使用 事件查看器 查看事件和错误
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
在 Defender for Endpoint 服务事件日志中查看事件
可以在单个设备上的事件查看器中查看事件 ID。 例如,当设备未显示在“设备”列表中时,这会有所帮助。 在此方案中,可以在设备上查找事件 ID,然后使用下表根据相应的事件 ID 确定进一步的故障排除步骤。
若要打开 Defender for Endpoint 服务事件日志,请执行以下操作:
在 Windows 菜单上选择“开始”,键入事件查看器,然后按 Enter 打开事件查看器。
在日志列表中的 “日志摘要”下,滚动,直到看到 Microsoft-Windows-SENSE/Operational。 双击该项以打开日志。
还可以通过展开 “应用程序和服务日志>”Microsoft>Windows>SENSE 并选择“ 操作”来访问日志。
注意
SENSE 是用于引用支持Microsoft Defender for Endpoint的行为传感器的内部名称。
服务记录的事件显示在日志中。
有关服务记录的事件列表,请参阅下表。
| 事件 ID | 邮件 | 说明 | 操作 |
|---|---|---|---|
| 1 | Microsoft Defender for Endpoint服务已 (版本 variable) 启动。 |
在系统启动、关闭和载入期间发生。 | 正常操作通知;无需执行任何操作。 |
| 2 | Microsoft Defender for Endpoint服务关闭。 | 在设备关闭或卸载时发生。 | 正常操作通知;无需执行任何操作。 |
| 3 | Microsoft Defender for Endpoint服务无法启动。 失败代码: variable。 |
服务未启动。 | 查看其他消息以确定可能的原因和故障排除步骤。 |
| 4 | Microsoft Defender for Endpoint服务通过 variable联系了服务器。 |
变量 = Defender for Endpoint 处理服务器的 URL。 此 URL 与防火墙或网络活动中显示的 URL 匹配。 |
正常操作通知;无需执行任何操作。 |
| 5 | Microsoft Defender for Endpoint服务无法连接到 处variable的服务器。 |
变量 = Defender for Endpoint 处理服务器的 URL。 服务无法通过该 URL 联系外部处理服务器。 |
检查与 URL 的连接。 请参阅 配置代理和 Internet 连接。 |
| 6 | Microsoft Defender for Endpoint服务未载入,并且未找到任何载入参数。 | 设备未正确载入,并且未向门户报告。 | 在启动服务之前,必须运行载入。 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 7 | Microsoft Defender for Endpoint服务无法读取载入参数。 失败: variable。 |
变量 = 详细的错误说明。 设备未正确载入,并且未向门户报告。 | 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 8 | Microsoft Defender for Endpoint服务无法清理其配置。 失败代码: variable。 |
载入期间: 在载入期间,服务未能清理其配置。 载入过程仍在继续。 在卸载期间: 服务在卸载期间未能清理其配置。 卸载过程已完成,但服务继续运行。 |
载入: 无需执行任何操作。 卸载: 重新启动系统。 请参阅 载入 Windows 客户端设备。 |
| 9 | Microsoft Defender for Endpoint服务无法更改其启动类型。 失败代码: variable。 |
载入期间: 设备未正确载入,并且未向门户报告。 在卸载期间: 未能更改服务启动类型。 卸载过程将继续进行。 |
检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 10 | Microsoft Defender for Endpoint服务无法保留载入信息。 失败代码: variable。 |
设备未正确载入,并且未向门户报告。 | 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 11 | 已完成 Defender for Endpoint 服务的载入或重新载入。 | 设备已正确载入。 | 正常操作通知;无需执行任何操作。 设备可能需要几个小时才能显示在门户中。 |
| 12 | Microsoft Defender for Endpoint未能应用默认配置。 | 服务无法应用默认配置。 | 此错误应在短时间内解决。 |
