使用 事件檢視器 檢閱事件和錯誤
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
在適用於端點的Defender服務事件記錄檔中檢視事件
您可以檢閱個別裝置上 事件檢視器 中的事件識別碼。 例如,當裝置未出現在 [裝置] 列表中時,這會有説明。 在此案例中,您可以在裝置上尋找事件標識符,然後使用下表根據對應的事件標識符來判斷進一步的疑難解答步驟。
若要開啟適用於端點的 Defender 服務事件記錄檔:
在 Windows 功能表上選取 [開始],輸入 事件檢視器,然後按 Enter 鍵以開啟 事件檢視器。
在記錄清單的 [ 記錄摘要] 下,卷動直到您看到 Microsoft-Windows-SENSE/Operational 為止。 按兩下項目以開啟記錄。
您也可以展開 [應用程式和服務記錄>][Microsoft>Windows>SENSE] 並選取 [操作],以存取記錄。
注意事項
SENSE 是內部名稱,用來參考支援 適用於端點的 Microsoft Defender 的行為感測器。
服務所記錄的事件會出現在記錄中。
如需服務所記錄的事件清單,請參閱下表。
| 事件識別碼 | 郵件 | 描述 | 動作 |
|---|---|---|---|
| 1 | 適用於端點的 Microsoft Defender 服務已 (版本 variable) 啟動。 |
發生於系統啟動、關機和上線期間。 | 一般作業通知;不需要採取任何動作。 |
| 2 | 適用於端點的 Microsoft Defender 服務關機。 | 發生於裝置關閉或離線時。 | 一般作業通知;不需要採取任何動作。 |
| 3 | 適用於端點的 Microsoft Defender 服務無法啟動。 失敗碼: variable。 |
服務未啟動。 | 檢閱其他訊息,以判斷可能的原因和疑難解答步驟。 |
| 4 | 適用於端點的 Microsoft Defender 服務連絡位於的variable伺服器。 |
Variable = 適用於端點的 Defender 處理伺服器的 URL。 此 URL 符合防火牆或網路活動中所見的 URL。 |
一般作業通知;不需要採取任何動作。 |
| 5 | 適用於端點的 Microsoft Defender 服務無法連線到 位於的伺服器。variable |
Variable = 適用於端點的 Defender 處理伺服器的 URL。 服務無法透過該 URL 連絡外部處理伺服器。 |
檢查 URL 的連線。 請 參閱設定 Proxy 和因特網連線。 |
| 6 | 適用於端點的 Microsoft Defender 服務未上線,且找不到上線參數。 | 裝置未正確上線,且未向入口網站報告。 | 啟動服務之前,必須先執行上線。 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 7 | 適用於端點的 Microsoft Defender 服務無法讀取上線參數。 失敗: variable。 |
變數 = 詳細的錯誤描述。 裝置未正確上線,且未向入口網站報告。 | 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 8 | 適用於端點的 Microsoft Defender 服務無法清除其設定。 失敗碼: variable。 |
上線期間: 服務無法在上線期間清除其設定。 上線程式會繼續進行。 在下架期間: 服務無法在下架期間清除其設定。 下架程式已完成,但服務會持續執行。 |
上線: 不需要採取任何動作。 下線: 重新啟動系統。 請參閱 將 Windows 用戶端裝置上線。 |
| 9 | 適用於端點的 Microsoft Defender 服務無法變更其開始類型。 失敗碼: variable。 |
上線期間: 裝置未正確上線,且未向入口網站報告。 在下架期間: 無法變更服務啟動類型。 下架程式會繼續進行。 |
檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 10 | 適用於端點的 Microsoft Defender 服務無法保存上線資訊。 失敗碼: variable。 |
裝置未正確上線,且未向入口網站報告。 | 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 11 | 已完成適用於端點的Defender服務上線或重新上線。 | 裝置已正確上線。 | 一般作業通知;不需要採取任何動作。 裝置可能需要數小時才會出現在入口網站中。 |
| 12 | 適用於端點的 Microsoft Defender 無法套用預設組態。 | 服務無法套用預設組態。 | 此錯誤應該會在短時間內解決。 |
| 13 | 適用於端點的 Microsoft Defender 計算裝置識別碼:variable。 |
