Gennemse hændelser og fejl ved hjælp af Logbog
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vis hændelser i hændelsesloggen for Defender for Endpoint-tjenesten
Du kan gennemse hændelses-id'er i Logbog på individuelle enheder. Dette kan hjælpe, når en enhed f.eks. ikke vises på listen Enheder. I dette scenarie kan du søge efter hændelses-id'er på enheden og derefter bruge tabellen nedenfor til at fastlægge yderligere fejlfindingstrin baseret på det tilsvarende hændelses-id.
Sådan åbner du hændelsesloggen for Defender for Endpoint-tjenesten:
Vælg Start i Windows-menuen, skriv Logbog, og tryk på Enter for at åbne Logbog.
På loglisten under Logoversigt skal du rulle, indtil du ser Microsoft-Windows-SENSE/Operational. Dobbeltklik på elementet for at åbne logfilen.
Du kan også få adgang til logfilen ved at udvide Program- og tjenestelogfiler>Microsoft>Windows>SENSE og vælge Drift.
Bemærk!
SENSE er det interne navn, der bruges til at referere til den adfærdssensor, der driver Microsoft Defender for Endpoint.
Hændelser, der er registreret af tjenesten, vises i logfilen.
Se følgende tabel for at få vist en liste over hændelser, der er registreret af tjenesten.
| Hændelses-id | Meddelelse | Beskrivelse | Handling |
|---|---|---|---|
| 1 | Microsoft Defender for Endpoint tjeneste er startet (version variable). |
Opstår under systemstart, lukning og onboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 2 | Microsoft Defender for Endpoint lukning af tjenesten. | Opstår, når enheden lukkes ned eller offboardes. | Normal driftsmeddelelse; der kræves ingen handling. |
| 3 | Microsoft Defender for Endpoint tjenesten kunne ikke startes. Fejlkode: variable. |
Tjenesten startede ikke. | Gennemse andre meddelelser for at finde mulige årsags- og fejlfindingstrin. |
| 4 | Microsoft Defender for Endpoint tjeneste kontaktede serveren på variable. |
Variabel = URL-adresse til Defender for Endpoint-behandlingsservere. Denne URL-adresse svarer til den, der ses i firewall- eller netværksaktiviteten. |
Normal driftsmeddelelse; der kræves ingen handling. |
| 5 | Microsoft Defender for Endpoint-tjenesten kunne ikke oprette forbindelse til serveren på variable. |
Variabel = URL-adresse til Defender for Endpoint-behandlingsservere. Tjenesten kunne ikke kontakte de eksterne behandlingsservere på den pågældende URL-adresse. |
Kontrollér forbindelsen til URL-adressen. Se Konfigurer proxy og internetforbindelse. |
| 6 | Microsoft Defender for Endpoint-tjenesten er ikke onboardet, og der blev ikke fundet nogen onboardingparametre. | Enheden blev ikke onboardet korrekt og rapporterer ikke til portalen. | Onboarding skal køres, før tjenesten startes. Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 7 | Microsoft Defender for Endpoint-tjenesten kunne ikke læse onboardingparametrene. Fejl! variable. |
Variabel = detaljeret fejlbeskrivelse. Enheden blev ikke onboardet korrekt og rapporterer ikke til portalen. | Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 8 | Microsoft Defender for Endpoint tjeneste kunne ikke rense konfigurationen. Fejlkode: variable. |
Under onboarding: Tjenesten kunne ikke rense konfigurationen under onboarding. Onboardingprocessen fortsætter. Under offboarding: Tjenesten kunne ikke rense konfigurationen under offboarding. Offboardingprocessen blev afsluttet, men tjenesten fortsætter med at køre. |
Onboarding: Der kræves ingen handling. Offboarding: Genstart systemet. Se Onboard Windows-klientenheder. |
| 9 | Microsoft Defender for Endpoint tjeneste kunne ikke ændre starttypen. Fejlkode: variable. |
Under onboarding: Enheden blev ikke onboardet korrekt og rapporterer ikke til portalen. Under offboarding: Tjenestens starttype kunne ikke ændres. Offboarding-processen fortsætter. |
Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 10 | Microsoft Defender for Endpoint-tjenesten kunne ikke bevare onboardingoplysningerne. Fejlkode: variable. |
Enheden blev ikke onboardet korrekt og rapporterer ikke til portalen. | Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 11 | Onboarding eller om bord på Defender for Endpoint-tjenesten er fuldført. | Enheden er onboardet korrekt. | Normal driftsmeddelelse; der kræves ingen handling. Det kan tage flere timer, før enheden vises på portalen. |
| 12 | Microsoft Defender for Endpoint kunne ikke anvende standardkonfigurationen. | Tjenesten kunne ikke anvende standardkonfigurationen. | Denne fejl bør blive løst efter en kort periode. |
| 13 | Microsoft Defender for Endpoint enheds-id beregnet: variable. |
Normal driftsproces. | Normal driftsmeddelelse; der kræves ingen handling. |
| 15 | Microsoft Defender for Endpoint kan ikke starte kommandokanalen med URL-adressen: variable. |
Variabel = URL-adresse til Defender for Endpoint-behandlingsservere. Tjenesten kunne ikke kontakte de eksterne behandlingsservere på den pågældende URL-adresse. |
Kontrollér forbindelsen til URL-adressen. Se Konfigurer proxy og internetforbindelse. |
| 17 | Microsoft Defender for Endpoint tjeneste kunne ikke ændre placeringen af tjenesten Tilsluttet brugeroplevelse og telemetri. Fejlkode: variable. |
Der opstod en fejl med Windows-telemetritjenesten. |
Kontrollér, at diagnosticeringsdatatjenesten er aktiveret">Kontrollér, at diagnosticeringsdatatjenesten er aktiveret. Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 18 | OOBE (Velkommen til Windows) er fuldført. | Tjenesten starter først, når installationen af Windows-opdateringer er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 19 | OOBE (Velkommen til Windows) er endnu ikke fuldført. | Tjenesten starter først, når installationen af Windows-opdateringer er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. Hvis denne fejl fortsætter, efter at systemet er genstartet, skal du kontrollere, at alle Windows-opdateringer er installeret fuldt ud. |
| 20 | Kan ikke vente på, at OOBE (Velkommen til Windows) fuldføres. Fejlkode: variable. |
Intern fejl. | Hvis denne fejl fortsætter efter genstart af systemet, skal du kontrollere, at alle Windows-opdateringer er installeret. |
| 25 | Microsoft Defender for Endpoint tjeneste kunne ikke nulstille tilstandsstatus i registreringsdatabasen. Fejlkode: variable. |
Enheden blev ikke onboardet korrekt. Den rapporterer til portalen. Tjenesten vises dog muligvis ikke som registreret i SCCM eller registreringsdatabasen. | Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 26 | Microsoft Defender for Endpoint tjeneste kunne ikke angive onboardingstatus i registreringsdatabasen. Fejlkode: variable. |
Enheden blev ikke onboardet korrekt. Den rapporterer til portalen. tjenesten vises dog muligvis ikke som registreret i SCCM eller i registreringsdatabasen. |
Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 27 | Microsoft Defender for Endpoint tjeneste kunne ikke aktivere SENSE-klar tilstand i Microsoft Defender Antivirus. Onboardingprocessen mislykkedes. Fejlkode: variable. |
Normalt går Microsoft Defender Antivirus ind i en særlig passiv tilstand, hvis et andet antimalwareprodukt i realtid kører korrekt på enheden, og enheden rapporterer til Defender for Endpoint. | Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. Sørg for, at beskyttelse modmalware kører korrekt i realtid. |
| 28 | Microsoft Defender for Endpoint tilsluttede brugeroplevelser og telemetritjenesteregistrering mislykkedes. Fejlkode: variable. |
Der opstod en fejl med Windows-telemetritjenesten. |
Kontrollér, at diagnosticeringsdatatjenesten er aktiveret. Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 29 | Offboarding-parametrene kunne ikke læses. Fejltype: %1, fejlkode: %2, beskrivelse: %3 | Denne hændelse opstår, når systemet ikke kan læse offboarding-parametrene. | Sørg for, at enheden har internetadgang, og kør derefter hele offboarding-processen igen. Sørg for, at offboarding-pakken ikke er udløbet. |
| 30 | Microsoft Defender for Endpoint-tjenesten kunne ikke deaktivere SENSE-klar tilstand i Microsoft Defender Antivirus. Fejlkode: variable. |
Normalt går Microsoft Defender Antivirus ind i en særlig passiv tilstand, hvis et andet antimalwareprodukt i realtid kører korrekt på enheden, og enheden rapporterer til Defender for Endpoint. | Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. Sørg for, at beskyttelse modmalware kører korrekt i realtid. |
| 31 | Microsoft Defender for Endpoint tilsluttede brugeroplevelser og telemetritjeneste kunne ikke registreres. Fejlkode: variable. |
Der opstod en fejl med Windows-telemetritjenesten under onboarding. Offboarding-processen fortsætter. | Kontrollér, om der er fejl med Windows-telemetritjenesten. |
| 32 | Microsoft Defender for Endpoint tjeneste kunne ikke anmode om at stoppe sig selv efter offboarding-processen. Fejlkode: %1 | Der opstod en fejl under offboarding. | Genstart enheden. |
| 33 | Microsoft Defender for Endpoint tjeneste kunne ikke bevare SENSE GUID. Fejlkode: variable. |
Der bruges et entydigt id til at repræsentere hver enhed, der rapporterer til portalen. Hvis identifikatoren ikke bevares, vises den samme enhed muligvis to gange på portalen. |
Kontrollér tilladelserne i registreringsdatabasen på enheden for at sikre, at tjenesten kan opdatere registreringsdatabasen. |
| 34 | Microsoft Defender for Endpoint tjeneste kunne ikke tilføje sig selv som en afhængighed af tjenesten Tilsluttet brugeroplevelse og telemetri, hvilket medfører, at onboardingprocessen mislykkes. Fejlkode: variable. |
