Granska händelser och fel med hjälp av Loggboken
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Visa händelser i händelseloggen för Defender för Endpoint-tjänsten
Du kan granska händelse-ID:t i Loggboken på enskilda enheter. Detta kan vara till hjälp när till exempel en enhet inte visas i listan Enheter. I det här scenariot kan du leta efter händelse-ID:n på enheten och sedan använda tabellen nedan för att fastställa ytterligare felsökningssteg baserat på motsvarande händelse-ID.
Så här öppnar du händelseloggen för Defender för Endpoint-tjänsten:
Välj Starta på Windows-menyn, skriv Loggboken och tryck på Retur för att öppna Loggboken.
I logglistan, under Loggsammanfattning, bläddrar du tills du ser Microsoft-Windows-SENSE/Operational. Dubbelklicka på objektet för att öppna loggen.
Du kan också komma åt loggen genom att expandera Program- och tjänstloggar>Microsoft>Windows>SENSE och välja Drift.
Obs!
SENSE är det interna namnet som används för att referera till den beteendesensor som driver Microsoft Defender för Endpoint.
Händelser som registrerats av tjänsten visas i loggen.
I följande tabell finns en lista över händelser som registrerats av tjänsten.
| Händelse-ID | Meddelande | Beskrivning | Åtgärd |
|---|---|---|---|
| 1 | Microsoft Defender för Endpoint tjänsten startades (version variable). |
Inträffar under systemstart, avstängning och under registrering. | Normal driftsavisering; ingen åtgärd krävs. |
| 2 | Microsoft Defender för Endpoint tjänstavstängning. | Inträffar när enheten stängs av eller avregistreras. | Normal driftsavisering; ingen åtgärd krävs. |
| 3 | det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod: variable. |
Tjänsten startade inte. | Granska andra meddelanden för att fastställa möjliga orsaks- och felsökningssteg. |
| 4 | Microsoft Defender för Endpoint-tjänsten kontaktade servern på variable. |
Variabel = URL för Defender för Endpoint-bearbetningsservrar. Den här URL:en matchar den som visas i brandväggs- eller nätverksaktiviteten. |
Normal driftsavisering; ingen åtgärd krävs. |
| 5 | Microsoft Defender för Endpoint-tjänsten kunde inte ansluta till servern på variable. |
Variabel = URL för Defender för Endpoint-bearbetningsservrar. Tjänsten kunde inte kontakta de externa bearbetningsservrarna på den URL:en. |
Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning. |
| 6 | Microsoft Defender för Endpoint tjänsten har inte registrerats och inga registreringsparametrar hittades. | Enheten registrerades inte korrekt och rapporterar inte till portalen. | Registrering måste köras innan tjänsten startas. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 7 | Microsoft Defender för Endpoint-tjänsten kunde inte läsa registreringsparametrarna. Fel: variable. |
Variabel = detaljerad felbeskrivning. Enheten registrerades inte korrekt och rapporterar inte till portalen. | Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 8 | Microsoft Defender för Endpoint-tjänsten kunde inte rensa konfigurationen. Felkod: variable. |
Under registrering: Det gick inte att rensa konfigurationen under registreringen. Registreringsprocessen fortsätter. Under avregistrering: Tjänsten kunde inte rensa konfigurationen under avregistreringen. Avregistreringsprocessen slutfördes men tjänsten fortsätter att köras. |
Registrering: Ingen åtgärd krävs. Avregistrering: Starta om systemet. Se Registrera Windows-klientenheter. |
| 9 | Microsoft Defender för Endpoint-tjänsten kunde inte ändra sin starttyp. Felkod: variable. |
Under registrering: Enheten registrerades inte korrekt och rapporterar inte till portalen. Under avregistrering: Det gick inte att ändra tjänstens starttyp. Avregistreringsprocessen fortsätter. |
Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 10 | Microsoft Defender för Endpoint-tjänsten kunde inte spara registreringsinformationen. Felkod: variable. |
Enheten registrerades inte korrekt och rapporterar inte till portalen. | Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 11 | Registrering eller omregistrering av Defender för Endpoint-tjänsten har slutförts. | Enheten registrerades korrekt. | Normal driftsavisering; ingen åtgärd krävs. Det kan ta flera timmar innan enheten visas i portalen. |
| 12 | Microsoft Defender för Endpoint kunde inte tillämpa standardkonfigurationen. | Tjänsten kunde inte tillämpa standardkonfigurationen. | Det här felet bör lösas efter en kort tidsperiod. |
| 13 | Microsoft Defender för Endpoint enhets-ID beräknat: variable. |