一般作業程式。 | 一般作業通知;不需要採取任何動作。 |
| 15 | 適用於端點的 Microsoft Defender 無法使用 URL 啟動命令通道:variable。 |
Variable = 適用於端點的 Defender 處理伺服器的 URL。 服務無法透過該 URL 連絡外部處理伺服器。 |
檢查 URL 的連線。 請 參閱設定 Proxy 和因特網連線。 |
| 17 | 適用於端點的 Microsoft Defender 服務無法變更已連線的用戶體驗和遙測服務位置。 失敗碼: variable。 |
Windows 遙測服務發生錯誤。 |
確定已啟用診斷數據服務:「>確定已啟用診斷數據服務。 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 18 | OOBE (Windows 歡迎) 已完成。 | 只有在任何 Windows 更新完成安裝之後,服務才會啟動。 | 一般作業通知;不需要採取任何動作。 |
| 19 | OOBE (Windows Welcome) 尚未完成。 | 只有在任何 Windows 更新完成安裝之後,服務才會啟動。 | 一般作業通知;不需要採取任何動作。 如果此錯誤在系統重新啟動之後持續發生,請確定所有 Windows 更新都已完整安裝。 |
| 20 | 無法等候 OOBE (Windows 歡迎) 完成。 失敗碼: variable。 |
內部錯誤。 | 如果系統重新啟動之後持續發生此錯誤,請確定已安裝所有 Windows 更新。 |
| 25 | 適用於端點的 Microsoft Defender 服務無法重設登錄中的健全狀態。 失敗碼: variable。 |
裝置未正確上線。 它會向入口網站報告;不過,服務可能不會在 SCCM 或登錄中顯示為已註冊。 | 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 26 | 適用於端點的 Microsoft Defender 服務無法在登錄中設定上線狀態。 失敗碼: variable。 |
裝置未正確上線。 它會向入口網站報告;不過,服務可能不會在 SCCM 或登錄中顯示為已註冊。 |
檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 27 | 適用於端點的 Microsoft Defender 服務無法在 Microsoft Defender 防病毒軟體中啟用SENSE感知模式。 上線程序失敗。 失敗碼: variable。 |
一般而言,如果裝置上有另一個即時反惡意代碼產品正常執行,且裝置向適用於端點的 Defender 報告,Microsoft Defender 防病毒軟體會進入特殊的被動狀態。 | 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 確定即時反惡意代碼保護正常執行。 |
| 28 | 適用於端點的 Microsoft Defender 連線的用戶體驗和遙測服務註冊失敗。 失敗碼: variable。 |
Windows 遙測服務發生錯誤。 |
確定已啟用診斷數據服務。 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 29 | 無法讀取下架參數。 錯誤類型: %1,錯誤碼: %2,描述: %3 | 當系統無法讀取下架參數時,就會發生此事件。 | 請確定裝置具有因特網存取權,然後再次執行整個離線程式。 確定脫機套件未過期。 |
| 30 | 適用於端點的 Microsoft Defender 服務無法停用 Microsoft Defender 防病毒軟體的SENSE感知模式。 失敗碼: variable。 |
一般而言,如果裝置上有另一個即時反惡意代碼產品正常執行,且裝置向適用於端點的 Defender 報告,Microsoft Defender 防病毒軟體會進入特殊的被動狀態。 | 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 確定即時反惡意代碼保護正常執行。 |
| 31 | 適用於端點的 Microsoft Defender 連線的用戶體驗和遙測服務取消註冊失敗。 失敗碼: variable。 |
在上線期間,Windows 遙測服務發生錯誤。 下架程式會繼續進行。 | 檢查 Windows 遙測服務是否有錯誤。 |
| 32 | 適用於端點的 Microsoft Defender 服務在下架程序之後,無法要求停止本身。 失敗碼: %1 | 下架時發生錯誤。 | 重新啟動裝置。 |
| 33 | 適用於端點的 Microsoft Defender 服務無法保存 SENSE GUID。 失敗碼: variable。 |
唯一標識碼可用來代表每個向入口網站報告的裝置。 如果標識碼未保存,相同的裝置可能會在入口網站中出現兩次。 |
檢查裝置上的登錄許可權,以確保服務可以更新登錄。 |
| 34 | 適用於端點的 Microsoft Defender 服務無法將本身新增為已連線用戶體驗和遙測服務的相依性,導致上線程序失敗。 失敗碼: variable。 |
Windows 遙測服務發生錯誤。 |
確定已啟用診斷數據服務。 檢查上線設定和文稿是否已正確部署。 嘗試重新部署元件。 請參閱 將 Windows 用戶端裝置上線。 |
| 35 | 通訊配額會更新。 以 MB 為單位的磁碟配額: variable,每日上傳配額以 MB 為單位: variable |
變數 = 以 MB 為單位的磁碟配額。 | 一般作業通知;不需要採取任何動作。 |
| 36 | 適用於端點的 Microsoft Defender 連線的用戶體驗和遙測服務註冊成功。 完成程序代碼: variable。 |
已成功完成使用已連線的用戶體驗和遙測服務註冊適用於端點的Defender。 | 一般作業通知;不需要採取任何動作。 |
| 37 | 適用於端點的 Microsoft Defender 模組即將超過其配額。 模組: %1,配額: {%2} {%3},配額使用率百分比: %4。 | 裝置接近其目前 24 小時時段的已配置配額。 即將進行節流。 | 一般作業通知;不需要採取任何動作。 |
| 38 | 網路聯機識別為低。 適用於端點的 Microsoft Defender 每隔 %1 分鐘與伺服器連絡一次。 計量付費連線: %2,因特網可用: %3,可用的網路: %4。 | 裝置使用計量付費網路,且較不常連絡伺服器。 | 一般作業通知;不需要採取任何動作。 |
| 39 | 網路聯機會識別為正常。 適用於端點的 Microsoft Defender 每隔 %1 分鐘與伺服器連絡一次。 計量付費連線: %2,因特網可用: %3,可用的網路: %4。 | 裝置未使用計量付費連線,並如往常般連絡伺服器。 | 一般作業通知;不需要採取任何動作。 |
| 40 | 電池狀態會識別為低。 適用於端點的 Microsoft Defender 每隔 %1 分鐘與伺服器連絡一次。 電池狀態: %2。 | 裝置的電池電量較低,且與伺服器的連絡頻率較低。 | 一般作業通知;不需要採取任何動作。 |
| 41 | 電池狀態會識別為正常狀態。 適用於端點的 Microsoft Defender 每隔 %1 分鐘與伺服器連絡一次。 電池狀態: %2。 | 裝置沒有低電池電量,因此會如往常般連絡伺服器。 | 一般作業通知;不需要採取任何動作。 |
| 42 | 適用於端點的 Microsoft Defender元件無法執行動作。 元件: %1,動作: %2,例外狀況類型: %3,例外狀況訊息: %4 | 內部錯誤。 服務無法啟動。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 43 | 適用於端點的 Microsoft Defender元件無法執行動作。 元件: %1,動作: %2,例外狀況類型: %3,例外狀況錯誤: %4,例外狀況訊息: %5 | 內部錯誤。 服務無法啟動。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 44 | 已完成適用於端點的Defender服務下線。 | 服務已離線。 | 一般作業通知;不需要採取任何動作。 |
| 45 | 無法註冊 和 以啟動事件追蹤會話 [%1]。 錯誤碼: %2 | 建立 ETW 工作階段時,服務啟動時發生錯誤。 這會導致服務啟動失敗。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 46 | 無法註冊和啟動事件追蹤會話 [%1],因為缺少資源。 錯誤碼: %2。 這很可能是因為有太多作用中事件追蹤會話。 服務會在 1 分鐘內重試。 | 建立 ETW 工作階段時,服務啟動時發生錯誤,因為資源不足。 服務正在執行,但在 ETW 工作階段啟動之前不會報告感測器事件。 | 一般作業通知;不需要採取任何動作。 服務會每分鐘嘗試啟動會話一次。 |
| 47 | 成功註冊並啟動事件追蹤會話 - 在先前的失敗嘗試之後復原。 | 在成功啟動 ETW 工作階段之後,此事件會遵循上一個事件。 | 一般作業通知;不需要採取任何動作。 |
| 48 | 無法將提供者 [%1] 新增至事件追蹤會話 [%2]。 錯誤碼: %3。 這表示不會報告來自此提供者的事件。 | 無法將提供者新增至 ETW 工作階段。 因此,不會報告提供者事件。 | 檢查錯誤碼。 如果錯誤持續發生,請連絡支持服務。 |
| 49 | 接收和忽略無效的雲端設定命令。 版本: %1,狀態: %2,錯誤碼: %3,訊息: %4 | 從已忽略的雲端服務收到無效的組態檔。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 50 | 已成功套用新的雲端設定。 版本: %1。 | 已成功從雲端服務套用新的設定。 | 一般作業通知;不需要採取任何動作。 |
| 51 | 無法套用新的雲端設定,版本: %1。 已成功套用最後一個已知的良好設定,版本 %2。 | 從雲端服務收到不正確的組態檔。 上次已知的良好設定已成功套用。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 52 | 無法套用新的雲端設定,版本: %1。 也無法套用上次已知的良好設定,版本 %2。 已成功套用預設組態。 | 從雲端服務收到不正確的組態檔。 無法套用最後一個已知的良好組態, 且已套用預設組態。 | 服務會在 5 分鐘內嘗試下載新的組態檔。 如果您沒有看到事件 #50 - 請連絡支援。 |
| 53 | 從永續性記憶體載入的雲端設定版本: %1。 | 設定是在服務啟動時從永續性記憶體載入。 | 一般作業通知;不需要採取任何動作。 |
| 54 | 每個模式的全域 () 狀態已變更。 狀態: %1,模式: %2 | 如果 state = 0:網路數據報告規則已達到其定義的上限配額,且在上限配額到期之前不會傳送更多數據。 如果狀態 = 1:上限配額已過期,則規則會繼續傳送數據。 | 一般作業通知;不需要採取任何動作。 |
| 55 | 無法建立安全 ETW 自動記錄器。 失敗碼: %1 | 無法建立安全的 ETW 記錄器。 | 重新啟動裝置。 如果此錯誤持續發生,請連絡支援服務。 |
| 56 | 無法移除安全 ETW 自動記錄器。 失敗碼: %1 | 無法在離線時移除安全的 ETW 工作階段。 | 請連絡支持人員。 |
| 57 | 擷取機器的快照集以進行疑難解答。 | 正在收集調查套件,也稱為鑑識套件。 | 一般作業通知;不需要採取任何動作。 |
| 59 | 啟動命令: %1 | 啟動回應命令執行。 | 一般作業通知;不需要採取任何動作。 |
| 60 | 無法執行命令 %1,錯誤: %2。 | 無法執行回應命令。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 61 | 數據收集命令參數無效: SasUri: %1, compressionLevel: %2。 | 無法讀取或剖析資料收集命令自變數, (無效的自變數) 。 | 如果此錯誤持續發生,請連絡支援服務。 |
| 62 | 無法啟動已連線的用戶體驗和遙測服務。 失敗碼: %1 | 聯機的用戶體驗和遙測 (對話) 服務無法啟動。 非 適用於端點的 Microsoft Defender 遙測不會從這部電腦傳送。 | 在事件記錄檔中尋找更多疑難解答提示:Microsoft-Windows-UniversalTelemetryClient/Operational。 |
| 63 | 更新外部服務的開始類型。 名稱: %1,實際開始類型: %2,預期的開始類型: %3,結束代碼: %4 | 已更新外部服務的開始類型。 | 一般作業通知;不需要採取任何動作。 |
| 64 | 啟動已停止的外部服務。 名稱: %1,結束代碼: %2 | 啟動外部服務。 | 一般作業通知;不需要採取任何動作。 |
| 65 | 無法載入 Microsoft 安全性事件元件迷你篩選驅動程式。 失敗碼: %1 | 無法載入 MsSecFlt.sys 系統迷你篩選器。 | 重新啟動裝置。 如果此錯誤持續發生,請連絡支援服務。 |
| 66 | 原則更新:延遲模式 - %1 | C&C 連線頻率原則已更新。 | 一般作業通知;不需要採取任何動作。 |
| 68 | 服務的開始類型是非預期的。 服務名稱: %1,實際開始類型: %2,預期的開始類型: %3 | 非預期的外部服務啟動類型。 | 修正外部服務啟動類型。 |
| 69 | 服務已停止。 服務名稱: %1 | 外部服務已停止。 | 啟動外部服務。 |
| 70 | 原則更新:允許範例收集 - %1 | 範例收集原則已更新。 | 一般作業通知;不需要採取任何動作。 |
| 71 | 成功執行命令: %1 | 命令已成功執行。 | 一般作業通知;不需要採取任何動作。 |
| 72 | 嘗試傳送第一個完整計算機配置檔報告。 結果碼: %1 | 僅限資訊。 | 一般作業通知;不需要採取任何動作。 |
| 73 | 平台開始的意義: %1 | 僅限資訊。 | 一般作業通知;不需要採取任何動作。 |
| 74 | 登錄中的裝置標籤超過長度限制。 標籤名稱: %2。 長度限制: %1。 | 裝置標籤超過長度限制。 | 使用較短的裝置標籤。 |
| 81 | 無法建立 #D2869F3BA2B84499BBB25A016F9454802 ETW 自動記錄器。 失敗碼: %1 | 無法建立 ETW 工作階段。 | 重新啟動裝置。 如果此錯誤持續發生,請連絡支援服務。 |
| 82 | 無法移除 #DD249A5C0D8F0461995231159EB551EB3 ETW 自動記錄器。 失敗碼: %1 | 無法刪除 ETW 工作階段。 | 請連絡支持人員。 |
