azione. |
| 405 | Impossibile comunicare con il servizio di autenticazione. %1 richiesta non riuscita, hresult: %2, codice errore HTTP: %3. | Impossibile inviare la richiesta al servizio di autenticazione. | Normale notifica operativa; non è necessaria alcuna azione. |
| 406 | Richiesta di %1 rifiutata dal servizio di autenticazione. Hresult: %2, codice errore: %3. | Richiesta restituita risposta non desiderati. | Normale notifica operativa; non è necessaria alcuna azione. |
| 407 | Microsoft Defender per endpoint servizio non è riuscito a firmare il messaggio (autenticazione). Codice errore: %1. | Impossibile firmare la richiesta. | Normale notifica operativa; non è necessaria alcuna azione. |
| 408 | Microsoft Defender per endpoint servizio non è riuscito a rimuovere lo stato di autenticazione persistente. Stato: %1, Codice errore: %2. | Impossibile rendere persistente lo stato di autenticazione. | Se un dispositivo non segnala, contattare il supporto tecnico. In caso contrario, non è necessaria alcuna azione. |
| 409 | Microsoft Defender per endpoint servizio non è riuscito ad aprire la chiave. Codice errore: %1. | Impossibile aprire la chiave di crittografia. | Se un dispositivo non segnala, contattare il supporto tecnico. In caso contrario, non è necessaria alcuna azione. |
| 410 | La registrazione è necessaria come parte del reonboarding del servizio Microsoft Defender per endpoint. | Si verifica durante il reonboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 411 | Il caricamento dei dati di telemetria informatica è stato sospeso per Microsoft Defender per endpoint servizio a causa di un token non valido/scaduto. | Caricamento informatico temporaneamente sospeso. | Normale notifica operativa; non è necessaria alcuna azione. |
| 412 | Il caricamento dei dati di telemetria informatica è stato ripreso per Microsoft Defender per endpoint servizio a causa del token appena aggiornato. | Il caricamento informatico è stato ripreso correttamente. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1800 | CSP: ottenere Node's valore. NodeId: (%1), TokenName: (%2). |
Un'operazione di Get sta per iniziare. | Contattare il supporto. |
| 1801 | CSP: impossibile ottenere Node's il valore. NodeId: (%1), TokenName: (%2), Risultato: (%3). |
Operazione di Get non riuscita. | Contattare il supporto. |
| 1802 | CSP: ottenere Node's il valore completo. NodeId: (%1), TokenName: (%2), Risultato: (%3). |
L'operazione Get ha avuto esito positivo. | Contattare il supporto. |
| 1803 | CSP: ottenere il completamento dell'ultimo valore connesso. Result (%1), IsDefault: (%2). | L'ultima volta che il dispositivo ha comunicato con CNC. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1804 | CSP: ottenere il completamento del valore dell'ID organizzazione. Risultato: (%1), IsDefault: (%2). | Il dispositivo id organizzazione ottiene durante l'onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1805 | CSP: il valore Get Sense Is Running è completato. Risultato: (%1). | Senso di esecuzione del messaggio dopo l'onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1806 | CSP: ottenere il completamento del valore dello stato di onboarding. Risultato: (%1), IsDefault: (%2). | L'onboarding di Get is Sense è stato eseguito. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1807 | CSP: ottenere il completamento del valore di onboarding. Hash BLOB di onboarding: (%1), IsDefault: (%2), Stato di onboarding: (%3), Stato di onboarding IsDefault: (%4). | Get è l'onboarding e l'onboarding dell'hash del BLOB. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1808 | CSP: ottenere il completamento del valore di offboarding. Hash BLOB offboarding: (%1), IsDefault: (%2). | Ottenere l'hash del BLOB di offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1809 | CSP: ottenere il completamento del valore di condivisione degli esempi. Risultato: (%1), IsDefault: (%2). | Get è consentito il caricamento di esempio. