通过

使用 ATA 日志对 ATA 进行故障排除

  • 项目

适用于:高级威胁分析版本 1.9

ATA 日志提供对 ATA 的每个组件在任何给定时间点执行的操作的见解。

ATA 网关日志

在本部分中,对 ATA 网关的每个引用都具有相关性,ATA 轻型网关亦是如此。

ATA 网关日志位于名为“Logs”的子文件夹中,该文件夹也是 ATA 的安装文件夹,默认位置为:C:\Program Files\Microsoft Advanced Threat Analytics\。 在默认安装位置中,可在 C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs 中找到它。

ATA 网关具有以下日志:

  • Microsoft.Tri.Gateway.log – 此日志包含 ATA 网关中发生的所有内容(包括解决方法和错误)。 其主要用途是按时间顺序获取发生的所有操作的总体状态。

  • Microsoft.Tri.Gateway-Resolution.log – 此日志包含 ATA 网关在流量中看到的实体的解析详细信息。 其主要用途是调查实体的解决方法问题。

  • Microsoft.Tri.Gateway-Errors.log – 此日志仅包含 ATA 网关捕获的错误。 其主要用途是执行运行状况检查并调查需要与特定时间相关的问题。

  • Microsoft.Tri.Gateway-ExceptionStatistics.log – 此日志将所有类似的错误和异常分组,并度量其计数。 每次 ATA 网关服务启动时,此文件将启动为空,每分钟更新一次。 其主要用途是了解 ATA 网关是否存在任何新错误或问题(因为错误已分组,因此更容易阅读和快速了解是否存在任何新问题)。

  • Microsoft.Tri.Gateway.Updater.log – 此日志用于网关更新程序进程,如果配置为自动更新 ATA 网关,则该进程负责更新 ATA 网关。 对于 ATA 轻型网关,网关更新程序进程还负责 ATA 轻型网关的资源限制。

  • Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log – 此日志将所有类似的错误和异常分组,并度量其计数。 每次 ATA 更新程序服务启动时,此文件将启动为空,每分钟更新一次。 这使你能够了解 ATA 更新程序是否存在任何新的错误或问题。 将错误分组,以便更轻松地快速了解是否检测到任何新错误或问题。

注意

前三个日志文件的最大大小为 50 MB。 达到该大小后,将打开新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时数字都会递增。 默认情况下,如果同一类型的文件已存在超过 10 个,则会删除最早的文件。

ATA 中心日志

ATA 中心日志位于名为“Logs”的子文件夹中。 在默认安装位置中,可在 C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs 中找到它。

注意

以前位于 IIS 日志下的 ATA 控制台日志现在位于 ATA 中心日志下。

ATA 中心具有以下日志:

  • Microsoft.Tri.Center.log – 此日志包含 ATA 中心发生的所有内容(包括检测记录和错误)。 其主要用途是按时间顺序获取发生的所有操作的总体状态。

  • Microsoft.Tri.Center-Detection.log – 此日志仅包含 ATA 中心的检测详细信息。 其主要用途是调查检测问题。

  • Microsoft.Tri.Center-Errors.log – 此日志仅包含 ATA 中心捕获的错误。 其主要用途是执行运行状况检查并调查需要与特定时间相关的问题。

  • Microsoft.Tri.Center-ExceptionStatistics.log – 此日志将所有类似的错误和异常分组,并度量其计数。 每次 ATA 中心服务启动时,此文件将启动为空,每分钟更新一次。 其主要用途是了解 ATA 中心是否存在任何新错误或问题(因为错误已分组,因此更容易阅读和快速了解是否存在任何新错误或问题)。

注意

前三个日志文件的最大大小为 50 MB。 达到该大小后,将打开新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时数字都会递增。 默认情况下,如果同一类型的文件已存在超过 10 个,则会删除最早的文件。

ATA 部署日志

ATA 部署日志位于安装产品的用户的临时目录中。 在默认安装位置中,位置为:C:\Users<logged-in-user>\AppData\Local\Temp(或 %temp% 上方的某个目录)。

ATA 中心部署日志:

  • Microsoft 高级威胁分析 Center_YYYYMMDDHHMMSS.log – 此日志列出了 ATA 中心部署过程中的步骤。 其主要用途是跟踪 ATA 中心部署过程。

  • Microsoft 高级威胁分析 Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log – 此日志列出了 ATA 中心 MongoDB 部署过程中的步骤。 其主要用途是跟踪 MongoDB 部署进程。

  • Microsoft 高级威胁分析 Center_YYYYMMDDHHMMSS_1_MsiPackage.log – 此日志文件列出了 ATA 中心二进制文件部署过程中的步骤。 其主要用途是跟踪 ATA 中心二进制文件的部署过程。

ATA 网关和 ATA 轻型网关部署日志

  • Microsoft 高级威胁分析 Center_YYYYMMDDHHMMSS.log – 此日志列出了 ATA 网关部署过程中的步骤。 其主要用途是跟踪 ATA 网关部署过程。

  • Microsoft 高级威胁分析 Center_YYYYMMDDHHMMSS_001_MsiPackage.log – 此日志文件列出了 ATA 网关二进制文件部署过程中的步骤。 其主要用途是跟踪 ATA 网关二进制文件的部署过程。

注意

除了此处提及部署日志之外,还有其他日志以“Microsoft 高级威胁分析”开头,还可以提供有关部署过程的其他信息。

另请参阅