Normal driftsprocess. | Normal driftsavisering; ingen åtgärd krävs. |
| 15 | Microsoft Defender för Endpoint kan inte starta kommandokanalen med URL: variable. |
Variabel = URL för Defender för Endpoint-bearbetningsservrar. Tjänsten kunde inte kontakta de externa bearbetningsservrarna på den URL:en. |
Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning. |
| 17 | Microsoft Defender för Endpoint-tjänsten kunde inte ändra platsen för anslutna användarupplevelser och telemetritjänster. Felkod: variable. |
Ett fel uppstod med Windows-telemetritjänsten. |
Se till att diagnostikdatatjänsten är aktiverad"> Se till att diagnostikdatatjänsten är aktiverad. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 18 | OOBE (Välkommen till Windows) har slutförts. | Tjänsten startar först när alla Windows-uppdateringar har slutfört installationen. | Normal driftsavisering; ingen åtgärd krävs. |
| 19 | OOBE (Välkommen till Windows) har ännu inte slutförts. | Tjänsten startar först när alla Windows-uppdateringar har slutfört installationen. | Normal driftsavisering; ingen åtgärd krävs. Om det här felet kvarstår efter en systemomstart kontrollerar du att alla Windows-uppdateringar har installerats fullt ut. |
| 20 | Det går inte att vänta tills OOBE (Välkommen till Windows) har slutförts. Felkod: variable. |
Internt fel. | Om det här felet kvarstår efter en systemomstart kontrollerar du att alla Windows-uppdateringar är installerade. |
| 25 | Microsoft Defender för Endpoint-tjänsten kunde inte återställa hälsostatusen i registret. Felkod: variable. |
Enheten registrerades inte korrekt. Den rapporterar till portalen. Tjänsten kanske dock inte visas som registrerad i SCCM eller registret. | Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 26 | Microsoft Defender för Endpoint-tjänsten kunde inte ange registreringsstatus i registret. Felkod: variable. |
Enheten registrerades inte korrekt. Den rapporterar till portalen. men tjänsten kanske inte visas som registrerad i SCCM eller registret. |
Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 27 | Microsoft Defender för Endpoint-tjänsten kunde inte aktivera SENSE-medvetet läge i Microsoft Defender Antivirus. Registreringsprocessen misslyckades. Felkod: variable. |
Normalt går Microsoft Defender Antivirus in i ett särskilt passivt tillstånd om en annan produkt mot skadlig kod i realtid körs korrekt på enheten och enheten rapporterar till Defender för Endpoint. | Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. Se till att skydd mot skadlig kod i realtid körs korrekt. |
| 28 | Microsoft Defender för Endpoint Registrering av anslutna användarupplevelser och telemetritjänster misslyckades. Felkod: variable. |
Ett fel uppstod med Windows-telemetritjänsten. |
Kontrollera att diagnostikdatatjänsten är aktiverad. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 29 | Det gick inte att läsa av avregistreringsparametrarna. Feltyp: %1, Felkod: %2, Beskrivning: %3 | Den här händelsen inträffar när systemet inte kan läsa avregistreringsparametrarna. | Kontrollera att enheten har Internetåtkomst och kör sedan hela avregistreringsprocessen igen. Kontrollera att avregistreringspaketet inte har upphört att gälla. |
| 30 | Microsoft Defender för Endpoint-tjänsten kunde inte inaktivera SENSE-medvetet läge i Microsoft Defender Antivirus. Felkod: variable. |
Normalt går Microsoft Defender Antivirus in i ett särskilt passivt tillstånd om en annan produkt mot skadlig kod i realtid körs korrekt på enheten och enheten rapporterar till Defender för Endpoint. | Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. Se till att skydd mot skadlig kod i realtid körs korrekt. |
| 31 | Microsoft Defender för Endpoint Avregistreringen av anslutna användarupplevelser och telemetritjänsten misslyckades. Felkod: variable. |
Ett fel uppstod med Windows telemetritjänst under registrering. Avregistreringsprocessen fortsätter. | Kontrollera om det finns fel med Windows-telemetritjänsten. |
| 32 | Microsoft Defender för Endpoint-tjänsten kunde inte begära att stoppa sig själv efter avregistreringsprocessen. Felkod: %1 | Ett fel uppstod under avregistreringen. | Starta om enheten. |
| 33 | Microsoft Defender för Endpoint-tjänsten kunde inte bevara SENSE GUID. Felkod: variable. |
En unik identifierare används för att representera varje enhet som rapporterar till portalen. Om identifieraren inte bevaras kan samma enhet visas två gånger i portalen. |
Kontrollera registerbehörigheterna på enheten för att säkerställa att tjänsten kan uppdatera registret. |
