Résolution des problèmes d’ATA à l’aide des journaux ATA
S’applique à : Advanced Threat Analytics version 1.9
Les journaux ATA fournissent des informations sur ce que chaque composant d’ATA fait à un moment donné dans le temps.
Journaux de la passerelle ATA
Dans cette section, chaque référence à la passerelle ATA est également pertinente pour la passerelle légère ATA.
Les journaux de la passerelle ATA se trouvent dans un sous-dossier appelé Journaux où ATA est installé . L’emplacement par défaut est : C :\Program Files\Microsoft Advanced Threat Analytics\. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse suivante : C :\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs.
La passerelle ATA contient les journaux suivants :
Microsoft.Tri.Gateway.log : ce journal contient tout ce qui se passe dans la passerelle ATA (y compris la résolution et les erreurs). Son utilisation main permet d’obtenir la status globale de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.
Microsoft.Tri.Gateway-Resolution.log : ce journal contient les détails de résolution des entités vues dans le trafic par la passerelle ATA. Son utilisation main consiste à examiner les problèmes de résolution des entités.
Microsoft.Tri.Gateway-Errors.log : ce journal contient uniquement les erreurs interceptées par la passerelle ATA. Son utilisation main consiste à effectuer des vérifications d’intégrité et à examiner les problèmes qui doivent être corrélés à des moments spécifiques.
Microsoft.Tri.Gateway-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires et mesure leur nombre. Ce fichier démarre vide chaque fois que le service de passerelle ATA démarre et est mis à jour toutes les minutes. Son utilisation main consiste à comprendre s’il existe de nouvelles erreurs ou problèmes avec la passerelle ATA (étant donné que les erreurs sont regroupées, il est plus facile de lire et de comprendre rapidement s’il y a de nouveaux problèmes).
Microsoft.Tri.Gateway.Updater.log : ce journal est utilisé pour le processus de mise à jour de la passerelle, qui est responsable de la mise à jour de la passerelle ATA si elle est configurée pour le faire automatiquement. Pour la passerelle légère ATA, le processus de mise à jour de passerelle est également responsable des limitations de ressources de la passerelle légère ATA.
Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires et mesure leur nombre. Ce fichier démarre vide chaque fois que le service ATA Updater démarre et est mis à jour toutes les minutes. Il vous permet de comprendre s’il existe de nouvelles erreurs ou problèmes liés à ATA Updater. Les erreurs sont regroupées pour faciliter la compréhension rapide si de nouvelles erreurs ou problèmes sont détectés.
Remarque
Les trois premiers fichiers journaux ont une taille maximale de 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier journal est ouvert et le précédent est renommé «< nom> de fichier d’origine-Archived-00000 », où le nombre s’incrémente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.
Journaux du centre ATA
Les journaux du centre ATA se trouvent dans un sous-dossier appelé Journaux. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse : C :\Program Files\Microsoft Advanced Threat Analytics\Center\Logs".
Remarque
Les journaux de la console ATA qui étaient auparavant sous les journaux IIS se trouvent désormais sous journaux du centre ATA.
Le centre ATA contient les journaux suivants :
Microsoft.Tri.Center.log : ce journal contient tout ce qui se passe dans le centre ATA, y compris les détections et les erreurs. Son utilisation main permet d’obtenir la status globale de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.
Microsoft.Tri.Center-Detection.log : ce journal contient uniquement les détails de détection du centre ATA. Son utilisation main consiste à examiner les problèmes de détection.
Microsoft.Tri.Center-Errors.log : ce journal contient uniquement les erreurs interceptées par le centre ATA. Son utilisation main consiste à effectuer des vérifications d’intégrité et à examiner les problèmes qui doivent être corrélés à des moments spécifiques.
Microsoft.Tri.Center-ExceptionStatistics.log : ce journal regroupe toutes les erreurs et exceptions similaires, et mesure leur nombre. Ce fichier démarre vide chaque fois que le service du centre ATA démarre et est mis à jour toutes les minutes. Son utilisation main consiste à comprendre s’il y a de nouvelles erreurs ou problèmes avec le centre ATA. Étant donné que les erreurs sont regroupées, il est plus facile de comprendre rapidement s’il y a une nouvelle erreur ou un problème.
Remarque
Les trois premiers fichiers journaux ont une taille maximale de 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier journal est ouvert et le précédent est renommé «< nom> de fichier d’origine-Archived-00000 », où le nombre s’incrémente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.
Journaux de déploiement ATA
Les journaux de déploiement ATA se trouvent dans le répertoire temporaire de l’utilisateur qui a installé le produit. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse : C :\Users<logged-in-user>\AppData\Local\Temp (ou un répertoire au-dessus de %temp%).
Journaux de déploiement du centre ATA :
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement du centre ATA. Son utilisation main consiste à suivre le processus de déploiement du centre ATA.
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log : ce journal répertorie les étapes du processus de déploiement de MongoDB sur le centre ATA. Son utilisation main consiste à suivre le processus de déploiement MongoDB.
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des fichiers binaires du centre ATA. Son utilisation main consiste à suivre le déploiement des fichiers binaires du centre ATA.
Journaux de déploiement de la passerelle ATA et de la passerelle légère ATA :
Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement de la passerelle ATA. Son utilisation main consiste à suivre le processus de déploiement de la passerelle ATA.
Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des fichiers binaires de la passerelle ATA. Son utilisation main consiste à suivre le déploiement des fichiers binaires de la passerelle ATA.
Remarque
En plus des journaux de déploiement mentionnés ici, il existe d’autres journaux qui commencent par « Microsoft Advanced Threat Analytics » qui peuvent également fournir des informations supplémentaires sur le processus de déploiement.