| 84 | 設定 Microsoft Defender 防病毒軟體執行模式。 強制被動模式: %1,結果碼: %2。 | (主動或被動) 設定Defender執行模式。 | 一般作業通知;不需要採取任何動作。 |
| 85 | 無法觸發可執行檔 適用於端點的 Microsoft Defender。 失敗碼: %1 | 感應性 SenseIR 可執行文件失敗。 | 重新啟動裝置。 如果此錯誤持續發生,請連絡支援服務。 |
| 86 | 重新啟動時,停止應該啟動的外部服務。 名稱: %1,結束代碼: %2 | 再次啟動外部服務。 | 一般作業通知;不需要採取任何動作。 |
| 87 | 無法啟動外部服務。 名稱: %1 | 無法啟動外部服務。 | 請連絡支持人員。 |
| 88 | 再次更新外部服務的開始類型。 名稱: %1,實際開始類型: %2,預期的開始類型: %3,結束代碼: %4 | 已更新外部服務的開始類型。 | 一般作業通知;不需要採取任何動作。 |
| 89 | 無法更新外部服務的開始類型。 名稱: %1,實際開始類型: %2,預期的開始類型: %3 | 無法更新外部服務的開始類型。 | 請連絡支持人員。 |
| 90 | 無法設定 系統防護 執行時間監視器以連線到地理區域 %1 中的雲端服務。 失敗碼: %2 | 系統防護 運行時間監視器不會將證明數據傳送至雲端服務。 | 檢查註冊路徑的許可權:「HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm“。 如果沒有任何問題出現,請連絡支持服務。 |
| 91 | 無法移除 系統防護 運行時間監視器地理區域資訊。 失敗碼: %1 | 系統防護 運行時間監視器不會將證明數據傳送至雲端服務。 | 檢查註冊路徑的許可權:「HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm“。 如果沒有任何問題出現,請連絡支持服務。 |
| 92 | 因為超過數據配額,所以停止傳送感測器網路數據配額。 配額期間過後,將會繼續傳送。 狀態遮罩: %1 | 超過節流限制。 | 一般作業通知;不需要採取任何動作。 |
| 93 | 繼續傳送感測器網路數據。 狀態遮罩: %1 | 繼續提交網路數據。 | 一般作業通知;不需要採取任何動作。 |
| 94 | 適用於端點的 Microsoft Defender 可執行檔已啟動 | SenseCE 可執行檔已啟動。 | 一般作業通知;不需要採取任何動作。 |
| 95 | 適用於端點的 Microsoft Defender 可執行檔已結束 | SenseCE 可執行文件已結束。 | 一般作業通知;不需要採取任何動作。 |
| 96 | 適用於端點的 Microsoft Defender 已呼叫 Init。 結果碼: %2 | SenseCE 可執行檔已呼叫 MCE 初始化。 | 一般作業通知;不需要採取任何動作。 |
| 97 | 針對 DLP 案例,雲端有連線問題 | 有網路連線問題會影響 DLP 分類流程。 | 檢查網路連線能力。 |
| 98 | 已還原 DLP 案例的雲端連線能力 | 已還原與網路的連線,且 DLP 分類流程可以繼續。 | 一般作業通知;不需要採取任何動作。 |
| 99 | Sense 在與伺服器通訊時發生下列錯誤: (%1) 。 結果: (%2) | 發生通訊錯誤。 | 如需進一步的詳細數據,請檢查事件記錄檔中的下列事件。 |
| 100 | 適用於端點的 Microsoft Defender 無法啟動可執行檔。 失敗碼: %1 | SenseCE 可執行檔案無法啟動。 | 重新啟動裝置。 如果此錯誤持續發生,請連絡支援服務。 |
| 102 | 適用於端點的 Microsoft Defender 網路偵測和回應可執行檔已啟動 | SenseNdr 可執行檔已啟動。 | 一般作業通知;不需要採取任何動作。 |
| 103 | 適用於端點的 Microsoft Defender 網路偵測和回應可執行檔已結束 | SenseNdr 可執行文件已結束。 | 一般作業通知;不需要採取任何動作。 |
| 104 | 無法將異步驅動程式排入佇列卸除。 失敗碼: %1。 | 在下架期間發生。 | 一般作業通知;不需要採取任何動作。 |
| 105 | 無法等候驅動程式卸除 | 在下架期間發生。 | 一般作業通知;不需要採取任何動作。 |
| 106 | 適用於端點的 Microsoft Defender 服務無法啟動。 失敗碼 %1 ;無法載入 MsSense DLL。 模組。 | 在啟動期間發生。 | 連絡客戶支援。 |
| 107 | 適用於端點的 Microsoft Defender 服務無法啟動。 失敗碼 %1 ;MsSense DLL 模組的問題。 | 在啟動期間發生。 | 連絡客戶支援。 |