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1810 | CSP: processo di onboarding. Iniziato. | Flusso di onboarding avviato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1811 | CSP: processo di onboarding. Eliminare il BLOB di offboarding completato. Risultato: (%1). | BLOB di offboarding eliminato come parte del flusso di onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1812 | CSP: processo di onboarding. Scrivere il BLOB di onboarding completato. Risultato: (%1). | Il BLOB di onboarding è stato scritto nel Registro di sistema come parte del flusso di onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1813 | CSP: processo di onboarding. Il servizio è stato avviato correttamente. | È stato avviato il servizio Sense come parte del flusso di onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1814 | CSP: processo di onboarding. Stato di esecuzione del servizio in sospeso completato. Risultato: (%1). | Completata l'attesa dell'avvio di Sense come parte del flusso di onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1815 | CSP: impostare il valore di Condivisione campioni completato. Valore precedente: (%1), IsDefault: (%2), Nuovo valore: (%3), Risultato: (%4). | Impostare il valore di condivisione di esempio. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1816 | CSP: processo di offboarding. Eliminare l'onboarding del BLOB completato. Risultato (%1). | BLOB di onboarding eliminato come parte del flusso di offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1817 | CSP: processo di offboarding. Completare l'offboarding del BLOB. Risultato (%1). | Il BLOB di offboarding è stato scritto nel Registro di sistema come parte del flusso di offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1818 | CSP: impostare Node's il valore avviato. NodeId: (%1), TokenName: (%2). |
Un'operazione di Set sta per essere avviata. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1819 | CSP: impossibile impostare Node's il valore. NodeId: (%1), TokenName: (%2), Risultato: (%3). |
Operazione di Set non riuscita. | Contattare il supporto. |
| 1820 | CSP: imposta Node's valore completato. NodeId: (%1), TokenName: (%2), Risultato: (%3). |
L'operazione Set ha avuto esito positivo. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1821 | CSP: impostare la frequenza dei report di telemetria avviata. Nuovo valore: (%1). | Iniziare a impostare il valore di TelemetryReportingFrequency. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1822 | CSP: impostare la frequenza di segnalazione dei dati di telemetria completata. Valore precedente: (%1), IsDefault: (%2), Nuovo valore: (%3), Risultato: (%4). | Completare l'impostazione del valore di TelemetryReportingFrequency. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1823 | CSP: ottenere il completamento della frequenza dei report di telemetria. Valore: (%1), Valore del Registro di sistema: (%2), IsDefault: (%3). | Ottiene il valore di TelemetryReportingFrequency. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1824 | CSP: ottenere gli ID gruppo completi. Valore: (%1), IsDefault: (%2). | Ha ottenuto groupId dal Registro di sistema. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1825 | CSP: l'impostazione degli ID gruppo ha superato il limite consentito. Consentito: (%1), Effettivo: (%2). | Impossibile impostare groupId a causa della lunghezza. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1826 | CSP: impostare gli ID gruppo completati. Valore: (%1), Risultato: (%2). | Impostare groupIds. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1827 | CSP: processo di onboarding. Il servizio è in esecuzione: (%1), Hash BLOB di onboarding precedente: (%2), IsDefault: (%3), Stato di onboarding: (%4), Stato di onboarding IsDefault: (%5), Nuovo hash BLOB di onboarding: (%6). | Valori di traccia come parte dell'onboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1828 | CSP: processo di onboarding. Servizio in esecuzione: (%1), Hash BLOB offboarding precedente: (%2), IsDefault: (%3), Stato di onboarding: (%4), Stato di onboarding IsDefault: (%5), Nuovo hash BLOB offboarding: (%6). | Valori di traccia come parte dell'offboarding. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1829 | CSP: non è stato possibile impostare il valore di condivisione di esempio. Valore richiesto: (%1), Valori consentiti tra (%2) e (%3). | Valore non valido per l'operazione SampleSharing. | Contattare il supporto. |
| 1830 | CSP: non è stato possibile impostare il valore di frequenza dei report di telemetria. Valore richiesto: (%1). | Impossibile impostare il valore di TelemetryReportingFrequency. | Contattare il supporto tecnico se il problema persiste. |
| 1831 | CSP: Get Sense è in esecuzione. Il servizio è configurato come avvio ritardato e hasn't viene ancora avviato. |