| 13 | 计算Microsoft Defender for Endpoint设备 ID:variable。 |
正常运行过程。 | 正常操作通知;无需执行任何操作。 |
| 15 | Microsoft Defender for Endpoint无法使用 URL 启动命令通道:variable。 |
变量 = Defender for Endpoint 处理服务器的 URL。 服务无法通过该 URL 联系外部处理服务器。 |
检查与 URL 的连接。 请参阅 配置代理和 Internet 连接。 |
| 17 | Microsoft Defender for Endpoint服务无法更改连接的用户体验和遥测服务位置。 失败代码: variable。 |
Windows 遥测服务出错。 |
确保已启用诊断数据服务“>确保已启用诊断数据服务。 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 18 | 已完成 OOBE (Windows 欢迎) 。 | 仅在任何 Windows 更新完成安装后,服务才会启动。 | 正常操作通知;无需执行任何操作。 |
| 19 | 尚未完成 OOBE (Windows 欢迎) 。 | 只有在安装完任何 Windows 更新后,服务才会启动。 | 正常操作通知;无需执行任何操作。 如果此错误在系统重启后仍然存在,请确保所有 Windows 更新都已完全安装。 |
| 20 | 无法等待 OOBE (Windows 欢迎) 完成。 失败代码: variable。 |
内部错误。 | 如果此错误在系统重启后仍然存在,请确保已安装所有 Windows 更新。 |
| 25 | Microsoft Defender for Endpoint服务未能重置注册表中的运行状况状态。 失败代码: variable。 |
设备未正确载入。 它向门户报告;但是,该服务可能不会在SCCM或注册表中显示为已注册。 | 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 26 | Microsoft Defender for Endpoint服务未能在注册表中设置载入状态。 失败代码: variable。 |
设备未正确载入。 它向门户报告;但是,服务可能不会在SCCM或注册表中显示为已注册。 |
检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 27 | Microsoft Defender for Endpoint服务无法在 Microsoft Defender 防病毒中启用 SENSE 感知模式。 载入过程失败。 失败代码: variable。 |
通常,如果另一个实时反恶意软件产品在设备上正确运行,并且设备正在向 Defender for Endpoint 报告,Microsoft Defender防病毒将进入特殊的被动状态。 | 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 确保实时反恶意软件保护正常运行。 |
| 28 | Microsoft Defender for Endpoint连接用户体验和遥测服务注册失败。 失败代码: variable。 |
Windows 遥测服务出错。 |
确保已启用诊断数据服务。 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 29 | 无法读取卸载参数。 错误类型: %1,错误代码: %2,说明: %3 | 当系统无法读取卸载参数时,会发生此事件。 | 确保设备可以访问 Internet,然后再次运行整个卸载过程。 确保卸载包未过期。 |
| 30 | Microsoft Defender for Endpoint服务无法在 Microsoft Defender 防病毒中禁用 SENSE 感知模式。 失败代码: variable。 |
通常,如果另一个实时反恶意软件产品在设备上正确运行,并且设备正在向 Defender for Endpoint 报告,Microsoft Defender防病毒将进入特殊的被动状态。 | 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 确保实时反恶意软件保护正常运行。 |
| 31 | Microsoft Defender for Endpoint连接用户体验和遥测服务取消注册失败。 失败代码: variable。 |
加入期间 Windows 遥测服务出错。 卸载过程将继续进行。 | 使用 Windows 遥测服务检查错误。 |
| 32 | Microsoft Defender for Endpoint服务在卸载过程后未能请求停止自身。 失败代码: %1 | 卸载期间发生错误。 | 重新启动设备。 |