Der opstod en fejl med Windows-telemetritjenesten. |
Kontrollér, at diagnosticeringsdatatjenesten er aktiveret. Kontrollér, at onboardingindstillingerne og scripts er installeret korrekt. Prøv at geninstallere konfigurationspakkerne. Se Onboard Windows-klientenheder. |
| 35 | Kommunikationskvoter opdateres. Diskkvote i MB: variable, kvote for daglig overførsel i MB: variable |
Variabel = diskkvota i MB. | Normal driftsmeddelelse; der kræves ingen handling. |
| 36 | Microsoft Defender for Endpoint tilsluttede brugeroplevelser og telemetritjenesteregistrering lykkedes. Afslutningskode: variable. |
Registrering af Defender for Endpoint med tjenesten Tilsluttet brugeroplevelse og telemetri blev fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 37 | Microsoft Defender for Endpoint Et modul er ved at overskride dets kvote. Modul: %1, kvote: {%2} {%3}, Procentdel af kvoteudnyttelse: %4. | Enheden er tæt på den tildelte kvote for det aktuelle 24-timers vindue. Det er ved at blive begrænset. | Normal driftsmeddelelse; der kræves ingen handling. |
| 38 | Netværksforbindelsen er identificeret som lav. Microsoft Defender for Endpoint kontakter serveren hvert %1. minut. Forbrugsbaseret forbindelse: %2, internet tilgængelig: %3, gratis netværk tilgængeligt: %4. | Enheden bruger et netværk efter forbrug og kontakter serveren sjældnere. | Normal driftsmeddelelse; der kræves ingen handling. |
| 39 | Netværksforbindelsen identificeres som normal. Microsoft Defender for Endpoint kontakter serveren hvert %1. minut. Forbrugsbaseret forbindelse: %2, internet tilgængelig: %3, gratis netværk tilgængeligt: %4. | Enheden bruger ikke en betalingsforbindelse efter forbrug og kontakter serveren som normalt. | Normal driftsmeddelelse; der kræves ingen handling. |
| 40 | Batteritilstanden er identificeret som lav. Microsoft Defender for Endpoint kontakter serveren hvert %1. minut. Batteritilstand: %2. | Enheden har lavt batteriniveau og kontakter serveren sjældnere. | Normal driftsmeddelelse; der kræves ingen handling. |
| 41 | Batteritilstanden identificeres som normal. Microsoft Defender for Endpoint kontakter serveren hvert %1. minut. Batteritilstand: %2. | Enheden har ikke lavt batteriniveau og kontakter serveren som normalt. | Normal driftsmeddelelse; der kræves ingen handling. |
| 42 | Microsoft Defender for Endpoint komponent kunne ikke udføre handlingen. Komponent: %1, handling: %2, undtagelsestype: %3, undtagelsesmeddelelse: %4 | Intern fejl. Tjenesten kunne ikke startes. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 43 | Microsoft Defender for Endpoint komponent kunne ikke udføre handlingen. Komponent: %1, handling: %2, undtagelsestype: %3, undtagelsesfejl: %4, undtagelsesmeddelelse: %5 | Intern fejl. Tjenesten kunne ikke startes. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 44 | Offboarding af Defender for Endpoint-tjenesten er fuldført. | Tjenesten var offboarded. | Normal driftsmeddelelse; der kræves ingen handling. |
| 45 | Registreringen og start af hændelsessporingssessionen [%1] blev ikke udført. Fejlkode: %2 | Der opstod en fejl under start af tjenesten under oprettelse af ETW-sessionen. Dette forårsagede en startfejl for tjenesten. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 46 | Registreringen og start af hændelsessporingssessionen [%1] mislykkedes på grund af manglende ressourcer. Fejlkode: %2. Dette skyldes sandsynligvis, at der er for mange aktive hændelsessporingssessioner. Tjenesten prøver igen om 1 minut. | Der opstod en fejl under start af tjenesten under oprettelse af ETW-sessionen på grund af manglende ressourcer. Tjenesten kører, men rapporterer ikke sensorhændelser, før ETW-sessionen starter. | Normal driftsmeddelelse; der kræves ingen handling. Tjenesten forsøger at starte sessionen hvert minut. |
| 47 | Hændelsessporingssessionen blev registreret og startet – gendannet efter tidligere mislykkede forsøg. | Denne hændelse følger den forrige hændelse efter vellykket start af ETW-sessionen. | Normal driftsmeddelelse; der kræves ingen handling. |
| 48 | Det lykkedes ikke at føje en provider [%1] til hændelsessporingssessionen [%2]. Fejlkode: %3. Det betyder, at hændelser fra denne udbyder ikke rapporteres. | Det lykkedes ikke at føje en provider til ETW-sessionen. Derfor rapporteres providerhændelserne ikke. | Kontrollér fejlkoden. Hvis fejlen fortsætter, skal du kontakte Support. |
| 49 | Ugyldig skykonfigurationskommando blev modtaget og ignoreret. Version: %1, status: %2, fejlkode: %3, meddelelse: %4 | Der blev modtaget en ugyldig konfigurationsfil fra cloudtjenesten, der blev ignoreret. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 50 | Den nye cloudkonfiguration blev anvendt. Version: %1. | Der blev anvendt en ny konfiguration fra cloudtjenesten. | Normal driftsmeddelelse; der kræves ingen handling. |
| 51 | Den nye cloudkonfiguration kunne ikke anvendes, version: %1. Den sidst kendte fungerende konfiguration, version %2, blev anvendt. | Der blev modtaget en ugyldig konfigurationsfil fra cloudtjenesten. Den sidst kendte fungerende konfiguration blev anvendt. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 52 | Den nye cloudkonfiguration kunne ikke anvendes, version: %1. Det lykkedes heller ikke at anvende den sidst kendte fungerende konfiguration, version %2. Standardkonfigurationen blev anvendt. | Der blev modtaget en ugyldig konfigurationsfil fra cloudtjenesten. Den sidst kendte fungerende konfiguration kunne ikke anvendes - og standardkonfigurationen blev anvendt. | Tjenesten forsøger at downloade en ny konfigurationsfil inden for 5 minutter. Hvis du ikke kan se begivenheden #50, skal du kontakte Support. |
| 53 | Cloudkonfiguration indlæst fra vedvarende lager, version: %1. | Konfigurationen blev indlæst fra det vedvarende lager ved start af tjenesten. | Normal driftsmeddelelse; der kræves ingen handling. |
| 54 | Den globale tilstand (pr. mønster) blev ændret. Tilstand: %1, mønster: %2 | Hvis tilstand = 0: Regel for rapportering af cyberdata har nået sin definerede capping-kvote og sender ikke flere data, før kvoten for capping udløber. Hvis tilstand = 1: Den kvota, der afpper, er udløbet, og reglen fortsætter med at sende data. | Normal driftsmeddelelse; der kræves ingen handling. |
| 55 | Autologgeren secure ETW kunne ikke oprettes. Fejlkode: %1 | Det lykkedes ikke at oprette den sikre ETW-logføring. | Genstart enheden. Hvis denne fejl fortsætter, skal du kontakte support. |
| 56 | Autologgeren secure ETW kunne ikke fjernes. Fejlkode: %1 | Den sikre ETW-session kunne ikke fjernes på offboarding. | Kontakt support. |
| 57 | Hentning af et snapshot af computeren til fejlfindingsformål. | Der indsamles en undersøgelsespakke, som også kaldes en kriminalteknisk pakke. | Normal driftsmeddelelse; der kræves ingen handling. |
| 59 | Starter kommando: %1 | Starter udførelsen af svarkommandoen. | Normal driftsmeddelelse; der kræves ingen handling. |
| 60 | Kommandoen %1 kunne ikke køres. Fejl! %2. | Svarkommandoen kunne ikke udføres. | Hvis denne fejl fortsætter, skal du kontakte support. |
| 61 | Kommandoparametre for dataindsamling er ugyldige: SasUri: %1, compressionLevel: %2. | Kommandoargumenterne for dataindsamlingen kunne ikke læses eller fortolkes (ugyldige argumenter). | Hvis denne fejl fortsætter, skal du kontakte support. |
| 62 | Den tilsluttede brugeroplevelses- og telemetritjeneste kunne ikke startes. Fejlkode: %1 | Tjenesten Tilsluttet brugeroplevelse og telemetri (diagtrack) kunne ikke starte. Telemetri, der ikke er Microsoft Defender for Endpoint, sendes ikke fra denne computer. | Se efter flere tip til fejlfinding i hændelsesloggen: Microsoft-Windows-UniversalTelemetryClient/Operational. |
| 63 | Opdaterer starttypen for den eksterne tjeneste. Navn: %1, faktisk starttype: %2, forventet starttype: %3, afslutningskode: %4 | Opdaterede starttypen for den eksterne tjeneste. | Normal driftsmeddelelse; der kræves ingen handling. |
| 64 | Start stoppede ekstern tjeneste. Navn: %1, afslutningskode: %2 | Starter en ekstern tjeneste. | Normal driftsmeddelelse; der kræves ingen handling. |
| 65 | Minifilterdriveren til Microsoft-sikkerhedshændelser blev ikke indlæst. Fejlkode: %1 | Det lykkedes ikke at indlæse MsSecFlt.sys filsystemets minifilter. | Genstart enheden. Hvis denne fejl fortsætter, skal du kontakte support. |
| 66 | Politikopdatering: Ventetidstilstand - %1 | Politikken for C-&C-forbindelseshyppighed blev opdateret. | Normal driftsmeddelelse; der kræves ingen handling. |
| 68 | Tjenestens starttype er uventet. Tjenestenavn: %1, faktisk starttype: %2, forventet starttype: %3 | Uventet starttype for ekstern tjeneste. | Ret starttypen for den eksterne tjeneste. |
| 69 | Tjenesten er stoppet. Tjenestenavn: %1 | Den eksterne tjeneste er stoppet. | Start den eksterne tjeneste. |
| 70 | Politikopdatering: Tillad eksempelsamling - %1 | Politikken for indsamling af eksempler blev opdateret. | Normal driftsmeddelelse; der kræves ingen handling. |
| 71 | Kommandoen %1 blev kørt | Kommandoen blev udført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 72 | Forsøgte at sende den første fulde computerprofilrapport. Resultatkode: %1 | Kun til orientering. | Normal driftsmeddelelse; der kræves ingen handling. |
| 73 | Assistent starter for platformen: %1 | Kun til orientering. | Normal driftsmeddelelse; der kræves ingen handling. |
| 74 | Enhedskoden i registreringsdatabasen overskrider længdegrænsen. Kodenavn: %2. Længdegrænse: %1. | Enhedskoden overskrider længdegrænsen. | Brug et kortere enhedsmærke. |
| 81 | Det lykkedes ikke at oprette Microsoft Defender for Endpoint ETW-autologger. Fejlkode: %1 | ETW-sessionen kunne ikke oprettes. | Genstart enheden. Hvis denne fejl fortsætter, skal du kontakte support. |
| 82 | Det lykkedes ikke at fjerne Microsoft Defender for Endpoint etw-autologger. Fejlkode: %1 | ETW-sessionen kunne ikke slettes. | Kontakt support. |
| 84 | Angiv Microsoft Defender tilstanden Antivirus, der kører. Gennemtving passiv tilstand: %1, resultatkode: %2. | Angiv kørselstilstand for defender (aktiv eller passiv). | Normal driftsmeddelelse; der kræves ingen handling. |
| 85 | Det lykkedes ikke at udløse Microsoft Defender for Endpoint eksekverbar fil. Fejlkode: %1 | Den eksekverbare AssistentIR-stjerne mislykkedes. | Genstart enheden. Hvis denne fejl fortsætter, skal du kontakte support. |
| 86 | Start igen stoppede den eksterne tjeneste, der skulle være oppe. Navn: %1, afslutningskode: %2 | Starter den eksterne tjeneste igen. | Normal driftsmeddelelse; der kræves ingen handling. |
| 87 | Den eksterne tjeneste kan ikke startes. Navn: %1 | Den eksterne tjeneste kunne ikke startes. | Kontakt support. |
| 88 | Opdaterer starttypen for den eksterne tjeneste igen. Navn: %1, faktisk starttype: %2, forventet starttype: %3, afslutningskode: %4 | Opdaterede starttypen for den eksterne tjeneste. | Normal driftsmeddelelse; der kræves ingen handling. |
| 89 | Starttypen for den eksterne tjeneste kan ikke opdateres. Navn: %1, faktisk starttype: %2, forventet starttype: %3 | Starttypen for den eksterne tjeneste kan ikke opdateres. | Kontakt support. |
| 90 | Det lykkedes ikke at konfigurere System Guard Runtime Monitor for at oprette forbindelse til cloudtjenesten i det geografiske område %1. Fejlkode: %2 | System Guard sender Runtime Monitor ikke attestationsdata til cloudtjenesten. | Kontrollér tilladelserne til registreringsstien: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Hvis der ikke er nogen problemer, der opdages, skal du kontakte Support. |
| 91 | Det lykkedes ikke at fjerne System Guard Oplysninger om geo-område for kørselsovervågning. Fejlkode: %1 | System Guard sender Runtime Monitor ikke attestationsdata til cloudtjenesten. | Kontrollér tilladelserne til registreringsstien: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Hvis der ikke er nogen problemer, der opdages, skal du kontakte Support. |
| 92 | Stopper afsendelsen af sensor-cyberdatakvoten, fordi datakvoten er overskredet. Sender igen, når kvoteperioden passerer. Tilstandsmaske: %1 | Overskride grænsen for begrænsning. | Normal driftsmeddelelse; der kræves ingen handling. |
| 93 | Genoptager afsendelse af sensor cyberdata. Tilstandsmaske: %1 | Genoptag indsendelse af cyberdata. | Normal driftsmeddelelse; der kræves ingen handling. |
| 94 | Microsoft Defender for Endpoint eksekverbare fil er startet | Den eksekverbare SenseCE-fil er startet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 95 | Microsoft Defender for Endpoint eksekverbare fil er afsluttet | Den eksekverbare SenseCE-fil er afsluttet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 96 | Microsoft Defender for Endpoint Init har kaldt. Resultatkode: %2 | Den eksekverbare SenseCE-fil har kaldt MCE-initialisering. | Normal driftsmeddelelse; der kræves ingen handling. |
| 97 | Der er forbindelsesproblemer med cloudmiljøet i DLP-scenariet | Der er problemer med netværksforbindelsen, der påvirker DLP-klassificeringsflowet. | Kontrollér netværksforbindelsen. |
| 98 | Forbindelsen til cloudmiljøet for DLP-scenariet er blevet gendannet | Forbindelsen til netværket blev gendannet, og DLP-klassificeringsflowet kan fortsætte. | Normal driftsmeddelelse; der kræves ingen handling. |
| 99 | Sense stødte på følgende fejl under kommunikation med serveren: (%1). Resultat: (%2) | Der opstod en kommunikationsfejl. | Se følgende hændelser i hændelsesloggen for at få flere oplysninger. |
| 100 | Microsoft Defender for Endpoint eksekverbare fil kunne ikke startes. Fejlkode: %1 | Den eksekverbare SenseCE-fil kunne ikke startes. | Genstart enheden. Hvis denne fejl fortsætter, skal du kontakte support. |
| 102 | Microsoft Defender for Endpoint eksekverbare netværksregistrerings- og svar-fil er startet | Den eksekverbare SenseNdr-fil er startet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 103 | Microsoft Defender for Endpoint Netværksregistrering og Svar eksekverbar er afsluttet | Den eksekverbare SenseNdr-fil er afsluttet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 104 | Asynkron driver kunne ikke sættes i kø. Fejlkode: %1. | Opstår under offboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 105 | Der kunne ikke ventes på fjernelse af driveren | Opstår under offboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 106 | Microsoft Defender for Endpoint tjenesten kunne ikke startes. Fejlkode %1 ; Dll-filen til MsSense kunne ikke indlæses. Modul. | Opstår under start. | Kontakt support. |
| 107 | Microsoft Defender for Endpoint tjenesten kunne ikke startes. Fejlkode %1 ; Problem med MsSense DLL-modulet. | Opstår under start. | Kontakt support. |
| 108 | Opdateringsfase:%1, ny platformversion: %2, meddelelse: %3. | Opstår under opdatering. | Normal driftsmeddelelse; der kræves ingen handling. |
| 109 | Opdateringsfase:%1 ny platformversion: %2, fejlmeddelelse: %3, fejl: %4. | Opstår under opdatering. | Kontakt support. |
| 110 | Det lykkedes ikke at fjerne MDEContain WFP-filtre. | Opstår under offboarding. | Kontakt support. |
| 307 | Drivertilladelserne kunne ikke opdateres Fejlkode: %1. | Opstår under onboarding. | Kontakt support. |
| 308 | Det lykkedes ikke at ACL på mappen %1 Fejlkode: %2. | Opstår under onboarding. | Kontakt support. |
| 401 | Microsoft Defender for Endpoint tjeneste kunne ikke oprette en nøgle. Fejlkode: %1. | Kryptografinøglen kunne ikke oprettes. | Hvis computeren ikke rapporterer, skal du kontakte support. Ellers kræves der ingen handling. |
| 402 | Microsoft Defender for Endpoint tjeneste kunne ikke bevare godkendelsestilstanden. Fejlkode: %1. | Godkendelsestilstanden kunne ikke fastholdes. | Hvis en enhed ikke rapporterer, skal du kontakte support. Ellers kræves der ingen handling. |
| 403 | Registreringen af Microsoft Defender for Endpoint tjeneste er fuldført. | Registreringen til godkendelsestjenesten lykkedes. | Normal driftsmeddelelse; der kræves ingen handling. |
| 404 | Microsoft Defender for Endpoint tjeneste oprettede en nøgle. | Vellykket generering af kryptografinøgle. | Normal driftsmeddelelse; der kræves ingen handling. |
| 405 | Der kunne ikke kommunikeres med godkendelsestjenesten. Anmodningen %1 mislykkedes, hresult: %2, HTTP-fejlkode: %3. | Anmodningen kunne ikke sendes til godkendelsestjenesten. | Normal driftsmeddelelse; der kræves ingen handling. |
| 406 | Anmodning om %1 afvist af godkendelsestjenesten. Hresult: %2, fejlkode: %3. | Anmodningen returnerede et uønsket svar. | Normal driftsmeddelelse; der kræves ingen handling. |
| 407 | Microsoft Defender for Endpoint tjeneste kunne ikke signere meddelelsen (godkendelse). Fejlkode: %1. | Anmodningen kunne ikke signeres. | Normal driftsmeddelelse; der kræves ingen handling. |
| 408 | Microsoft Defender for Endpoint tjeneste kunne ikke fjerne permanent godkendelsestilstand. Tilstand: %1, fejlkode: %2. | Godkendelsestilstanden kunne ikke fastholdes. | Hvis en enhed ikke rapporterer, skal du kontakte support. Ellers kræves der ingen handling. |
| 409 | Microsoft Defender for Endpoint tjenesten kunne ikke åbne nøglen. Fejlkode: %1. | Kryptografinøglen kunne ikke åbnes. | Hvis en enhed ikke rapporterer, skal du kontakte support. Ellers kræves der ingen handling. |
| 410 | Registrering er påkrævet som en del af omkboarding af Microsoft Defender for Endpoint tjeneste. | Opstår under reonboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 411 | Overførslen af cybertelemetri er blevet suspenderet for Microsoft Defender for Endpoint tjeneste på grund af ugyldigt/udløbet token. | Cyber upload midlertidigt suspenderet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 412 | Upload af cybertelemetri blev genoptaget for Microsoft Defender for Endpoint tjeneste på grund af et nyligt opdateret token. | Cyber upload blev genoptaget. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1800 | CSP: Hent Node's værdi. NodeId: (%1), TokenName: (%2). |
En handling af Get er ved at starte. | Kontakt support. |
| 1801 | CSP: Værdien kunne ikke hentes Node's . NodeId: (%1), TokenName: (%2), Result: (%3). |
En handling af Get mislykkedes. | Kontakt support. |
| 1802 | CSP: Hent Node's værdien er fuldført. NodeId: (%1), TokenName: (%2), Result: (%3). |
Handlingen Get blev udført. | Kontakt support. |