Ottenere il risultato SenseIsRunning. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1832 | CSP: ottenere il completamento del gruppo di tagging del dispositivo. Valore: (%1), IsDefault: (%2). | Ottenere DeviceTagging Group dal Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1833 | CSP: ottenere il completamento del valore di criticità dell'assegnazione di tag del dispositivo. Nel Registro di sistema: (%1), IsDefault: (%2), Conversione completata: (%3), Risultato: (%4). | Ottenere DeviceTagging Criticality dal Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1834 | CSP: ottenere il valore del metodo di identificazione tagging del dispositivo completato. Nel Registro di sistema: (%1), IsDefault: (%2), Conversione completata: (%3), Risultato: (%4). | Ottenere DeviceTagging Id Method dal Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1835 | CSP: impostare il gruppo di tagging del dispositivo completato. Valore: (%1), Risultato: (%2). | Impostare DeviceTagging Group nel Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1836 | CSP: impostare il gruppo di tag di dispositivo superato il limite consentito. Consentito: (%1), Effettivo: (%2). | Set DeviceTagging Group failed as maximum Length Limit exceeded.Set DeviceTagging Group failed as maximum Length Limit exceeded.Set DeviceTagging Group failed as maximum Length Limit exceeded. | Contattare il supporto tecnico se il problema persiste. |
| 1837 | CSP: impostare il valore di criticità di assegnazione dei tag del dispositivo completato. Valore precedente: (%1), IsDefault: (%2), Nuovo valore: (%3), Risultato: (%4). | Impostare DeviceTagging Criticality nel Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1838 | CSP: non è stato possibile impostare il valore di criticità del tagging del dispositivo. Valore richiesto: (%1), Valori consentiti tra (%2) e (%3). | L'opzione DeviceTagging Criticality non è riuscita perché il valore non rientra nell'intervallo previsto. | Contattare il supporto tecnico se il problema persiste. |
| 1839 | CSP: impostare il valore del metodo di identificazione tagging del dispositivo completato. Valore precedente: (%1), IsDefault: (%2), Nuovo valore: (%3), Risultato: (%4). | Impostare DeviceTagging Id Method nel Registro di sistema completato. | Normale notifica operativa; non è necessaria alcuna azione. |
| 1840 | CSP: non è stato possibile impostare il valore del metodo di identificazione tagging del dispositivo. Valore richiesto: (%1), Valori consentiti tra (%2) e (%3). | Il metodo DeviceTagging ID non è riuscito perché il valore non rientra nell'intervallo previsto. | Contattare il supporto tecnico se il problema persiste. |
Visualizzare gli eventi di Defender per endpoint nel registro eventi di sistema
Microsoft Defender per endpoint eventi vengono visualizzati anche nel registro eventi di sistema.
Per aprire il registro eventi di sistema:
- Selezionare Start dal menu Windows, digitare Visualizzatore eventi e premere INVIO per aprire il Visualizzatore eventi.
- Nell'elenco dei log, in Riepilogo log scorrere fino a visualizzare Sistema. Fare doppio clic sull'elemento per aprire il log.
È possibile usare questa tabella per altre informazioni sugli eventi di Defender per endpoint nel registro eventi di sistema e per determinare ulteriori passaggi per la risoluzione dei problemi.
| ID evento | Messaggio | Descrizione | Azione |
|---|---|---|---|
| 1 | Il file di backup per la sessione in tempo reale "SenseNdrPktmon" ha raggiunto le dimensioni massime. Di conseguenza, i nuovi eventi non verranno registrati in questa sessione fino a quando lo spazio non diventa disponibile. | Questa sessione in tempo reale, tra Pktmon, il servizio Windows predefinito che acquisisce il traffico di rete e il nostro agente (SenseNDR), che analizza i pacchetti in modo asincrono, è configurata in modo da evitare potenziali problemi di prestazioni. Di conseguenza, questo avviso può essere visualizzato se un numero eccessivo di pacchetti viene intercettato in un breve periodo di tempo e alcuni pacchetti vengono ignorati. Questo avviso è più comune con traffico di rete elevato. | Normale notifica operativa; non è necessaria alcuna azione. |
Vedere anche
- Eseguire l'onboarding dei dispositivi client Windows
- Configurare le impostazioni di connettività Proxy e Internet del dispositivo
- Risolvere i problemi di Microsoft Defender per endpoint
- Panoramica dell'analizzatore client
- Scaricare ed eseguire l'analizzatore client
- Informazioni sui report HTML dell'analizzatore
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per