| 33 | Microsoft Defender for Endpoint服务无法保留 SENSE GUID。 失败代码: variable。 |
唯一标识符用于表示向门户报告的每个设备。 如果标识符未保留,则同一设备可能会在门户中出现两次。 |
检查设备上的注册表权限,确保服务可以更新注册表。 |
| 34 | Microsoft Defender for Endpoint服务无法将自身添加为连接用户体验和遥测服务的依赖项,从而导致载入过程失败。 失败代码: variable。 |
Windows 遥测服务出错。 |
确保已启用诊断数据服务。 检查是否已正确部署载入设置和脚本。 尝试重新部署配置包。 请参阅 载入 Windows 客户端设备。 |
| 35 | 通信配额已更新。 磁盘配额(以 MB 为单位): variable每日上传配额(以 MB 为单位): variable |
变量 = 磁盘配额(以 MB 为单位)。 | 正常操作通知;无需执行任何操作。 |
| 36 | Microsoft Defender for Endpoint连接用户体验和遥测服务注册成功。 完成代码: variable。 |
使用连接用户体验和遥测服务注册 Defender for Endpoint 已成功完成。 | 正常操作通知;无需执行任何操作。 |
| 37 | Microsoft Defender for Endpoint模块即将超过其配额。 模块: %1,配额: {%2} {%3},配额利用率百分比: %4。 | 设备已接近其分配的当前 24 小时时段配额。 它即将受到限制。 | 正常操作通知;无需执行任何操作。 |
| 38 | 网络连接被标识为低。 Microsoft Defender for Endpoint每 %1 分钟联系一次服务器。 按流量计费的连接: %2,Internet 可用: %3,可用免费网络: %4。 | 设备使用按流量计费/付费的网络,并且不太频繁地与服务器联系。 | 正常操作通知;无需执行任何操作。 |
| 39 | 网络连接被标识为正常。 Microsoft Defender for Endpoint每 %1 分钟联系一次服务器。 按流量计费的连接: %2,Internet 可用: %3,可用免费网络: %4。 | 设备未使用按流量计费/付费的连接,并照常与服务器联系。 | 正常操作通知;无需执行任何操作。 |
| 40 | 电池状态标识为低。 Microsoft Defender for Endpoint每 %1 分钟联系一次服务器。 电池状态: %2。 | 设备的电池电量较低,与服务器接触的频率较低。 | 正常操作通知;无需执行任何操作。 |
| 41 | 电池状态标识为正常。 Microsoft Defender for Endpoint每 %1 分钟联系一次服务器。 电池状态: %2。 | 设备电池电量不足,并照常与服务器联系。 | 正常操作通知;无需执行任何操作。 |
| 42 | Microsoft Defender for Endpoint组件无法执行操作。 组件: %1,操作: %2,异常类型: %3,异常消息: %4 | 内部错误。 服务无法启动。 | 如果此错误仍然存在,请联系支持人员。 |
| 43 | Microsoft Defender for Endpoint组件无法执行操作。 组件: %1,操作: %2,异常类型: %3,异常错误: %4,异常消息: %5 | 内部错误。 服务无法启动。 | 如果此错误仍然存在,请联系支持人员。 |
| 44 | Defender for Endpoint 服务的卸载已完成。 | 服务已卸载。 | 正常操作通知;无需执行任何操作。 |
| 45 | 未能注册 并启动事件跟踪会话 [%1]。 错误代码: %2 | 创建 ETW 会话时服务启动时出错。 这会导致服务启动失败。 | 如果此错误仍然存在,请联系支持人员。 |
| 46 | 由于缺少资源,无法注册和启动事件跟踪会话 [%1]。 错误代码: %2。 这很可能是因为活动事件跟踪会话太多。 服务在 1 分钟内重试。 | 由于缺少资源,创建 ETW 会话时服务启动时出错。 服务正在运行,但在 ETW 会话启动之前不会报告传感器事件。 | 正常操作通知;无需执行任何操作。 服务尝试每分钟启动一次会话。 |
| 47 | 已成功注册并启动事件跟踪会话 - 在以前的尝试失败后恢复。 | 此事件在成功启动 ETW 会话后遵循上一个事件。 | 正常操作通知;无需执行任何操作。 |
| 48 | 未能将提供程序 [%1] 添加到事件跟踪会话 [%2]。 错误代码: %3。 这意味着不会报告来自此提供程序的事件。 | 未能将提供程序添加到 ETW 会话。 因此,不会报告提供程序事件。 | 检查错误代码。 如果错误仍然存在,请联系支持人员。 |
| 49 | 接收并忽略了无效的云配置命令。 版本: %1,状态: %2,错误代码: %3,消息: %4 | 从云服务收到被忽略的无效配置文件。 | 如果此错误仍然存在,请联系支持人员。 |
