Solución de problemas de Microsoft Defender for Identity sensor mediante los registros de Defender for Identity
Los registros de Defender for Identity proporcionan información sobre lo que hace cada componente de Microsoft Defender for Identity sensor en un momento dado.
Los registros de Defender for Identity se encuentran en una subcarpeta denominada Registros donde está instalado Defender for Identity; la ubicación predeterminada es: C:\Program Files\Azure Advanced Threat Protection Sensor
. En la ubicación de instalación predeterminada, se puede encontrar en: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs
.
Registros del sensor de Defender for Identity
El sensor de Defender for Identity tiene los registros siguientes:
Microsoft.Tri.Sensor.log : este registro contiene todo lo que sucede en el sensor de Defender for Identity (incluida la resolución y los errores). Su uso principal es obtener el estado general de todas las operaciones en el orden cronológico en el que se produjeron.
Microsoft.Tri.Sensor-Errors.log : este registro contiene solo los errores detectados por el sensor de Defender for Identity. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben correlacionarse con horas específicas.
Microsoft.Tri.Sensor.Updater.log : este registro se usa para el proceso del actualizador de sensores, que es responsable de actualizar el sensor de Defender for Identity si está configurado para hacerlo automáticamente.
Microsoft.Tri.Sensor.Updater-Errors.log : este registro contiene solo los errores detectados por el actualizador del sensor de Defender for Identity. Su uso principal es realizar comprobaciones de estado e investigar problemas que deben correlacionarse con horas específicas.
Nota:
Los archivos de registro tienen un tamaño máximo de 50 MB. Cuando se alcanza ese tamaño, se abre un nuevo archivo de registro y se cambia el nombre del anterior a "<nombre> de archivo original-Archivado-00000", donde el número aumenta cada vez que se cambia el nombre. De forma predeterminada, si ya existen más de 10 archivos del mismo tipo, se eliminan los más antiguos.
Registros de implementación de Defender for Identity
Los registros de implementación de Defender for Identity se encuentran en el directorio temporal del usuario que instaló el producto. Normalmente, puede encontrar estos registros en %USERPROFILE%\AppData\Local\Temp
. Si un servicio realizó la implementación, es posible que los registros se encuentren en C:\Windows\Temp
o C:\Windows\SystemTemp
, en función de la versión de Windows y el nivel de revisión.
Registros de implementación del sensor de Defender for Identity:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log : este archivo de registro proporciona todo el proceso de implementación del sensor y se puede encontrar en la carpeta temporal mencionada anteriormente.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log : en este registro se enumeran los pasos en el proceso de implementación del sensor de Defender for Identity. Su uso principal es el seguimiento del proceso de implementación del sensor de Defender for Identity.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log : este archivo de registro enumera los pasos en el proceso de implementación de los archivos binarios del sensor de Defender for Identity. Su uso principal es el seguimiento de la implementación de los archivos binarios del sensor de Defender for Identity.
Nota:
Además de los registros de implementación que se mencionan aquí, hay otros registros que comienzan por "Azure Advanced Threat Protection" que también pueden proporcionar información adicional sobre el proceso de implementación.