| 108 | 更新階段:%1,新平臺版本: %2,訊息: %3。 | 在更新期間發生。 | 一般作業通知;不需要採取任何動作。 |
| 109 | 更新階段:%1 新平臺版本: %2,失敗訊息: %3,錯誤: %4。 | 在更新期間發生。 | 連絡客戶支援。 |
| 110 | 無法移除 MDEContain WFP 篩選。 | 在下架期間發生。 | 連絡客戶支援。 |
| 307 | 無法更新驅動程式權限 失敗碼: %1。 | 在上線期間發生。 | 連絡客戶支援。 |
| 308 | 無法在資料夾 %1 上使用 ACL 失敗碼: %2。 | 在上線期間發生。 | 連絡客戶支援。 |
| 401 | 適用於端點的 Microsoft Defender 服務無法產生金鑰。 失敗碼: %1。 | 無法建立密碼編譯金鑰。 | 如果機器未回報,請連絡支持人員。 否則,不需要採取任何動作。 |
| 402 | 適用於端點的 Microsoft Defender 服務無法保存驗證狀態。 失敗碼: %1。 | 無法儲存驗證狀態。 | 如果裝置未回報,請連絡支持人員。 否則,不需要採取任何動作。 |
| 403 | 已完成註冊 適用於端點的 Microsoft Defender 服務。 | 成功註冊至驗證服務。 | 一般作業通知;不需要採取任何動作。 |
| 404 | 適用於端點的 Microsoft Defender 服務成功產生金鑰。 | 成功產生密碼編譯金鑰。 | 一般作業通知;不需要採取任何動作。 |
| 405 | 無法與驗證服務通訊。 %1 要求失敗,hresult: %2,HTTP 錯誤碼: %3。 | 無法將要求傳送至驗證服務。 | 一般作業通知;不需要採取任何動作。 |
| 406 | 驗證服務拒絕 %1 的要求。 Hresult: %2,錯誤碼: %3。 | 要求傳回了不想要的回應。 | 一般作業通知;不需要採取任何動作。 |
| 407 | 適用於端點的 Microsoft Defender 服務無法簽署訊息 (驗證) 。 失敗碼: %1。 | 無法簽署要求。 | 一般作業通知;不需要採取任何動作。 |
| 408 | 適用於端點的 Microsoft Defender 服務無法移除保存驗證狀態。 狀態: %1,失敗碼: %2。 | 無法儲存驗證狀態。 | 如果裝置未回報,請連絡支持人員。 否則,不需要採取任何動作。 |
| 409 | 適用於端點的 Microsoft Defender 服務無法開啟金鑰。 失敗碼: %1。 | 無法開啟密碼編譯金鑰。 | 如果裝置未回報,請連絡支持人員。 否則,不需要採取任何動作。 |
| 410 | 重新上架 適用於端點的 Microsoft Defender 服務時需要註冊。 | 在重新上線期間發生。 | 一般作業通知;不需要採取任何動作。 |
| 411 | 因令牌無效/過期,適用於端點的 Microsoft Defender 服務的網路遙測上傳已暫停。 | 網路上傳暫時暫停。 | 一般作業通知;不需要採取任何動作。 |
| 412 | 由於新重新整理的令牌,適用於端點的 Microsoft Defender 服務的網路遙測上傳已繼續。 | 網路上傳已成功繼續。 | 一般作業通知;不需要採取任何動作。 |
| 1800 | CSP:取得 Node's 值。 NodeId: (%1) , TokenName: (%2) 。 |
Get 的作業即將開始。 | 連絡客戶支援。 |
| 1801 | CSP:無法取得 Node's 值。 NodeId: (%1) , TokenName: (%2) , Result: (%3) 。 |
Get 的作業失敗。 | 連絡客戶支援。 |
| 1802 | CSP:完成 [取得 Node's 值]。 NodeId: (%1) , TokenName: (%2) , Result: (%3) 。 |
Get 的作業已成功。 | 連絡客戶支援。 |
| 1803 | CSP:完成上次連線值。 結果 (%1) , IsDefault: (%2) 。 | 裝置上次與 CNC 通訊的時間。 | 一般作業通知;不需要採取任何動作。 |
| 1804 | CSP:完成組織標識碼值。 結果: (%1) ,IsDefault: (%2) 。 | 組織標識符裝置會在上線期間取得。 | 一般作業通知;不需要採取任何動作。 |
| 1805 | CSP:取得 Sense Is Running 值已完成。 結果: (%1) 。 | 在上線後感知執行中的訊息。 | 一般作業通知;不需要採取任何動作。 |
| 1806 | CSP:完成上線狀態值。 結果: (%1) ,IsDefault: (%2) 。 | Get 是 Sense onboarded。 | 一般作業通知;不需要採取任何動作。 |
