Solución de problemas de ATA mediante los registros de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

Los registros de ATA proporcionan información sobre lo que hace cada componente de ATA en un momento dado.

Registros de puerta de enlace de ATA

En esta sección, todas las referencias a la puerta de enlace de ATA también son relevantes para la puerta de enlace ligera de ATA.

Los registros de puerta de enlace de ATA se encuentran en una subcarpeta denominada Registros donde está instalado ATA; la ubicación predeterminada es: C:\Archivos de programa\Microsoft Advanced Threat Analytics\. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Gateway\Logs.

La puerta de enlace de ATA tiene los registros siguientes:

• Microsoft.Tri.Gateway.log : este registro contiene todo lo que sucede en la puerta de enlace de ATA (incluida la resolución y los errores). Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.

• Microsoft.Tri.Gateway-Resolution.log : este registro contiene los detalles de resolución de las entidades que la puerta de enlace de ATA ve en el tráfico. Su uso principal es investigar problemas de resolución de entidades.

• Microsoft.Tri.Gateway-Errors.log : este registro contiene solo los errores detectados por la puerta de enlace de ATA. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben correlacionarse con horas específicas.

• Microsoft.Tri.Gateway-ExceptionStatistics.log : este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio de puerta de enlace de ATA y se actualiza cada minuto. Su uso principal es comprender si hay nuevos errores o problemas con la puerta de enlace de ATA (porque los errores se agrupan, es más fácil de leer y comprender rápidamente si hay nuevos problemas).

• Microsoft.Tri.Gateway.Updater.log : este registro se usa para el proceso del actualizador de puerta de enlace, que es responsable de actualizar la puerta de enlace de ATA si está configurada para hacerlo automáticamente. Para la puerta de enlace ligera de ATA, el proceso del actualizador de puerta de enlace también es responsable de las limitaciones de recursos de la puerta de enlace ligera de ATA.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log : este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio ATA Updater y se actualiza cada minuto. Permite comprender si hay nuevos errores o problemas con el actualizador de ATA. Los errores se agrupan para facilitar la comprensión rápida de si se detectan nuevos errores o problemas.

Nota:

Los tres primeros archivos de registro tienen un tamaño máximo de hasta 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre> de archivo original-Archivado-00000", donde el número aumenta cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.

Registros del Centro ATA

Los registros del Centro ATA se encuentran en una subcarpeta denominada Registros. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\Logs".

Nota:

Los registros de consola de ATA que anteriormente estaban en registros de IIS ahora se encuentran en Registros del Centro ATA.

El Centro ATA tiene los registros siguientes:

• Microsoft.Tri.Center.log : este registro contiene todo lo que ocurre en el Centro ATA, incluidas las detecciones y los errores. Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.

• Microsoft.Tri.Center-Detection.log : este registro contiene solo los detalles de detección del Centro ATA. Su uso principal es investigar los problemas de detección.

• Microsoft.Tri.Center-Errors.log : este registro contiene solo los errores detectados por el Centro ATA. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben correlacionarse con horas específicas.

• Microsoft.Tri.Center-ExceptionStatistics.log : este registro agrupa todos los errores y excepciones similares, y mide su recuento. Este archivo se inicia vacío cada vez que se inicia el servicio del Centro ATA y se actualiza cada minuto. Su uso principal es comprender si hay nuevos errores o problemas con el Centro ATA: dado que los errores se agrupan, es más fácil comprender rápidamente si hay un nuevo error o problema.

Nota:

Los tres primeros archivos de registro tienen un tamaño máximo de hasta 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre> de archivo original-Archivado-00000", donde el número aumenta cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.

Registros de implementación de ATA

Los registros de implementación de ATA se encuentran en el directorio temporal del usuario que instaló el producto. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Users<logged-in-user>\AppData\Local\Temp (o en un directorio superior a %temp%).

Registros de implementación del Centro ATA:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log: en este registro se enumeran los pasos en el proceso de implementación del Centro ATA. Su uso principal es realizar un seguimiento del proceso de implementación del Centro ATA.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log: en este registro se enumeran los pasos del proceso de implementación de MongoDB en el Centro ATA. Su uso principal es el seguimiento del proceso de implementación de MongoDB.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log: este archivo de registro enumera los pasos en el proceso de implementación de los archivos binarios del Centro ATA. Su uso principal es el seguimiento de la implementación de los archivos binarios del Centro ATA.

Registros de implementación de puerta de enlace ligera de ATA y puerta de enlace ligera de ATA:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log: en este registro se enumeran los pasos en el proceso de implementación de la puerta de enlace de ATA. Su uso principal es realizar un seguimiento del proceso de implementación de la puerta de enlace de ATA.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log: este archivo de registro enumera los pasos en el proceso de implementación de los archivos binarios de la puerta de enlace de ATA. Su uso principal es realizar un seguimiento de la implementación de los archivos binarios de la puerta de enlace de ATA.

Nota:

Además de los registros de implementación que se mencionan aquí, hay otros registros que comienzan por "Microsoft Advanced Threat Analytics" que también pueden proporcionar información adicional sobre el proceso de implementación.

Consulta también

• Requisitos previos de ATA
• Planeamiento de la capacidad de ATA
• Configuración de la colección de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA.