Az Microsoft Defender for Identity érzékelő hibaelhárítása a Defender for Identity naplóinak használatával
A Defender for Identity naplói betekintést nyújtanak abba, hogy az Microsoft Defender for Identity érzékelő egyes összetevői mit csinálnak egy adott időpontban.
A Defender for Identity naplói a Naplók nevű almappában találhatók, ahol a Defender for Identity telepítve van; az alapértelmezett hely a következő: C:\Program Files\Azure Advanced Threat Protection Sensor. Az alapértelmezett telepítési helyen a következő helyen található: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
A Defender for Identity érzékelőnaplói
A Defender for Identity érzékelője a következő naplókat tartalmazza:
Microsoft.Tri.Sensor.log – Ez a napló mindent tartalmaz, ami a Defender for Identity érzékelőjében történik (beleértve a megoldásokat és a hibákat). Fő felhasználási célja az összes művelet általános állapotának lekérése abban a időrendi sorrendben, amelyben a műveletek történtek.
Microsoft.Tri.Sensor-Errors.log – Ez a napló csak azokat a hibákat tartalmazza, amelyeket a Defender for Identity érzékelője észlelt. Fő felhasználási célja az állapotellenőrzések végrehajtása és az adott időpontokkal korrelálandó problémák kivizsgálása.
Microsoft.Tri.Sensor.Updater.log – Ez a napló az érzékelőfrissítő folyamatához használatos, amely felelős a Defender for Identity-érzékelő frissítéséért, ha az automatikusan erre van konfigurálva.
Microsoft.Tri.Sensor.Updater-Errors.log – Ez a napló csak azokat a hibákat tartalmazza, amelyeket a Defender for Identity érzékelő-frissítője észlelt. Fő felhasználási célja az állapotellenőrzések végrehajtása és az adott időpontokkal korrelálandó problémák kivizsgálása.
Megjegyzés:
A naplófájlok maximális mérete legfeljebb 50 MB. A méret elérésekor megnyílik egy új naplófájl, az előző pedig "<eredeti fájlnév-Archived-00000>" névre, ahol a szám minden átnevezéskor növekszik. Alapértelmezés szerint ha már több mint 10 fájl létezik ugyanabból a típusból, a legrégebbi törlődik.
A Defender for Identity üzembehelyezési naplói
A Defender for Identity üzembehelyezési naplói a terméket telepítő felhasználó ideiglenes könyvtárában találhatók. Ezeket a naplókat általában a következő helyen %USERPROFILE%\AppData\Local\Temptalálja: . Ha az üzembe helyezést egy szolgáltatás hajtotta végre, a naplók a vagy C:\Windows\SystemTempa helyen lehetnek C:\Windows\Temp a Windows verziójától és a javítás szintjétől függően.
A Defender for Identity érzékelő üzembehelyezési naplói:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log – Ez a naplófájl az érzékelő üzembe helyezésének teljes folyamatát biztosítja, és a korábban említett ideiglenes mappában található.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log – Ez a napló a Defender for Identity érzékelő üzembe helyezésének lépéseit sorolja fel. Fő felhasználási célja a Defender for Identity érzékelő üzembehelyezési folyamatának nyomon követése.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log – Ez a naplófájl felsorolja a Defender for Identity érzékelő bináris fájljainak üzembe helyezésének lépéseit. Fő felhasználási célja a Defender for Identity érzékelőinek bináris fájljainak nyomon követése.
Megjegyzés:
Az itt említett üzembehelyezési naplók mellett vannak más naplók is, amelyek az "Azure Advanced Threat Protection" kezdetű naplókkal kezdődnek, amelyek további információkat is nyújthatnak az üzembehelyezési folyamatról.