| 1807 | CSP:完成上線值。 上線 Blob 哈希: (%1) 、IsDefault: (%2) 、上線狀態: (%3) 、上線狀態 IsDefault: (%4) 。 | Get 是 Sense onboarded and onboarding Blob hash。 | 一般作業通知;不需要採取任何動作。 |
| 1808 | CSP:完成下架值。 下架 Blob 哈希: (%1) 、IsDefault: (%2) 。 | 脫機 Blob 哈希。 | 一般作業通知;不需要採取任何動作。 |
| 1809 | CSP:完成範例共用值。 結果: (%1) ,IsDefault: (%2) 。 | Get 是允許範例上傳。 | 一般作業通知;不需要採取任何動作。 |
| 1810 | CSP:上線程式。 開始。 | 已開始上線流程。 | 一般作業通知;不需要採取任何動作。 |
| 1811 | CSP:上線程式。 刪除離線 Blob 完成。 結果: (%1) 。 | 已在上線流程中刪除離線 Blob。 | 一般作業通知;不需要採取任何動作。 |
| 1812 | CSP:上線程式。 寫入上線 Blob 完成。 結果: (%1) 。 | 撰寫將 Blob 上線至登錄,作為上線流程的一部分。 | 一般作業通知;不需要採取任何動作。 |
| 1813 | CSP:上線程式。 服務已成功啟動。 | 已啟動 Sense 服務作為上線流程的一部分。 | 一般作業通知;不需要採取任何動作。 |
| 1814 | CSP:上線程式。 擱置的服務執行狀態完成。 結果: (%1) 。 | 完成等候 Sense 開始作為上線流程的一部分。 | 一般作業通知;不需要採取任何動作。 |
| 1815 | CSP:設定範例共用值完成。 上一個值: (%1) 、IsDefault: (%2) 、新值: (%3) 、結果: (%4) 。 | 設定範例共用值。 | 一般作業通知;不需要採取任何動作。 |
| 1816 | CSP:下架程式。 刪除上線 Blob 完成。 結果 (%1) 。 | 已在下架流程中刪除上線 Blob。 | 一般作業通知;不需要採取任何動作。 |
| 1817 | CSP:下架程式。 寫入脫機 Blob 完成。 結果 (%1) 。 | 已將下架 Blob 寫入登錄,作為下架流程的一部分。 | 一般作業通知;不需要採取任何動作。 |
| 1818 | CSP:設定已 Node's 啟動的值。 NodeId: (%1) , TokenName: (%2) 。 |
Set 的作業即將開始。 | 一般作業通知;不需要採取任何動作。 |
| 1819 | CSP:無法設定 Node's 值。 NodeId: (%1) , TokenName: (%2) , Result: (%3) 。 |
Set 的作業失敗。 | 連絡客戶支援。 |
| 1820 | CSP:設定 Node's 完成的值。 NodeId: (%1) , TokenName: (%2) , Result: (%3) 。 |
Set 的作業已成功。 | 一般作業通知;不需要採取任何動作。 |
| 1821 | CSP:設定已啟動的遙測報告頻率。 新值: (%1) 。 | 開始設定 TelemetryReportingFrequency 的值。 | 一般作業通知;不需要採取任何動作。 |
| 1822 | CSP:設定遙測報告頻率完成。 上一個值: (%1) 、IsDefault: (%2) 、新值: (%3) 、結果: (%4) 。 | 完成設定 TelemetryReportingFrequency 的值。 | 一般作業通知;不需要採取任何動作。 |
| 1823 | CSP:完成遙測報告頻率。 值: (%1) 、登錄值: (%2) 、IsDefault: (%3) 。 | 取得 TelemetryReportingFrequency 的值。 | 一般作業通知;不需要採取任何動作。 |
| 1824 | CSP:完成群組標識碼。 值: (%1) ,IsDefault: (%2) 。 | 從登錄取得 groupIds。 | 一般作業通知;不需要採取任何動作。 |
| 1825 | CSP:設定群組標識碼超過允許的限制。 允許: (%1) ,實際: (%2) 。 | 無法設定 groupId,因為長度。 | 一般作業通知;不需要採取任何動作。 |
| 1826 | CSP:設定群組標識碼完成。 值: (%1) ,結果: (%2) 。 | 設定 groupId。 | 一般作業通知;不需要採取任何動作。 |
| 1827 | CSP:上線程式。 服務正在執行: (%1) 、 上線 Blob 哈希: (%2) 、IsDefault: (%3) 、上線狀態: (%4) 、上線狀態 IsDefault: (%5) 、新上線 Blob 哈希: (%6) 。 | 在上線過程中追蹤值。 | 一般作業通知;不需要採取任何動作。 |
| 1828 | CSP:上線程式。 服務正在執行: (%1) 、 上一個離線 Blob 哈希: (%2) 、IsDefault: (%3) 、上線狀態: (%4) 、上線狀態 IsDefault: (%5) 、新的脫機 Blob 哈希: (%6) 。 | 在下架過程中追蹤值。 | 一般作業通知;不需要採取任何動作。 |
