Del via


Feilsøke Microsoft Defender for identitet sensor ved hjelp av Defender for identitetslogger

Defender for Identity-loggene gir innsikt i hva hver komponent i Microsoft Defender for identitet sensor gjør på et gitt tidspunkt.

Defender for Identity-loggene er plassert i en undermappe kalt Logs der Defender for Identity er installert. standardplasseringen er: C:\Program Files\Azure Advanced Threat Protection Sensor. Du finner den på standard installasjonsplassering på: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.

Defender for identitetssensorlogger

Defender for Identity-sensoren har følgende logger:

  • Microsoft.Tri.Sensor.log – Denne loggen inneholder alt som skjer i Defender for Identity-sensoren (inkludert oppløsning og feil). Hovedbruken er å få den generelle statusen for alle operasjoner i kronologisk rekkefølge der de skjedde.

  • Microsoft.Tri.Sensor-Errors.log – Denne loggen inneholder bare feilene som fanges opp av Defender for Identity-sensoren. Hovedbruken er å utføre helsekontroller og undersøke problemer som må koordineres med bestemte tider.

  • Microsoft.Tri.Sensor.Updater.log – Denne loggen brukes til sensoroppdateringsprosessen, som er ansvarlig for å oppdatere Defender for Identity-sensoren hvis konfigurert til å gjøre dette automatisk.

  • Microsoft.Tri.Sensor.Updater-Errors.log – Denne loggen inneholder bare feilene som fanges opp av sensoroppdateringen for Defender for Identity. Hovedbruken er å utføre helsekontroller og undersøke problemer som må koordineres med bestemte tider.

Obs!

Loggfilene har en maksimal størrelse på opptil 50 MB. Når denne størrelsen er nådd, åpnes en ny loggfil, og den forrige har fått nytt navn til «<original file name-Archived-00000>» der tallet øker hver gang den får nytt navn. Hvis det allerede finnes mer enn 10 filer av samme type, slettes den eldste som standard.

Defender for identitetsdistribusjonslogger

Distribusjonsloggene for Defender for Identity er plassert i temp-katalogen til brukeren som installerte produktet. Vanligvis kan du finne disse loggene på %USERPROFILE%\AppData\Local\Temp. Hvis distribusjonen ble utført av en tjeneste, kan loggene være plassert i C:\Windows\Temp eller C:\Windows\SystemTemp, avhengig av Windows-versjonen og oppdateringsnivået.

Defender for distribusjonslogger for identitetssensor:

  • Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log – Denne loggfilen gir hele prosessen med sensordistribusjon og finnes i temp-mappen som er nevnt tidligere.

  • Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log – Denne loggen viser trinnene i prosessen med distribusjonen av Defender for Identity-sensoren. Hovedbruken er sporing av distribusjonsprosessen defender for identitetssensor.

  • Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log – Denne loggfilen viser trinnene i prosessen med distribusjonen av Defender for Identity-sensorbinærer. Hovedbruken er å spore distribusjonen av defender for identitetssensorbinærer.

Obs!

I tillegg til distribusjonsloggene som nevnes her, finnes det andre logger som begynner med «Azure Advanced Threat Protection» som også kan gi tilleggsinformasjon om distribusjonsprosessen.