| 1803 | CSP: Hent den sidste forbundne værdi er fuldført. Resultat (%1), standard: (%2). | Sidste gang enheden kommunikerede med CNC. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1804 | CSP: Hent værdien for organisations-id'et er fuldført. Resultat: (%1), standard: (%2). | Org-id-enheden får under onboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1805 | CSP: Get Sense kører værdien er fuldført. Resultat: (%1). | Sans kørsel af en meddelelse efter onboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1806 | CSP: Værdien for Onboarding State er fuldført. Resultat: (%1), standard: (%2). | Get er Sense onboardet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1807 | CSP: Hent onboarding-værdien er fuldført. Onboarding-Blob Hash: (%1), IsDefault: (%2), Onboarding State: (%3), Onboarding State IsDefault: (%4). | Get is Sense onboardet og onboarding af blob-hash. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1808 | CSP: Hent værdien for Offboarding er fuldført. Offboarding-blob-hash: (%1), standard: (%2). | Få offboarding-blob-hash. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1809 | CSP: Hent værdien for eksempeldeling er fuldført. Resultat: (%1), standard: (%2). | Hent er, at eksempelupload er tilladt. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1810 | CSP: Onboarding-proces. Startet. | Begyndte onboardingflow. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1811 | CSP: Onboarding-proces. Sletning af blob til Offboarding er fuldført. Resultat: (%1). | Slettede offboarding-blob som en del af onboardingflowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1812 | CSP: Onboarding-proces. Skrivning af Onboarding-blob er fuldført. Resultat: (%1). | Skrev onboarding-blob til registreringsdatabasen som en del af onboardingflowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1813 | CSP: Onboarding-proces. Tjenesten blev startet. | Startede Sense-tjenesten som en del af onboardingflowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1814 | CSP: Onboarding-proces. Den tjeneste, der afventer kørsel, er fuldført. Resultat: (%1). | Færdig med at vente på, at Sense starter som en del af onboardingflowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1815 | CSP: Angiv værdien for eksempeldeling som fuldført. Forrige værdi: (%1), Standard: (%2), Ny værdi: (%3), Resultat: (%4). | Angiv værdi for eksempeldeling. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1816 | CSP: Offboarding-proces. Sletning af onboarding-blob er fuldført. Resultat (%1). | Onboarding-blob er slettet som en del af offboarding-flowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1817 | CSP: Offboarding-proces. Afskrivning af blob for Offboarding er fuldført. Resultat (%1). | Skrev offboarding-blob til registreringsdatabasen som en del af offboarding-flowet. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1818 | CSP: Angiv Node's værdi er startet. NodeId: (%1), TokenName: (%2). |
En handling af set er ved at starte. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1819 | CSP: Værdien kunne ikke angives Node's . NodeId: (%1), TokenName: (%2), Result: (%3). |
En handling af sættet mislykkedes. | Kontakt support. |
| 1820 | CSP: Angiv Node's værdien er fuldført. NodeId: (%1), TokenName: (%2), Result: (%3). |
En handling af sættet blev udført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1821 | CSP: Angiv, hvor ofte telemetrirapportering er startet. Ny værdi: (%1). | Start med at angive værdien for TelemetryReportingFrequency. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1822 | CSP: Angiv frekvensen for telemetrirapportering som fuldført. Forrige værdi: (%1), IsDefault: (%2), Ny værdi: (%3), Resultat: (%4). | Afslut angivelse af værdien for TelemetryReportingFrequency. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1823 | CSP: Hent frekvensen for telemetrirapportering er fuldført. Værdi: (%1), Registreringsdatabaseværdi: (%2), Standard: (%3). | Henter værdien af TelemetryReportingFrequency. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1824 | CSP: Hent gruppe-id'er er fuldført. Værdi: (%1), standard: (%2). | Der blev hentet groupIds fra registreringsdatabasen. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1825 | CSP: Angiv gruppe-id'er overskred den tilladte grænse. Tilladt: (%1), Faktisk: (%2). | GroupIds kunne ikke angives pga. længden. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1826 | CSP: Angiv gruppe-id'er er fuldført. Værdi: (%1), resultat: (%2). | Angiv groupIds. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1827 | CSP: Onboarding-proces. Tjenesten kører: (%1), tidligere Onboarding Blob Hash: (%2), IsDefault: (%3), Onboarding State: (%4), Onboarding State IsDefault: (%5), New Onboarding Blob Hash: (%6). | Sporingsværdier som en del af onboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1828 | CSP: Onboarding-proces. Tjenesten kører: (%1), tidligere Offboarding Blob Hash: (%2), IsDefault: (%3), Onboarding State: (%4), Onboarding State IsDefault: (%5), New Offboarding Blob Hash: (%6). | Sporingsværdier som en del af offboarding. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1829 | CSP: Værdien for eksempeldeling kunne ikke angives. Anmodet værdi: (%1), Tilladte værdier mellem (%2) og (%3). | Ugyldig værdi for Eksempeldelingshandling. | Kontakt support. |