| 34 | Microsoft Defender för Endpoint-tjänsten kunde inte lägga till sig själv som ett beroende av tjänsten Anslutna användarupplevelser och telemetri, vilket gjorde att registreringsprocessen misslyckades. Felkod: variable. |
Ett fel uppstod med Windows-telemetritjänsten. |
Kontrollera att diagnostikdatatjänsten är aktiverad. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen. Se Registrera Windows-klientenheter. |
| 35 | Kommunikationskvoter uppdateras. Diskkvot i MB: variable, daglig uppladdningskvot i MB: variable |
Variabel = diskkvot i MB. | Normal driftsavisering; ingen åtgärd krävs. |
| 36 | Microsoft Defender för Endpoint registrering av anslutna användarupplevelser och telemetritjänster lyckades. Slutförandekod: variable. |
Registreringen av Defender för Endpoint med tjänsten Anslutna användarupplevelser och telemetri har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 37 | Microsoft Defender för Endpoint En modul håller på att överskrida sin kvot. Modul: %1, Kvot: {%2} {%3}, Procentandel av kvotanvändningen: %4. | Enheten är nära sin allokerade kvot för det aktuella 24-timmarsfönstret. Det är på väg att begränsas. | Normal driftsavisering; ingen åtgärd krävs. |
| 38 | Nätverksanslutningen identifieras som låg. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Anslutning med datapriser: %2, Internet tillgängligt: %3, tillgängligt kostnadsfritt nätverk: %4. | Enheten använder ett avgiftsbelagt/avgiftsbelagt nätverk och kontaktar servern mindre ofta. | Normal driftsavisering; ingen åtgärd krävs. |
| 39 | Nätverksanslutning identifieras som vanligt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Anslutning med datapriser: %2, Internet tillgängligt: %3, tillgängligt kostnadsfritt nätverk: %4. | Enheten använder inte en avgiftsbelagd/betald anslutning och kontaktar servern som vanligt. | Normal driftsavisering; ingen åtgärd krävs. |
| 40 | Batteritillståndet identifieras som lågt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Batteritillstånd: %2. | Enheten har låg batterinivå och kontaktar servern mindre ofta. | Normal driftsavisering; ingen åtgärd krävs. |
| 41 | Batteritillståndet identifieras som normalt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Batteritillstånd: %2. | Enheten har inte låg batterinivå och kontaktar servern som vanligt. | Normal driftsavisering; ingen åtgärd krävs. |
| 42 | Microsoft Defender för Endpoint komponenten kunde inte utföra åtgärden. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsmeddelande: %4 | Internt fel. Det gick inte att starta tjänsten. | Om det här felet kvarstår kontaktar du supporten. |
| 43 | Microsoft Defender för Endpoint komponenten kunde inte utföra åtgärden. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsfel: %4, Undantagsmeddelande: %5 | Internt fel. Det gick inte att starta tjänsten. | Om det här felet kvarstår kontaktar du supporten. |
| 44 | Avregistrering av Defender för Endpoint-tjänsten har slutförts. | Tjänsten har avregistrerats. | Normal driftsavisering; ingen åtgärd krävs. |
| 45 | Det gick inte att registrera och starta händelsespårningssessionen [%1]. Felkod: %2 | Ett fel uppstod vid start av tjänsten när ETW-sessionen skapades. Detta orsakade startfel för tjänsten. | Om det här felet kvarstår kontaktar du supporten. |
| 46 | Det gick inte att registrera och starta händelsespårningssessionen [%1] på grund av brist på resurser. Felkod: %2. Detta beror troligen på att det finns för många aktiva händelsespårningssessioner. Tjänsten försöker igen om 1 minut. | Ett fel uppstod vid start av tjänsten när ETW-sessionen skapades på grund av brist på resurser. Tjänsten körs, men rapporterar inte sensorhändelser förrän ETW-sessionen startar. | Normal driftsavisering; ingen åtgärd krävs. Tjänsten försöker starta sessionen varje minut. |
| 47 | Har registrerats och startat händelsespårningssessionen – återställdes efter tidigare misslyckade försök. | Den här händelsen följer den föregående händelsen efter att ETW-sessionen har startats. | Normal driftsavisering; ingen åtgärd krävs. |
| 48 | Det gick inte att lägga till en provider [%1] i händelsespårningssessionen [%2]. Felkod: %3. Det innebär att händelser från den här providern inte rapporteras. | Det gick inte att lägga till en provider i ETW-sessionen. Därför rapporteras inte providerhändelserna. | Kontrollera felkoden. Om felet kvarstår kontaktar du supporten. |
