Résolution des problèmes Microsoft Defender pour Identity capteur à l’aide des journaux Defender pour Identity
Les journaux Defender pour Identity fournissent des informations sur ce que fait chaque composant de Microsoft Defender pour Identity capteur à un moment donné dans le temps.
Les journaux Defender pour Identity se trouvent dans un sous-dossier appelé Journaux où Defender pour Identity est installé. L’emplacement par défaut est : C:\Program Files\Azure Advanced Threat Protection Sensor. Dans l’emplacement d’installation par défaut, il se trouve à l’adresse : C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Journaux du capteur Defender pour Identity
Le capteur Defender pour Identity contient les journaux suivants :
Microsoft.Tri.Sensor.log : ce journal contient tout ce qui se passe dans le capteur Defender pour Identity (y compris la résolution et les erreurs). Son utilisation main permet d’obtenir la status globale de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.
Microsoft.Tri.Sensor-Errors.log : ce journal contient uniquement les erreurs interceptées par le capteur Defender pour Identity. Son utilisation main consiste à effectuer des vérifications d’intégrité et à examiner les problèmes qui doivent être corrélés à des moments spécifiques.
Microsoft.Tri.Sensor.Updater.log : ce journal est utilisé pour le processus de mise à jour du capteur, qui est responsable de la mise à jour du capteur Defender pour Identity s’il est configuré pour le faire automatiquement.
Microsoft.Tri.Sensor.Updater-Errors.log : ce journal contient uniquement les erreurs interceptées par le générateur de mise à jour du capteur Defender pour Identity. Son utilisation main consiste à effectuer des vérifications d’intégrité et à examiner les problèmes qui doivent être corrélés à des moments spécifiques.
Remarque
Les fichiers journaux ont une taille maximale de 50 Mo. Lorsque cette taille est atteinte, un nouveau fichier journal est ouvert et le précédent est renommé «< nom> de fichier d’origine-Archived-00000 », où le nombre s’incrémente chaque fois qu’il est renommé. Par défaut, si plus de 10 fichiers du même type existent déjà, les plus anciens sont supprimés.
Journaux de déploiement de Defender pour Identity
Les journaux de déploiement Defender pour Identity se trouvent dans le répertoire temporaire de l’utilisateur qui a installé le produit. En règle générale, vous trouverez ces journaux à l’adresse %USERPROFILE%\AppData\Local\Temp. Si le déploiement a été effectué par un service, les journaux peuvent se trouver dans C:\Windows\Temp ou C:\Windows\SystemTemp, en fonction de votre version de Windows et de votre niveau de correctif.
Journaux de déploiement du capteur Defender pour Identity :
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log : ce fichier journal fournit l’intégralité du processus de déploiement du capteur et se trouve dans le dossier temporaire mentionné précédemment.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log : ce journal répertorie les étapes du processus de déploiement du capteur Defender pour Identity. Son utilisation main consiste à suivre le processus de déploiement du capteur Defender pour Identity.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log : ce fichier journal répertorie les étapes du processus de déploiement des fichiers binaires du capteur Defender pour Identity. Son utilisation main consiste à suivre le déploiement des fichiers binaires du capteur Defender pour Identity.
Remarque
En plus des journaux de déploiement mentionnés ici, il existe d’autres journaux qui commencent par « Azure Advanced Threat Protection » qui peuvent également fournir des informations supplémentaires sur le processus de déploiement.