Устранение неполадок с датчиком Microsoft Defender для удостоверений с помощью журналов Defender для удостоверений
Журналы Defender для удостоверений содержат сведения о том, что делает каждый компонент датчика Microsoft Defender для удостоверений в любой момент времени.
Журналы Defender для удостоверений находятся в подпапке с именем Logs , где установлен Defender для удостоверений. Расположение по умолчанию — C:\Program Files\Azure Advanced Threat Protection Sensor\. В расположении установки по умолчанию его можно найти по адресу C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Журналы датчика удостоверений Defender для удостоверений
Датчик Defender для удостоверений содержит следующие журналы:
Microsoft.Tri.Sensor.log — этот журнал содержит все, что происходит в датчике Defender для удостоверений (включая разрешение и ошибки). Его основное использование — получение общего состояния всех операций в хронологическом порядке, в котором они произошли.
Microsoft.Tri.Sensor-Errors.log — этот журнал содержит только ошибки, пойманные датчиком Defender для удостоверений. Его основное использование — выполнение проверка работоспособности и исследование проблем, которые необходимо сопоставить с определенным временем.
Microsoft.Tri.Sensor.Updater.log . Этот журнал используется для процесса обновления датчика, который отвечает за обновление датчика Defender для удостоверений, если это настроено автоматически.
Microsoft.Tri.Sensor.Updater-Errors.log . Этот журнал содержит только ошибки, пойманные средством обновления датчика Defender для удостоверений. Его основное использование — выполнение проверка работоспособности и исследование проблем, которые необходимо сопоставить с определенным временем.
Примечание.
Файлы журнала имеют максимальный размер до 50 МБ. После достижения этого размера открывается новый файл журнала, а предыдущий —< на "исходное имя> файла-Archived-00000", где число увеличивается при каждом переименовании. По умолчанию, если более 10 файлов из того же типа уже существуют, старые удаляются.
Журналы развертывания Defender для удостоверений
Журналы развертывания Defender для удостоверений находятся в временном каталоге пользователя, который установил продукт. Обычно он будет найден по адресу %USERPROFILE%\AppData\Local\Temp. Если она была развернута службой, ее можно найти в C:\Windows\Temp.
Журналы развертывания датчика удостоверений Defender для удостоверений:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log. Этот файл журнала предоставляет весь процесс развертывания датчика и можно найти в папке temp упоминание ранее.
Sensor_YYYYMMDDHHMMSS.log Расширенной защиты от угроз Azure. В этом журнале перечислены шаги в процессе развертывания датчика Defender для удостоверений. Его основное использование — отслеживание процесса развертывания датчика Defender для удостоверений.
Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log Расширенной защиты от угроз Azure. Этот файл журнала содержит инструкции по развертыванию двоичных файлов датчика Defender для удостоверений. Его основное использование — отслеживание развертывания двоичных файлов датчика Defender для удостоверений.
Примечание.
Помимо журналов развертывания, упоминание здесь, существуют и другие журналы, начинающиеся с "Расширенная защита от угроз Azure", которые также могут предоставить дополнительные сведения о процессе развертывания.