| 50 | 已成功应用新的云配置。 版本:%1。 | 已成功从云服务应用新配置。 | 正常操作通知;无需执行任何操作。 |
| 51 | 新云配置未能应用,版本: %1。 已成功应用上一个已知良好的配置版本 %2。 | 从云服务收到错误的配置文件。 已成功应用上一个已知良好的配置。 | 如果此错误仍然存在,请联系支持人员。 |
| 52 | 新云配置未能应用,版本: %1。 也未能应用上一个已知良好的配置版本 %2。 已成功应用默认配置。 | 从云服务收到错误的配置文件。 未能应用上一个已知良好的配置 - 并应用了默认配置。 | 该服务将在 5 分钟内尝试下载新的配置文件。 如果未看到事件 #50 ,请联系支持人员。 |
| 53 | 从持久性存储加载的云配置,版本:%1。 | 配置是在服务启动时从持久性存储加载的。 | 正常操作通知;无需执行任何操作。 |
| 54 | 全局 (每个模式) 状态已更改。 状态: %1,模式: %2 | 如果状态 = 0:网络数据报告规则已达到其定义的上限配额,在上限配额过期之前不会发送更多数据。 如果状态 = 1:上限配额已过期,规则将恢复发送数据。 | 正常操作通知;无需执行任何操作。 |
| 55 | 未能创建安全 ETW 自动记录器。 失败代码: %1 | 未能创建安全的 ETW 记录器。 | 重新启动设备。 如果此错误仍然存在,请联系支持人员。 |
| 56 | 无法删除安全 ETW 自动记录器。 失败代码: %1 | 未能在卸载时删除安全 ETW 会话。 | 联系支持人员。 |
| 57 | 捕获计算机快照以进行故障排除。 | 正在收集调查包(也称为取证包)。 | 正常操作通知;无需执行任何操作。 |
| 59 | 启动命令: %1 | 正在启动响应命令执行。 | 正常操作通知;无需执行任何操作。 |
| 60 | 无法运行命令 %1,错误: %2。 | 未能执行响应命令。 | 如果此错误仍然存在,请联系支持人员。 |
| 61 | 数据收集命令参数无效:SasUri: %1,compressionLevel: %2。 | 无法读取或分析数据收集命令参数 (无效参数) 。 | 如果此错误仍然存在,请联系支持人员。 |
| 62 | 无法启动连接用户体验和遥测服务。 失败代码: %1 | 连接用户体验和遥测 (diagtrack) 服务无法启动。 不从此计算机发送非Microsoft Defender for Endpoint遥测数据。 | 在事件日志中查找更多故障排除提示:Microsoft-Windows-UniversalTelemetryClient/Operational。 |
| 63 | 更新外部服务的启动类型。 名称: %1,实际启动类型: %2,预期启动类型: %3,退出代码: %4 | 更新了外部服务的启动类型。 | 正常操作通知;无需执行任何操作。 |
| 64 | 启动已停止的外部服务。 名称: %1,退出代码: %2 | 启动外部服务。 | 正常操作通知;无需执行任何操作。 |
| 65 | 未能加载 Microsoft 安全事件组件微筛选器驱动程序。 失败代码: %1 | 无法加载 MsSecFlt.sys 文件系统微筛选器。 | 重新启动设备。 如果此错误仍然存在,请联系支持人员。 |
| 66 | 策略更新:延迟模式 - %1 | 更新了 C&C 连接频率策略。 | 正常操作通知;无需执行任何操作。 |
| 68 | 服务的启动类型意外。 服务名称: %1,实际启动类型: %2,预期启动类型: %3 | 意外的外部服务启动类型。 | 修复外部服务启动类型。 |
| 69 | 服务已停止。 服务名称: %1 | 外部服务已停止。 | 启动外部服务。 |
| 70 | 策略更新:允许示例收集 - %1 | 示例收集策略已更新。 | 正常操作通知;无需执行任何操作。 |
| 71 | 成功运行命令: %1 | 命令已成功执行。 | 正常操作通知;无需执行任何操作。 |
| 72 | 已尝试发送第一个完整计算机配置文件报告。 结果代码: %1 | 仅提供信息。 | 正常操作通知;无需执行任何操作。 |
| 73 | 从平台开始的感知: %1 | 仅提供信息。 | 正常操作通知;无需执行任何操作。 |
| 74 | 注册表中的设备标记超出了长度限制。 标记名称: %2。 长度限制: %1。 | 设备标记超出长度限制。 | 使用较短的设备标记。 |
| 81 | 未能创建Microsoft Defender for Endpoint ETW 自动记录器。 失败代码: %1 | 未能创建 ETW 会话。 | 重新启动设备。 如果此错误仍然存在,请联系支持人员。 |
| 82 | 无法删除MICROSOFT DEFENDER FOR ENDPOINT ETW 自动记录器。 失败代码: %1 | 未能删除 ETW 会话。 | 联系支持人员。 |
| 84 | 设置Microsoft Defender防病毒运行模式。 强制被动模式:%1,结果代码:%2。 | (主动或被动) 设置 defender 运行模式。 | 正常操作通知;无需执行任何操作。 |
| 85 | 无法触发可执行文件Microsoft Defender for Endpoint。 失败代码: %1 | 星标 SenseIR 可执行文件失败。 | 重新启动设备。 如果此错误仍然存在,请联系支持人员。 |
| 86 | 再次启动已停止应启动的外部服务。 名称: %1,退出代码: %2 | 再次启动外部服务。 | 正常操作通知;无需执行任何操作。 |
| 87 | 无法启动外部服务。 名称:%1 | 未能启动外部服务。 | 联系支持人员。 |
| 88 | 再次更新外部服务的启动类型。 名称: %1,实际启动类型: %2,预期启动类型: %3,退出代码: %4 | 更新了外部服务的启动类型。 | 正常操作通知;无需执行任何操作。 |
| 89 | 无法更新外部服务的启动类型。 名称: %1,实际启动类型: %2,预期启动类型: %3 | 无法更新外部服务的启动类型。 | 联系支持人员。 |
| 90 | 未能将System Guard运行时监视器配置为连接到异地区域 %1 中的云服务。 失败代码: %2 | System Guard运行时监视器不会将证明数据发送到云服务。 | 检查注册路径上的权限:“HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm”。 如果未发现任何问题,请联系支持人员。 |
| 91 | 无法删除System Guard运行时监视器的地理位置信息。 失败代码: %1 | System Guard运行时监视器不会将证明数据发送到云服务。 | 检查注册路径上的权限:“HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm”。 如果未发现任何问题,请联系支持人员。 |
| 92 | 停止发送传感器网络数据配额,因为数据配额已超出。 配额期限过后,将恢复发送。 状态掩码: %1 | 超出限制。 | 正常操作通知;无需执行任何操作。 |
| 93 | 恢复发送传感器网络数据。 状态掩码: %1 | 恢复网络数据提交。 | 正常操作通知;无需执行任何操作。 |
| 94 | Microsoft Defender for Endpoint可执行文件已启动 | SenseCE 可执行文件已启动。 | 正常操作通知;无需执行任何操作。 |
| 95 | Microsoft Defender for Endpoint可执行文件已结束 | SenseCE 可执行文件已结束。 | 正常操作通知;无需执行任何操作。 |
| 96 | Microsoft Defender for Endpoint Init 已调用。 结果代码: %2 | SenseCE 可执行文件已调用 MCE 初始化。 | 正常操作通知;无需执行任何操作。 |
| 97 | DLP 方案与云的连接存在问题 | 存在影响 DLP 分类流的网络连接问题。 | 检查网络连接。 |
| 98 | 已还原 DLP 方案的云连接 | 与网络的连接已恢复,DLP 分类流可以继续。 | 正常操作通知;无需执行任何操作。 |
| 99 | Sense 在与服务器通信时遇到以下错误: (%1) 。 结果: (%2) | 发生通信错误。 | 有关更多详细信息,请查看事件日志中的以下事件。 |
| 100 | Microsoft Defender for Endpoint可执行文件无法启动。 失败代码: %1 | SenseCE 可执行文件无法启动。 | 重新启动设备。 如果此错误仍然存在,请联系支持人员。 |
| 102 | Microsoft Defender for Endpoint网络检测和响应可执行文件已启动 | SenseNdr 可执行文件已启动。 | 正常操作通知;无需执行任何操作。 |
| 103 | Microsoft Defender for Endpoint网络检测和响应可执行文件已结束 | SenseNdr 可执行文件已结束。 | 正常操作通知;无需执行任何操作。 |
| 104 | 无法对异步驱动程序卸载进行排队。 失败代码: %1。 | 在卸载期间发生。 | 正常操作通知;无需执行任何操作。 |
| 105 | 未能等待驱动程序卸载 | 在卸载期间发生。 | 正常操作通知;无需执行任何操作。 |
| 106 | Microsoft Defender for Endpoint服务无法启动。 失败代码 %1 ;未能加载 MsSense DLL。 模块。 | 在启动期间发生。 | 请联系支持人员。 |
| 107 | Microsoft Defender for Endpoint服务无法启动。 失败代码 %1 ;MsSense DLL 模块的问题。 | 在启动期间发生。 | 请联系支持人员。 |