| 1829 | CSP:無法設定範例共用值。 要求的值: (%1) 、 (%2) 與 (%3) 之間的允許值。 | SampleSharing 作業的值無效。 | 連絡客戶支援。 |
| 1830 | CSP:無法設定遙測報告頻率值。 要求的值: (%1) 。 | 設定 TelemetryReportingFrequency 的值失敗。 | 如果問題持續發生,請連絡支持人員。 |
| 1831 | CSP:Get Sense 正在執行。 服務已設定為延遲啟動,且 hasn't 尚未啟動。 |
取得 SenseIsRunning 結果。 | 一般作業通知;不需要採取任何動作。 |
| 1832 | CSP:完成裝置標記群組。 值: (%1) ,IsDefault: (%2) 。 | 完成從登錄取得 DeviceTagging 群組。 | 一般作業通知;不需要採取任何動作。 |
| 1833 | CSP:完成裝置標記關鍵性值。 在登錄中: (%1) ,IsDefault: (%2) ,轉換成功: (%3) ,結果: (%4) 。 | 完成登錄中的 DeviceTagging 嚴重性。 | 一般作業通知;不需要採取任何動作。 |
| 1834 | CSP:完成裝置標記識別方法值。 在登錄中: (%1) ,IsDefault: (%2) ,轉換成功: (%3) ,結果: (%4) 。 | 完成從登錄取得 DeviceTagging Id 方法。 | 一般作業通知;不需要採取任何動作。 |
| 1835 | CSP:設定裝置標記群組完成。 值: (%1) ,結果: (%2) 。 | 已完成設定登錄中的 DeviceTagging 群組。 | 一般作業通知;不需要採取任何動作。 |
| 1836 | CSP:設定裝置標記群組超過允許的限制。 允許: (%1) ,實際: (%2) 。 | 設定 DeviceTagging Group 失敗,因為超過長度上限。 | 如果問題持續發生,請連絡支持人員。 |
| 1837 | CSP:設定 [裝置標記關鍵性] 值完成。 上一個值: (%1) 、IsDefault: (%2) 、新值: (%3) 、結果: (%4) 。 | 設定登錄已完成的 DeviceTagging 嚴重性。 | 一般作業通知;不需要採取任何動作。 |
| 1838 | CSP:無法設定裝置標記重要性值。 要求的值: (%1) 、 (%2) 與 (%3) 之間的允許值。 | 設定 DeviceTagging 嚴重性失敗,因為值不在預期範圍內。 | 如果問題持續發生,請連絡支持人員。 |
| 1839 | CSP:設定裝置標記識別方法值完成。 上一個值: (%1) 、IsDefault: (%2) 、新值: (%3) 、結果: (%4) 。 | 已完成在登錄中設定 DeviceTagging Id 方法。 | 一般作業通知;不需要採取任何動作。 |
| 1840 | CSP:無法設定裝置標記識別方法值。 要求的值: (%1) 、 (%2) 與 (%3) 之間的允許值。 | 設定 DeviceTagging Id 方法失敗,因為值不在預期的範圍內。 | 如果問題持續發生,請連絡支持人員。 |
在系統事件記錄檔中檢視適用於端點的Defender事件
適用於端點的 Microsoft Defender 事件也會出現在系統事件記錄檔中。
若要開啟系統事件記錄檔:
- 在 Windows 功能表上選取 [開始],輸入 事件檢視器,然後按 Enter 鍵以開啟 事件檢視器。
- 在記錄清單的 [ 記錄摘要] 下,卷動直到您看到 [系統]。 按兩下項目以開啟記錄。
如需系統事件記錄檔中適用於端點的 Defender 事件的詳細資訊,以及判斷進一步的疑難解答步驟,您可以使用此表格。
| 事件識別碼 | 郵件 | 描述 | 動作 |
|---|---|---|---|
| 1 | 即時會話 「SenseNdrPktmon」 的備份檔已達到其大小上限。 因此,在空間可用之前,將不會將新事件記錄到此會話。 | 此即時會話會在 Pktmon - 擷取網路流量的內建 Windows 服務,以及以異步方式分析封包的代理程式 (SenseNDR) 之間設定為受限,以防止潛在的效能問題。 因此,如果在短時間內攔截太多封包,導致略過某些封包,可能會出現此警示。 此警示更常見於高網路流量。 | 一般作業通知;不需要採取任何動作。 |
另請參閱
- 將 Windows 用戶端裝置上線
- 設定裝置 Proxy 和網際網路連線能力設定
- 為適用於端點的 Microsoft Defender 疑難排解
- 用戶端分析器概觀
- 下載及執行用戶端分析器
- 了解分析器 HTML 報告
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。