Fejlfinding af Microsoft Defender for Identity sensor ved hjælp af Defender for Identity-loggene
Defender for Identity-loggene giver indsigt i, hvad hver enkelt komponent i Microsoft Defender for Identity sensor foretager sig på et givent tidspunkt.
Defender for Identity-loggene er placeret i en undermappe med navnet Logge , hvor Defender for Identity er installeret. standardplaceringen er: C:\Program Files\Azure Advanced Threat Protection Sensor. På standardinstallationsplaceringen kan du finde den på: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Defender for Identity-sensorlogge
Defender for Identity-sensoren har følgende logge:
Microsoft.Tri.Sensor.log – Denne log indeholder alt, hvad der sker i Defender for Identity-sensoren (herunder opløsning og fejl). Dens vigtigste brug er at få den samlede status for alle operationer i den kronologiske rækkefølge, hvor de fandt sted.
Microsoft.Tri.Sensor-Errors.log – denne log indeholder kun de fejl, der registreres af Defender for Identity-sensoren. Dens primære brug er at udføre tilstandskontroller og undersøge problemer, der skal korreleres til bestemte tidspunkter.
Microsoft.Tri.Sensor.Updater.log – Denne log bruges til sensoropdateringsprocessen, som er ansvarlig for at opdatere Defender for Identity-sensoren, hvis den er konfigureret til at gøre det automatisk.
Microsoft.Tri.Sensor.Updater-Errors.log – Denne log indeholder kun de fejl, der registreres af Defender for Identity-sensoropdateringsprogrammet. Dens primære brug er at udføre tilstandskontroller og undersøge problemer, der skal korreleres til bestemte tidspunkter.
Bemærk!
Logfilerne har en maksimal størrelse på op til 50 MB. Når denne størrelse er nået, åbnes en ny logfil, og den forrige omdøbes til "<original file name-Archived-00000>", hvor tallet øges, hver gang det omdøbes. Hvis der allerede findes mere end 10 filer af samme type, slettes den ældste som standard.
Defender for Identity-installationslogge
Defender for Identity-installationslogfilerne er placeret i mappen temp for den bruger, der installerede produktet. Du kan typisk finde disse logge på %USERPROFILE%\AppData\Local\Temp. Hvis installationen blev udført af en tjeneste, kan loggene være placeret i C:\Windows\Temp eller C:\Windows\SystemTemp, afhængigt af din Windows-version og dit programrettelsesniveau.
Installationslogge for Identitetsføler:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log – Denne logfil indeholder hele processen med udrulning af sensorer og findes i den temp-mappe, der tidligere er nævnt.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log – I denne logfil vises trinnene i processen for udrulning af Defender for Identity-sensoren. Dens primære brug er sporing af Defender for Identity-sensorudrulningsprocessen.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log – Denne logfil viser trinnene i processen for installation af Defender for Identity-sensorens binære filer. Dens primære brug er sporing af installationen af Defender for Identity-sensor binære.
Bemærk!
Ud over de installationslogge, der er nævnt her, er der andre logge, der starter med "Azure Advanced Threat Protection", som også kan give yderligere oplysninger om udrulningsprocessen.