| 108 | 更新阶段:%1,新平台版本:%2,消息:%3。 | 在更新期间发生。 | 正常操作通知;无需执行任何操作。 |
| 109 | 更新阶段:%1 新平台版本: %2,失败消息: %3,错误: %4。 | 在更新期间发生。 | 请联系支持人员。 |
| 110 | 无法删除 MDEContain WFP 筛选器。 | 在卸载期间发生。 | 请联系支持人员。 |
| 307 | 未能更新驱动程序权限 失败代码: %1。 | 在载入期间发生。 | 请联系支持人员。 |
| 308 | 文件夹 %1 上的 ACL 失败代码:%2。 | 在载入期间发生。 | 请联系支持人员。 |
| 401 | Microsoft Defender for Endpoint服务无法生成密钥。 失败代码: %1。 | 未能创建加密密钥。 | 如果计算机未报告,请联系支持人员。 否则,无需执行任何操作。 |
| 402 | Microsoft Defender for Endpoint服务无法保留身份验证状态。 失败代码: %1。 | 无法保留身份验证状态。 | 如果设备未报告,请联系支持人员。 否则,无需执行任何操作。 |
| 403 | 已完成Microsoft Defender for Endpoint服务的注册。 | 成功注册到身份验证服务。 | 正常操作通知;无需执行任何操作。 |
| 404 | Microsoft Defender for Endpoint服务已成功生成密钥。 | 成功生成加密密钥。 | 正常操作通知;无需执行任何操作。 |
| 405 | 无法与身份验证服务通信。 %1 请求失败,hresult: %2,HTTP 错误代码: %3。 | 未能将请求发送到身份验证服务。 | 正常操作通知;无需执行任何操作。 |
| 406 | 身份验证服务拒绝了 %1 的请求。 Hresult: %2,错误代码: %3。 | 请求返回了不需要的响应。 | 正常操作通知;无需执行任何操作。 |
| 407 | Microsoft Defender for Endpoint服务无法 (身份验证) 对消息进行签名。 失败代码: %1。 | 未能对请求进行签名。 | 正常操作通知;无需执行任何操作。 |
| 408 | Microsoft Defender for Endpoint服务无法删除持久身份验证状态。 状态:%1,失败代码:%2。 | 无法保留身份验证状态。 | 如果设备未报告,请联系支持人员。 否则,无需执行任何操作。 |
| 409 | Microsoft Defender for Endpoint服务无法打开密钥。 失败代码: %1。 | 无法打开加密密钥。 | 如果设备未报告,请联系支持人员。 否则,无需执行任何操作。 |
| 410 | 作为重新载入Microsoft Defender for Endpoint服务的一部分,需要注册。 | 在重新载入期间发生。 | 正常操作通知;无需执行任何操作。 |
| 411 | 由于令牌无效/过期,Microsoft Defender for Endpoint服务已暂停网络遥测上传。 | 网络上传暂时暂停。 | 正常操作通知;无需执行任何操作。 |
| 412 | 由于新刷新的令牌,Microsoft Defender for Endpoint服务恢复了网络遥测上传。 | 已成功恢复网络上传。 | 正常操作通知;无需执行任何操作。 |
| 1800 | CSP:获取 Node's 值。 NodeId: (%1) ,TokenName: (%2) 。 |
Get 操作即将开始。 | 请联系支持人员。 |
| 1801 | CSP:无法获取 Node's 值。 NodeId: (%1) ,TokenName: (%2) ,结果: (%3) 。 |
Get 操作失败。 | 请联系支持人员。 |
| 1802 | CSP:获取 Node's 值完成。 NodeId: (%1) ,TokenName: (%2) ,结果: (%3) 。 |
Get 操作已成功。 | 请联系支持人员。 |
| 1803 | CSP:获取“上次连接”值完成。 结果 (%1) ,IsDefault: (%2) 。 | 上次设备与 CNC 通信的时间。 | 正常操作通知;无需执行任何操作。 |
| 1804 | CSP:获取完成组织 ID 值。 结果: (%1) ,IsDefault: (%2) 。 | 组织 ID 设备在载入期间获取。 | 正常操作通知;无需执行任何操作。 |
| 1805 | CSP:获取 Sense Is Running 值已完成。 结果: (%1) 。 | 在载入后感知正在运行的消息。 | 正常操作通知;无需执行任何操作。 |
| 1806 | CSP:完成载入状态值。 结果: (%1) ,IsDefault: (%2) 。 | 获取是感知载入。 | 正常操作通知;无需执行任何操作。 |