| 49 | Ogiltigt molnkonfigurationskommando har tagits emot och ignorerats. Version: %1, status: %2, felkod: %3, meddelande: %4 | Tog emot en ogiltig konfigurationsfil från molntjänsten som ignorerades. | Om det här felet kvarstår kontaktar du supporten. |
| 50 | Ny molnkonfiguration har tillämpats. Version: %1. | En ny konfiguration har tillämpats från molntjänsten. | Normal driftsavisering; ingen åtgärd krävs. |
| 51 | Det gick inte att tillämpa den nya molnkonfigurationen, version: %1. Den senaste fungerande konfigurationen, version %2, har tillämpats. | Tog emot en felaktig konfigurationsfil från molntjänsten. Senast fungerande konfiguration tillämpades. | Om det här felet kvarstår kontaktar du supporten. |
| 52 | Det gick inte att tillämpa den nya molnkonfigurationen, version: %1. Det gick inte heller att tillämpa den senaste fungerande konfigurationen, version %2. Standardkonfigurationen har tillämpats. | Tog emot en felaktig konfigurationsfil från molntjänsten. Det gick inte att tillämpa den senast fungerande konfigurationen och standardkonfigurationen tillämpades. | Tjänsten försöker ladda ned en ny konfigurationsfil inom 5 minuter. Om du inte ser händelse nr 50 – kontakta supporten. |
| 53 | Molnkonfiguration som lästs in från beständig lagring, version: %1. | Konfigurationen lästes in från beständig lagring vid tjänststart. | Normal driftsavisering; ingen åtgärd krävs. |
| 54 | Globalt tillstånd (per mönster) har ändrats. Tillstånd: %1, mönster: %2 | If state = 0: Rapporteringsregeln för cyberdata har nått sin definierade begränsningskvot och skickar inte mer data förrän begränsningskvoten upphör att gälla. Om tillstånd = 1: Begränsningskvoten har upphört att gälla och regeln återupptar sändningen av data. | Normal driftsavisering; ingen åtgärd krävs. |
| 55 | Det gick inte att skapa den säkra ETW-autologgaren. Felkod: %1 | Det gick inte att skapa den säkra ETW-loggaren. | Starta om enheten. Om det här felet kvarstår kontaktar du supporten. |
| 56 | Det gick inte att ta bort den säkra ETW-autologgaren. Felkod: %1 | Det gick inte att ta bort den säkra ETW-sessionen vid avregistrering. | Kontakta supporten. |
| 57 | Samla in en ögonblicksbild av datorn i felsökningssyfte. | Ett undersökningspaket, även kallat kriminaltekniskt paket, samlas in. | Normal driftsavisering; ingen åtgärd krävs. |
| 59 | Startkommando: %1 | Startar körning av svarskommando. | Normal driftsavisering; ingen åtgärd krävs. |
| 60 | Det gick inte att köra kommandot %1, fel: %2. | Det gick inte att köra svarskommandot. | Om det här felet kvarstår kontaktar du supporten. |
| 61 | Kommandoparametrarna för datainsamling är ogiltiga: SasUri: %1, compressionLevel: %2. | Det gick inte att läsa eller parsa kommandoargumenten för datainsamling (ogiltiga argument). | Om det här felet kvarstår kontaktar du supporten. |
| 62 | Det gick inte att starta tjänsten Anslutna användarupplevelser och telemetri. Felkod: %1 | Tjänsten Ansluten användarupplevelse och telemetri (diagtrack) kunde inte startas. Telemetri som inte är Microsoft Defender för Endpoint skickas inte från den här datorn. | Leta efter fler felsökningstips i händelseloggen: Microsoft-Windows-UniversalTelemetryClient/Operational. |
| 63 | Uppdaterar starttypen för den externa tjänsten. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3, slutkod: %4 | Den externa tjänstens starttyp har uppdaterats. | Normal driftsavisering; ingen åtgärd krävs. |
| 64 | Startar stoppad extern tjänst. Namn: %1, slutkod: %2 | Starta en extern tjänst. | Normal driftsavisering; ingen åtgärd krävs. |
| 65 | Det gick inte att läsa in minifilterdrivrutinen för Microsoft Security Events Component. Felkod: %1 | Det gick inte att läsa in MsSecFlt.sys minifilter för filsystemet. | Starta om enheten. Om det här felet kvarstår kontaktar du supporten. |
| 66 | Principuppdatering: Svarstidsläge – %1 | Anslutningsfrekvensprincipen för C&C uppdaterades. | Normal driftsavisering; ingen åtgärd krävs. |
| 68 | Starttypen för tjänsten är oväntad. Tjänstnamn: %1, faktisk starttyp: %2, förväntad starttyp: %3 | Oväntad starttyp för extern tjänst. | Åtgärda starttypen för den externa tjänsten. |
| 69 | Tjänsten har stoppats. Tjänstnamn: %1 | Den externa tjänsten har stoppats. | Starta den externa tjänsten. |
| 70 | Principuppdatering: Tillåt exempelsamling – %1 | Exempelinsamlingsprincipen uppdaterades. | Normal driftsavisering; ingen åtgärd krävs. |
| 71 | Kommandot lyckades: %1 | Kommandot har körts. | Normal driftsavisering; ingen åtgärd krävs. |
| 72 | Försökte skicka den första fullständiga datorprofilrapporten. Resultatkod: %1 | Endast information. | Normal driftsavisering; ingen åtgärd krävs. |