| 1830 | CSP: Telemetrirapporteringsfrekvensværdien kunne ikke angives. Anmodet værdi: (%1). | Det lykkedes ikke at angive værdien for TelemetryReportingFrequency. | Kontakt support, hvis problemet fortsætter. |
| 1831 | CSP: Get Sense kører. Tjenesten er konfigureret som forsinkelsesstart og hasn't startet endnu. |
Get SenseIsRunning resultat. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1832 | CSP: Hent gruppen for enhedsmærkning er fuldført. Værdi: (%1), standard: (%2). | Hent DeviceTagging Group fra registreringsdatabasen er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1833 | CSP: Hent værdien for enhedens mærkning af kritiskhed er fuldført. I registreringsdatabasen: (%1), IsDefault: (%2), Konvertering lykkedes: (%3), Resultat: (%4). | Hent DeviceTagging Criticality fra registreringsdatabasen er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1834 | CSP: Hent værdien for identifikationsmetoden for enhedsmærkning er fuldført. I registreringsdatabasen: (%1), IsDefault: (%2), Konvertering lykkedes: (%3), Resultat: (%4). | Metoden DeviceTagging Id fra registreringsdatabasen blev fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1835 | CSP: Angiv gruppen for enhedsmærkning er fuldført. Værdi: (%1), resultat: (%2). | Angiv DeviceTagging Group i registreringsdatabasen er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1836 | CSP: Angiv en enhedskodegruppe overskred den tilladte grænse. Tilladt: (%1), Faktisk: (%2). | Angiv DeviceTagging Group mislykkedes, da den maksimale længdegrænse er overskredet. | Kontakt support, hvis problemet fortsætter. |
| 1837 | CSP: Angiv værdien for enhedens mærkningskritiskhed som fuldført. Forrige værdi: (%1), Standard: (%2), Ny værdi: (%3), Resultat: (%4). | Angiv DeviceTagging Criticality i registreringsdatabasen er fuldført. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1838 | CSP: Værdien for enhedens mærkningskritiske værdi kunne ikke angives. Anmodet værdi: (%1), Tilladte værdier mellem (%2) og (%3). | Angiv DeviceTagging Criticality mislykkedes, da værdien ikke var inden for det forventede interval. | Kontakt support, hvis problemet fortsætter. |
| 1839 | CSP: Angiv værdien for identifikationsmetoden for enhedsmarkering som fuldført. Forrige værdi: (%1), Standard: (%2), Ny værdi: (%3), Resultat: (%4). | Metoden DeviceTagging Id er angivet i registreringsdatabasen. | Normal driftsmeddelelse; der kræves ingen handling. |
| 1840 | CSP: Det lykkedes ikke at angive værdien for identifikationsmetoden for enhedsmærkning. Anmodet værdi: (%1), Tilladte værdier mellem (%2) og (%3). | Metoden DeviceTagging Id blev ikke angivet, da værdien ikke var inden for det forventede interval. | Kontakt support, hvis problemet fortsætter. |
Vis Defender for Endpoint-hændelser i systemhændelsesloggen
Microsoft Defender for Endpoint hændelser vises også i systemhændelsesloggen.
Sådan åbner du systemhændelsesloggen:
- Vælg Start i Windows-menuen, skriv Logbog, og tryk på Enter for at åbne Logbog.
- Rul ned under Logoversigt på listen over logfiler, indtil du ser System. Dobbeltklik på elementet for at åbne logfilen.
Du kan bruge denne tabel til at få flere oplysninger om Defender for Endpoint-hændelser i logfilen for systemhændelser og til at fastlægge yderligere fejlfindingstrin.
| Hændelses-id | Meddelelse | Beskrivelse | Handling |
|---|---|---|---|
| 1 | Sikkerhedskopifilen til realtidssessionen "SenseNdrPktmon" har nået sin maksimale størrelse. Derfor logføres nye hændelser ikke i denne session, før der er mere ledig plads. | Denne realtidssession mellem Pktmon – den indbyggede Windows-tjeneste, der registrerer netværkstrafik og vores agent (SenseNDR) – der asynkront analyserer pakker, er konfigureret til at være begrænset for at forhindre potentielle problemer med ydeevnen. Derfor kan denne besked blive vist, hvis der opfanges for mange pakker inden for en kort tidsperiode, hvilket medfører, at nogle pakker springes over. Denne besked er mere almindelig med høj netværkstrafik. | Normal driftsmeddelelse; der kræves ingen handling. |
Se også
- Indbyggede Windows-klientenheder
- Konfigurer indstillingerne for enhedsproxy og internetforbindelse
- Foretag fejlfinding af Microsoft Defender for Endpoint
- Oversigt over klientanalyse
- Download og kør klientanalysen
- Forstå HTML-analyserapporten
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.