| 1807 | CSP:完成载入值。 载入 Blob 哈希: (%1) ,IsDefault: (%2) ,载入状态: (%3) ,载入状态 IsDefault: (%4) 。 | 获取 是感知加入和加入 Blob 哈希。 | 正常操作通知;无需执行任何操作。 |
| 1808 | CSP:获取卸载值完成。 卸载 Blob 哈希: (%1) ,IsDefault: (%2) 。 | 获取卸载 Blob 哈希。 | 正常操作通知;无需执行任何操作。 |
| 1809 | CSP:获取示例共享值完成。 结果: (%1) ,IsDefault: (%2) 。 | 允许获取示例上传。 | 正常操作通知;无需执行任何操作。 |
| 1810 | CSP:载入过程。 开始。 | 已启动载入流。 | 正常操作通知;无需执行任何操作。 |
| 1811 | CSP:载入过程。 删除卸载 blob 完成。 结果: (%1) 。 | 删除了作为载入流的一部分的卸载 Blob。 | 正常操作通知;无需执行任何操作。 |
| 1812 | CSP:载入过程。 写入加入 blob 完成。 结果: (%1) 。 | 将加入 Blob 写入注册表作为载入流的一部分。 | 正常操作通知;无需执行任何操作。 |
| 1813 | CSP:载入过程。 服务已成功启动。 | 作为载入流的一部分启动 Sense 服务。 | 正常操作通知;无需执行任何操作。 |
| 1814 | CSP:载入过程。 挂起的服务运行状态已完成。 结果: (%1) 。 | 已完成等待 Sense 作为载入流的一部分启动。 | 正常操作通知;无需执行任何操作。 |
| 1815 | CSP:设置示例共享值已完成。 上一个值: (%1) ,IsDefault: (%2) ,新值: (%3) ,结果: (%4) 。 | 设置示例共享值。 | 正常操作通知;无需执行任何操作。 |
| 1816 | CSP:卸载过程。 删除加入 blob 完成。 结果 (%1) 。 | 删除了加入 Blob 作为卸载流的一部分。 | 正常操作通知;无需执行任何操作。 |
| 1817 | CSP:卸载过程。 完成注销 blob。 结果 (%1) 。 | 将 blob 卸载到注册表作为卸载流的一部分写入。 | 正常操作通知;无需执行任何操作。 |
| 1818 | CSP:设置 Node's 值已启动。 NodeId: (%1) ,TokenName: (%2) 。 |
Set 的操作即将启动。 | 正常操作通知;无需执行任何操作。 |
| 1819 | CSP:无法设置 Node's 值。 NodeId: (%1) ,TokenName: (%2) ,结果: (%3) 。 |
Set 的操作失败。 | 请联系支持人员。 |
| 1820 | CSP:设置 Node's 值完成。 NodeId: (%1) ,TokenName: (%2) ,结果: (%3) 。 |
Set 的操作已成功。 | 正常操作通知;无需执行任何操作。 |
| 1821 | CSP:已启动设置遥测报告频率。 新值: (%1) 。 | 开始设置 TelemetryReportingFrequency 的值。 | 正常操作通知;无需执行任何操作。 |
| 1822 | CSP:设置遥测报告频率已完成。 上一个值: (%1) ,IsDefault: (%2) ,新值: (%3) ,结果: (%4) 。 | 完成设置 TelemetryReportingFrequency 的值。 | 正常操作通知;无需执行任何操作。 |
| 1823 | CSP:获取遥测报告频率完成。 值: (%1) ,注册表值: (%2) ,IsDefault: (%3) 。 | 获取 TelemetryReportingFrequency 的值。 | 正常操作通知;无需执行任何操作。 |
| 1824 | CSP:获取组 ID 已完成。 值: (%1) ,IsDefault: (%2) 。 | 从注册表获取 groupIds。 | 正常操作通知;无需执行任何操作。 |
| 1825 | CSP:设置组 ID 超出了允许的限制。 允许: (%1) ,实际: (%2) 。 | 由于长度原因,无法设置 groupIds。 | 正常操作通知;无需执行任何操作。 |
| 1826 | CSP:设置组 ID 已完成。 值: (%1) ,结果: (%2) 。 | 设置 groupIds。 | 正常操作通知;无需执行任何操作。 |
| 1827 | CSP:载入过程。 服务正在运行: (%1) 、以前的载入 Blob 哈希: (%2) 、IsDefault: (%3) 、载入状态: (%4) 、载入状态 IsDefault: (%5) 、新载入 Blob 哈希: (%6) 。 | 在载入过程中跟踪值。 | 正常操作通知;无需执行任何操作。 |
| 1828 | CSP:载入过程。 服务正在运行: (%1) 、以前的卸载 Blob 哈希: (%2) 、IsDefault: (%3) 、载入状态: (%4) 、载入状态 IsDefault: (%5) 、新卸载 Blob 哈希: (%6) 。 | 作为卸载的一部分的跟踪值。 | 正常操作通知;无需执行任何操作。 |