| 73 | Känsla för plattform: %1 | Endast information. | Normal driftsavisering; ingen åtgärd krävs. |
| 74 | Enhetstaggen i registret överskrider längdgränsen. Taggnamn: %2. Längdgräns: %1. | Enhetstaggen överskrider längdgränsen. | Använd en kortare enhetstagg. |
| 81 | Det gick inte att skapa Microsoft Defender för Endpoint ETW-autologger. Felkod: %1 | Det gick inte att skapa ETW-sessionen. | Starta om enheten. Om det här felet kvarstår kontaktar du supporten. |
| 82 | Det gick inte att ta bort Microsoft Defender för Endpoint ETW-autologger. Felkod: %1 | Det gick inte att ta bort ETW-sessionen. | Kontakta supporten. |
| 84 | Ange Microsoft Defender antivirusläge som körs. Framtvinga passivt läge: %1, resultatkod: %2. | Ställ in defender running mode (aktivt eller passivt). | Normal driftsavisering; ingen åtgärd krävs. |
| 85 | Det gick inte att utlösa Microsoft Defender för Endpoint körbar fil. Felkod: %1 | Starring SenseIR körbar misslyckades. | Starta om enheten. Om det här felet kvarstår kontaktar du supporten. |
| 86 | När den externa tjänsten skulle startas igen stoppades den som skulle vara igång. Namn: %1, slutkod: %2 | Starta den externa tjänsten igen. | Normal driftsavisering; ingen åtgärd krävs. |
| 87 | Det går inte att starta den externa tjänsten. Namn: %1 | Det gick inte att starta den externa tjänsten. | Kontakta supporten. |
| 88 | Uppdaterar starttypen för den externa tjänsten igen. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3, slutkod: %4 | Uppdaterade starttypen för den externa tjänsten. | Normal driftsavisering; ingen åtgärd krävs. |
| 89 | Det går inte att uppdatera starttypen för den externa tjänsten. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3 | Det går inte att uppdatera starttypen för den externa tjänsten. | Kontakta supporten. |
| 90 | Det gick inte att konfigurera System Guard Runtime Monitor för att ansluta till molntjänsten i geo-regionen %1. Felkod: %2 | System Guard Runtime Monitor skickar inte attesteringsdata till molntjänsten. | Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta supporten om inga problem upptäcks. |
| 91 | Det gick inte att ta bort System Guard Runtime Monitor geo-regioninformation. Felkod: %1 | System Guard Runtime Monitor skickar inte attesteringsdata till molntjänsten. | Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta supporten om inga problem upptäcks. |
| 92 | Stoppa sändningen av kvoten för sensordata eftersom datakvoten har överskridits. Kommer att fortsätta skicka när kvotperioden har passerat. Tillståndsmask: %1 | Överskrid begränsningsgränsen. | Normal driftsavisering; ingen åtgärd krävs. |
| 93 | Återuppta sändning av cyberdata för sensorn. Tillståndsmask: %1 | Återuppta överföring av cyberdata. | Normal driftsavisering; ingen åtgärd krävs. |
| 94 | Microsoft Defender för Endpoint körbara filen har startats | Körbar SenseCE har startats. | Normal driftsavisering; ingen åtgärd krävs. |
| 95 | Microsoft Defender för Endpoint körbara filen har avslutats | Körbar SenseCE har avslutats. | Normal driftsavisering; ingen åtgärd krävs. |
| 96 | Microsoft Defender för Endpoint Init har anropat. Resultatkod: %2 | Körbar SenseCE har anropat MCE-initiering. | Normal driftsavisering; ingen åtgärd krävs. |
| 97 | Det finns anslutningsproblem till molnet för DLP-scenariot | Det finns problem med nätverksanslutningen som påverkar DLP-klassificeringsflödet. | Kontrollera nätverksanslutningen. |
| 98 | Anslutningen till molnet för DLP-scenariot har återställts | Anslutningen till nätverket har återställts och DLP-klassificeringsflödet kan fortsätta. | Normal driftsavisering; ingen åtgärd krävs. |
| 99 | Sense har påträffat följande fel vid kommunikation med servern: (%1). Resultat: (%2) | Ett kommunikationsfel uppstod. | Mer information finns i följande händelser i händelseloggen. |
| 100 | Microsoft Defender för Endpoint körbara filen kunde inte startas. Felkod: %1 | Det gick inte att starta den körbara SenseCE-filen. | Starta om enheten. Om det här felet kvarstår kontaktar du supporten. |
| 102 | Microsoft Defender för Endpoint körbar fil för nätverksidentifiering och svar har startats | Körbar SenseNdr har startats. | Normal driftsavisering; ingen åtgärd krävs. |
| 103 | Microsoft Defender för Endpoint körbar fil för nätverksidentifiering och svar har avslutats | Körbar SenseNdr har avslutats. | Normal driftsavisering; ingen åtgärd krävs. |
| 104 | Det gick inte att köa av asynkron drivrutin. Felkod: %1. | Inträffar under avregistreringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 105 | Det gick inte att vänta på att drivrutinen skulle tas bort | Inträffar under avregistreringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 106 | det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod %1 ; Det gick inte att läsa in MsSense DLL. Modul. | Inträffar under start. | Kontakta supporten. |
| 107 | det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod %1 ; Problem med MsSense DLL-modulen. | Inträffar under start. | Kontakta supporten. |
| 108 | Uppdateringsfas:%1, ny plattformsversion: %2, meddelande: %3. | Inträffar under uppdateringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 109 | Uppdateringsfas:%1 ny plattformsversion: %2, felmeddelande: %3, fel: %4. | Inträffar under uppdateringen. | Kontakta supporten. |
| 110 | Det gick inte att ta bort MDEContain WFP-filter. | Inträffar under avregistreringen. | Kontakta supporten. |
| 307 | Det gick inte att uppdatera drivrutinsbehörigheter Felkod: %1. | Inträffar under registrering. | Kontakta supporten. |
| 308 | Det gick inte att ACL på mappen %1 Felkod: %2. | Inträffar under registrering. | Kontakta supporten. |
| 401 | Microsoft Defender för Endpoint-tjänsten kunde inte generera nyckeln. Felkod: %1. | Det gick inte att skapa en kryptonyckel. | Kontakta supporten om datorn inte rapporterar. Annars krävs ingen åtgärd. |
| 402 | Microsoft Defender för Endpoint-tjänsten kunde inte bevara autentiseringstillståndet. Felkod: %1. | Det gick inte att bevara autentiseringstillståndet. | Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd. |
| 403 | Registreringen av Microsoft Defender för Endpoint tjänsten har slutförts. | Lyckad registrering till autentiseringstjänsten. | Normal driftsavisering; ingen åtgärd krävs. |
| 404 | Microsoft Defender för Endpoint-tjänsten har genererat en nyckel. | Lyckad generering av kryptonycklar. | Normal driftsavisering; ingen åtgärd krävs. |
| 405 | Det gick inte att kommunicera med autentiseringstjänsten. %1 begäran misslyckades, hresult: %2, HTTP-felkod: %3. | Det gick inte att skicka begäran till autentiseringstjänsten. | Normal driftsavisering; ingen åtgärd krävs. |
| 406 | Begäran om %1 avvisades av autentiseringstjänsten. Hresult: %2, felkod: %3. | Begäran returnerade oönskade svar. | Normal driftsavisering; ingen åtgärd krävs. |
| 407 | Microsoft Defender för Endpoint-tjänsten kunde inte signera meddelandet (autentisering). Felkod: %1. | Det gick inte att signera begäran. | Normal driftsavisering; ingen åtgärd krävs. |
| 408 | Microsoft Defender för Endpoint-tjänsten kunde inte ta bort beständiga autentiseringstillstånd. Tillstånd: %1, Felkod: %2. | Det gick inte att bevara autentiseringstillståndet. | Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd. |
| 409 | Microsoft Defender för Endpoint tjänsten kunde inte öppna nyckeln. Felkod: %1. | Det gick inte att öppna kryptonyckeln. | Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd. |
| 410 | Registrering krävs som en del av omregistreringen av Microsoft Defender för Endpoint-tjänsten. | Inträffar under omregistreringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 411 | Överföring av cybertelemetri har inaktiverats för Microsoft Defender för Endpoint tjänst på grund av ogiltig/utgången token. | Uppladdning av cyber är tillfälligt inaktiverad. | Normal driftsavisering; ingen åtgärd krävs. |
| 412 | Uppladdningen av cybertelemetri har återupptagits för Microsoft Defender för Endpoint tjänst på grund av en nyligen uppdaterad token. | Cyberuppladdningen återupptogs. | Normal driftsavisering; ingen åtgärd krävs. |
| 1800 | CSP: Hämta Node's värde. NodeId: (%1), TokenName: (%2). |
En åtgärd för Get håller på att starta. | Kontakta supporten. |
| 1801 | CSP: Det gick inte att hämta Node's värdet. NodeId: (%1), TokenName: (%2), Resultat: (%3). |
Det gick inte att utföra åtgärden Hämta. | Kontakta supporten. |
| 1802 | CSP: Hämta Node's värde slutfört. NodeId: (%1), TokenName: (%2), Resultat: (%3). |
Åtgärden Get har slutförts. | Kontakta supporten. |
| 1803 | CSP: Hämta senaste anslutna värde slutfört. Resultat (%1), IsDefault: (%2). | Senaste gången enheten kommunicerade med CNC. | Normal driftsavisering; ingen åtgärd krävs. |
| 1804 | CSP: Få organisations-ID-värdet slutfört. Resultat: (%1), IsDefault: (%2). | Organisations-ID-enheten hämtas under registreringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 1805 | CSP: Get Sense Is Running-värdet har slutförts. Resultat: (%1). | Känna av att köra meddelande efter registrering. | Normal driftsavisering; ingen åtgärd krävs. |
