Solução de problemas do sensor do Microsoft Defender para Identidade usando os logs do Defender para Identidade
Os logs do Defender para Identidade fornecem informações sobre o que cada componente do sensor do Microsoft Defender para Identidade está fazendo em um determinado momento.
Os logs do Defender para Identidade estão localizados em uma subpasta chamada Logs onde o Defender para Identidade está instalado, o local padrão é: C:\Program Files\Azure Advanced Threat Protection Sensor\. No local de instalação padrão, ele pode ser encontrado em: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Logs do sensor do Defender para Identidade
O sensor do Defender para Identidade tem os seguintes logs:
Microsoft.Tri.Sensor.log: este log contém tudo o que acontece no sensor do Defender para Identidade (incluindo resolução e erros). Sua principal finalidade é obter o status geral de todas as operações na ordem cronológica em que ocorreram.
Microsoft.Tri.Sensor-Errors.log: este log contém apenas os erros que são capturados pelo sensor do Defender para Identidade. Sua principal finalidade é realizar verificações de integridade e investigar problemas que precisam ser correlacionados a horários específicos.
Microsoft.Tri.Sensor.Updater.log: este log é usado para o processo do atualizador do sensor, que é responsável por atualizar o sensor do Defender para Identidade se configurado para fazê-lo automaticamente.
Microsoft.Tri.Sensor.Updater-Errors.log: este log contém apenas os erros que são capturados pelo atualizador do sensor do Defender para Identidade. Sua principal finalidade é realizar verificações de integridade e investigar problemas que precisam ser correlacionados a horários específicos.
Observação
Os arquivos de log têm um tamanho máximo de 50 MB. Quando esse tamanho é atingido, um novo arquivo de log é aberto e o anterior é renomeado para "<nome do arquivo original>-Archived-00000", onde o número aumenta cada vez que é renomeado. Por padrão, se já existirem mais de dez arquivos do mesmo tipo, os mais antigos serão excluídos.
Logs de implantação do Defender para Identidade
Os logs de implantação do Defender para Identidade estão localizados no diretório temporário do usuário que instalou o produto. Ele geralmente fica em %USERPROFILE%\AppData\Local\Temp. Se tiver sido implantado por um serviço, ele pode ser encontrado em C:\Windows\Temp.
Logs de implantação do sensor do Defender para Identidade:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log: este arquivo de log fornece todo o processo de implantação do sensor e pode ser encontrado na pasta temporária mencionada anteriormente.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log: este log lista as etapas no processo de implantação do sensor do Defender para Identidade. Sua principal finalidade é o rastreamento do processo de implantação do sensor do Defender para Identidade.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log: este arquivo de log lista as etapas no processo de implantação dos binários do sensor do Defender para Identidade. Sua principal finalidade é rastrear a implantação dos binários do sensor do Defender para Identidade.
Observação
Além dos logs de implantação mencionados aqui, há outros logs que começam com "Azure Advanced Threat Protection" que também podem fornecer informações adicionais sobre o processo de implantação.