| 1829 | CSP:未能设置示例共享值。 请求的值: (%1) ,允许的值介于 (%2) 和 (%3) 之间。 | SampleSharing 操作的值无效。 | 请联系支持人员。 |
| 1830 | CSP:未能设置遥测报告频率值。 请求的值: (%1) 。 | 设置 TelemetryReportingFrequency 的值失败。 | 如果问题仍然存在,请联系支持人员。 |
| 1831 | CSP:Get Sense 正在运行。 服务配置为延迟启动,但 hasn't 尚未启动。 |
获取 SenseIsRunning 结果。 | 正常操作通知;无需执行任何操作。 |
| 1832 | CSP:完成设备标记组。 值: (%1) ,IsDefault: (%2) 。 | 从注册表中获取设备标记组已完成。 | 正常操作通知;无需执行任何操作。 |
| 1833 | CSP:获取设备标记严重性值完成。 在注册表中: (%1) ,IsDefault: (%2) ,转换成功: (%3) ,结果: (%4) 。 | 从注册表完成获取 DeviceTagging Criticality。 | 正常操作通知;无需执行任何操作。 |
| 1834 | CSP:获取设备标记标识方法值完成。 在注册表中: (%1) ,IsDefault: (%2) ,转换成功: (%3) ,结果: (%4) 。 | 从注册表中获取已完成的 DeviceTagging Id 方法。 | 正常操作通知;无需执行任何操作。 |
| 1835 | CSP:设置设备标记组已完成。 值: (%1) ,结果: (%2) 。 | 在注册表中设置设备标记组已完成。 | 正常操作通知;无需执行任何操作。 |
| 1836 | CSP:设置设备标记组超出允许的限制。 允许: (%1) ,实际: (%2) 。 | 将“设备标记组失败”设置为超出最大长度限制。 | 如果问题仍然存在,请联系支持人员。 |
| 1837 | CSP:设置设备标记严重性值完成。 上一个值: (%1) ,IsDefault: (%2) ,新值: (%3) ,结果: (%4) 。 | 在注册表已完成中设置 DeviceTagging Criticality。 | 正常操作通知;无需执行任何操作。 |
| 1838 | CSP:未能设置设备标记严重性值。 请求的值: (%1) ,允许的值介于 (%2) 和 (%3) 之间。 | 将 DeviceTagging Criticality 设置为失败,因为值不在预期范围内。 | 如果问题仍然存在,请联系支持人员。 |
| 1839 | CSP:设置设备标记标识方法值完成。 上一个值: (%1) ,IsDefault: (%2) ,新值: (%3) ,结果: (%4) 。 | 在注册表中设置 DeviceTagging Id 方法已完成。 | 正常操作通知;无需执行任何操作。 |
| 1840 | CSP:未能设置设备标记标识方法值。 请求的值: (%1) ,允许的值介于 (%2) 和 (%3) 之间。 | 设置 DeviceTagging Id 方法失败,因为值不在预期范围内。 | 如果问题仍然存在,请联系支持人员。 |
在系统事件日志中查看 Defender for Endpoint 事件
Microsoft Defender for Endpoint事件也显示在系统事件日志中。
打开系统事件日志:
- 在 Windows 菜单上选择“开始”,键入事件查看器,然后按 Enter 打开事件查看器。
- 在日志列表中的 “日志摘要”下,滚动,直到看到 “系统”。 双击该项以打开日志。
可以使用此表获取有关系统事件日志中的 Defender for Endpoint 事件的详细信息,并确定进一步的故障排除步骤。
| 事件 ID | 邮件 | 说明 | 操作 |
|---|---|---|---|
| 1 | 实时会话“SenseNdrPktmon”的后备文件已达到其最大大小。 因此,在空间可用之前,不会将新事件记录到此会话。 | 此实时会话在 Pktmon(捕获网络流量的内置 Windows 服务)和以异步方式分析数据包的 SenseNDR) 代理 (配置为限制以防止潜在的性能问题。 因此,如果在短时间内截获了过多的数据包,则可能会出现此警报,从而导致跳过某些数据包。 此警报在网络流量较高时更常见。 | 正常操作通知;无需执行任何操作。 |
另请参阅
- 载入 Windows 客户端设备
- 配置设备代理和 Internet 连接设置
- Microsoft Defender for Endpoint 疑难解答
- 客户端分析器概述
- 下载并运行分析器
- 了解分析器 HTML 报表
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。