| 1806 | CSP: Få onboarding State-värdet slutfört. Resultat: (%1), IsDefault: (%2). | Get is Sense onboarded. | Normal driftsavisering; ingen åtgärd krävs. |
| 1807 | CSP: Få registreringsvärdet slutfört. Onboarding Blob Hash: (%1), IsDefault: (%2), Onboarding State: (%3), Onboarding State IsDefault: (%4). | Get is Sense onboarded and onboarding blob hash. | Normal driftsavisering; ingen åtgärd krävs. |
| 1808 | CSP: Få avregistreringsvärdet slutfört. Avregistrering av blob-hash: (%1), IsDefault: (%2). | Hämta blob-hash för avregistrering. | Normal driftsavisering; ingen åtgärd krävs. |
| 1809 | CSP: Hämta exempeldelningsvärdet slutfört. Resultat: (%1), IsDefault: (%2). | Hämta är exempeluppladdning tillåts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1810 | CSP: Registreringsprocess. Startat. | Påbörjat registreringsflöde. | Normal driftsavisering; ingen åtgärd krävs. |
| 1811 | CSP: Registreringsprocess. Ta bort avregistreringsbloben har slutförts. Resultat: (%1). | Borttagen avregistreringsblob som en del av onboarding-flödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1812 | CSP: Registreringsprocess. Skriv onboarding-bloben har slutförts. Resultat: (%1). | Skrev registrering av blob till registret som en del av onboarding-flödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1813 | CSP: Registreringsprocess. Tjänsten startades. | Startade Sense-tjänsten som en del av onboarding-flödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1814 | CSP: Registreringsprocess. Väntande tjänst som kör tillståndet har slutförts. Resultat: (%1). | Väntar klart på att Sense ska starta som en del av onboarding-flödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1815 | CSP: Ange värdet för exempeldelning slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). | Ange exempeldelningsvärde. | Normal driftsavisering; ingen åtgärd krävs. |
| 1816 | CSP: Avregistreringsprocess. Ta bort onboarding-bloben slutförd. Resultat (%1). | Tog bort registreringsbloben som en del av avregistreringsflödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1817 | CSP: Avregistreringsprocess. Skriv avregistreringsbloben är klar. Resultat (%1). | Skrev avregistrering av blob till registret som en del av avregistreringsflödet. | Normal driftsavisering; ingen åtgärd krävs. |
| 1818 | CSP: Ange Node's värde startat. NodeId: (%1), TokenName: (%2). |
En åtgärd för Set är på väg att starta. | Normal driftsavisering; ingen åtgärd krävs. |
| 1819 | CSP: Det gick inte att ange Node's värde. NodeId: (%1), TokenName: (%2), Resultat: (%3). |
Det gick inte att utföra åtgärden Set. | Kontakta supporten. |
| 1820 | CSP: Ange Node's värdet klart. NodeId: (%1), TokenName: (%2), Resultat: (%3). |
En åtgärd för Set har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1821 | CSP: Ställ in Telemetrirapporteringsfrekvens startad. Nytt värde: (%1). | Börja ange värdet för TelemetryReportingFrequency. | Normal driftsavisering; ingen åtgärd krävs. |
| 1822 | CSP: Ange frekvens för telemetrirapportering slutförd. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). | Slutför inställningen av värdet för TelemetryReportingFrequency. | Normal driftsavisering; ingen åtgärd krävs. |
| 1823 | CSP: Hämta frekvens för telemetrirapportering slutförd. Värde: (%1), Registervärde: (%2), IsDefault: (%3). | Hämtar värdet för TelemetryReportingFrequency. | Normal driftsavisering; ingen åtgärd krävs. |
| 1824 | CSP: Hämta grupp-ID:t har slutförts. Värde: (%1), IsDefault: (%2). | Fick groupIds från registret. | Normal driftsavisering; ingen åtgärd krävs. |
| 1825 | CSP: Ange att grupp-ID:erna överskred den tillåtna gränsen. Tillåts: (%1), Faktiskt: (%2). | Det gick inte att ange groupIds på grund av längden. | Normal driftsavisering; ingen åtgärd krävs. |
| 1826 | CSP: Ange grupp-ID:t slutförda. Värde: (%1), Resultat: (%2). | Ange groupIds. | Normal driftsavisering; ingen åtgärd krävs. |
| 1827 | CSP: Registreringsprocess. Tjänsten körs: (%1), Föregående registreringsblobhash: (%2), IsDefault: (%3), Registreringstillstånd: (%4), Registreringsstatus IsDefault: (%5), Ny registreringsblobhash: (%6). | Spåra värden som en del av registrering. | Normal driftsavisering; ingen åtgärd krävs. |
| 1828 | CSP: Registreringsprocess. Tjänsten körs: (%1), Föregående avregistreringsblobhash: (%2), IsDefault: (%3), Registreringstillstånd: (%4), Registreringstillstånd IsDefault: (%5), Ny avregistreringsblobhash: (%6). | Spåra värden som en del av avregistreringen. | Normal driftsavisering; ingen åtgärd krävs. |
| 1829 | CSP: Det gick inte att ange exempeldelningsvärdet. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). | Ogiltigt värde för SampleSharing-åtgärden. | Kontakta supporten. |
| 1830 | CSP: Det gick inte att ange värdet för telemetrirapporteringsfrekvens. Begärt värde: (%1). | Det gick inte att ange värdet för TelemetryReportingFrequency. | Kontakta supporten om problemet kvarstår. |
| 1831 | CSP: Get Sense körs. Tjänsten har konfigurerats som fördröjningsstart och hasn't har startats ännu. |
Hämta SenseIsRunning-resultat. | Normal driftsavisering; ingen åtgärd krävs. |
| 1832 | CSP: Hämta enhetstaggningsgruppen slutförd. Värde: (%1), IsDefault: (%2). | Hämta EnhetTagging-gruppen från registret har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1833 | CSP: Hämta värdet för enhetstaggningskritiskhet slutfört. I registret: (%1), IsDefault: (%2), Konverteringen lyckades: (%3), resultat: (%4). | Hämta DeviceTagging Criticality från registret har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1834 | CSP: Hämta värdet för identifieringsmetoden för enhetstaggning slutfört. I registret: (%1), IsDefault: (%2), Konverteringen lyckades: (%3), resultat: (%4). | Hämta DeviceTagging ID-metoden från registret har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1835 | CSP: Ange att enhetstaggningsgruppen är klar. Värde: (%1), Resultat: (%2). | Ställ in EnhetTagging-gruppen i registret har slutförts. | Normal driftsavisering; ingen åtgärd krävs. |
| 1836 | CSP: Ange att enhetstaggningsgruppen har överskridit den tillåtna gränsen. Tillåts: (%1), Faktiskt: (%2). | Det gick inte att ange EnhetTagging-gruppen eftersom den maximala längdgränsen överskreds. | Kontakta supporten om problemet kvarstår. |
| 1837 | CSP: Ange värdet för enhetstaggningskritiskhet slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). | Ange DeviceTagging Criticality i registret slutfört. | Normal driftsavisering; ingen åtgärd krävs. |
| 1838 | CSP: Det gick inte att ange värdet för enhetstaggningskritiskitet. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). | Ange DeviceTagging Criticality failed eftersom värdet inte låg inom det förväntade intervallet. | Kontakta supporten om problemet kvarstår. |
| 1839 | CSP: Ange värdet för identifieringsmetod för enhetstaggning slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). | Ange DeviceTagging ID-metoden i registret slutförd. | Normal driftsavisering; ingen åtgärd krävs. |
| 1840 | CSP: Det gick inte att ange värdet för identifieringsmetod för enhetstaggning. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). | Det gick inte att ange DeviceTagging-ID-metoden eftersom värdet inte låg inom det förväntade intervallet. | Kontakta supporten om problemet kvarstår. |
Visa Defender för Endpoint-händelser i systemhändelseloggen
Microsoft Defender för Endpoint händelser visas också i systemhändelseloggen.
Så här öppnar du systemhändelseloggen:
- Välj Starta på Windows-menyn, skriv Loggboken och tryck på Retur för att öppna Loggboken.
- I logglistan, under Loggsammanfattning, bläddrar du tills du ser System. Dubbelklicka på objektet för att öppna loggen.
Du kan använda den här tabellen för mer information om Defender för Endpoint-händelser i systemhändelseloggen och för att fastställa ytterligare felsökningssteg.
| Händelse-ID | Meddelande | Beskrivning | Åtgärd |
|---|---|---|---|
| 1 | Säkerhetskopieringsfilen för realtidssessionen "SenseNdrPktmon" har nått sin maximala storlek. Därför loggas inte nya händelser till den här sessionen förrän utrymmet blir tillgängligt. | Den här realtidssessionen mellan Pktmon – den inbyggda Windows-tjänsten som samlar in nätverkstrafik och vår agent (SenseNDR) – som analyserar paket asynkront, är konfigurerad för att begränsas för att förhindra potentiella prestandaproblem. Därför kan den här aviseringen visas om för många paket fångas upp under en kort tidsperiod, vilket gör att vissa paket hoppas över. Den här aviseringen är vanligare med hög nätverkstrafik. | Normal driftsavisering; ingen åtgärd krävs. |
Se även
- Registrera Windows-klientenheter
- Konfigurera inställningar för enhetsproxy och Internetanslutning
- Felsöka Microsoft Defender för Endpoint
- Client analyzer översikt
- Ladda ned och kör client analyzer
- Förstå HTML-rapporten för analysen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.