Risoluzione dei problemi di ATA tramite i log ATA

Si applica a: Advanced Threat Analytics versione 1.9

I log ATA forniscono informazioni dettagliate sulle operazioni eseguite da ogni componente di ATA in un determinato momento.

Log del gateway ATA

In questa sezione ogni riferimento al gateway ATA è rilevante anche per il gateway ATA Lightweight.

I log del gateway ATA si trovano in una sottocartella denominata Log in cui è installato ATA; il percorso predefinito è: C:\Programmi\Microsoft Advanced Threat Analytics\. Nel percorso di installazione predefinito è disponibile in: C:\Programmi\Microsoft Advanced Threat Analytics\Gateway\Logs.

Il gateway ATA dispone dei log seguenti:

• Microsoft.Tri.Gateway.log : questo log contiene tutti gli elementi che si verificano nel gateway ATA (inclusi risoluzione ed errori). Il suo uso principale è ottenere lo stato complessivo di tutte le operazioni nell'ordine cronologico in cui si sono verificate.

• Microsoft.Tri.Gateway-Resolution.log : questo log contiene i dettagli di risoluzione delle entità visualizzate nel traffico dal gateway ATA. Il suo uso principale è l'analisi dei problemi di risoluzione delle entità.

• Microsoft.Tri.Gateway-Errors.log : questo log contiene solo gli errori rilevati dal gateway ATA. Il suo uso principale è l'esecuzione di controlli di integrità e l'analisi dei problemi che devono essere correlati a orari specifici.

• Microsoft.Tri.Gateway-ExceptionStatistics.log : questo log raggruppa tutti gli errori ed eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che il servizio gateway ATA viene avviato e aggiornato ogni minuto. Il suo uso principale è capire se ci sono nuovi errori o problemi con il gateway ATA (poiché gli errori sono raggruppati è più facile da leggere e capire rapidamente se ci sono nuovi problemi).

• Microsoft.Tri.Gateway.Updater.log : questo log viene usato per il processo di aggiornamento del gateway, responsabile dell'aggiornamento del gateway ATA, se configurato per eseguire questa operazione automaticamente. Per il gateway ATA Lightweight, il processo di aggiornamento del gateway è anche responsabile delle limitazioni delle risorse del gateway ATA Lightweight.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log : questo log raggruppa tutti gli errori ed eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che il servizio ATA Updater viene avviato e aggiornato ogni minuto. Consente di comprendere se sono presenti nuovi errori o problemi con ATA Updater. Gli errori vengono raggruppati per semplificare la comprensione rapida se vengono rilevati nuovi errori o problemi.

Nota

I primi tre file di log hanno dimensioni massime fino a 50 MB. Quando viene raggiunta tale dimensione, viene aperto un nuovo file di log e quello precedente viene rinominato in "<nome> file originale-Archived-00000" in cui il numero aumenta ogni volta che viene rinominato. Per impostazione predefinita, se esistono già più di 10 file dello stesso tipo, vengono eliminati i file meno recenti.

Log di ATA Center

I log di ATA Center si trovano in una sottocartella denominata Log. Nel percorso di installazione predefinito è disponibile in: C:\Programmi\Microsoft Advanced Threat Analytics\Center\Logs".

Nota

I log della console ATA in precedenza presenti nei log IIS si trovano ora nei log di ATA Center.

Il Centro ATA dispone dei log seguenti:

• Microsoft.Tri.Center.log : questo log contiene tutti gli elementi che si verificano nel Centro ATA, inclusi i rilevamenti e gli errori. Il suo uso principale è ottenere lo stato complessivo di tutte le operazioni nell'ordine cronologico in cui si sono verificate.

• Microsoft.Tri.Center-Detection.log : questo log contiene solo i dettagli di rilevamento di ATA Center. Il suo uso principale è l'analisi dei problemi di rilevamento.

• Microsoft.Tri.Center-Errors.log : questo log contiene solo gli errori rilevati da ATA Center. Il suo uso principale è l'esecuzione di controlli di integrità e l'analisi dei problemi che devono essere correlati a orari specifici.

• Microsoft.Tri.Center-ExceptionStatistics.log : questo log raggruppa tutti gli errori ed eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che il servizio ATA Center viene avviato e aggiornato ogni minuto. Il suo uso principale è capire se ci sono nuovi errori o problemi con il Centro ATA, perché gli errori sono raggruppati è più facile capire rapidamente se c'è un nuovo errore o problema.

Nota

I primi tre file di log hanno dimensioni massime fino a 50 MB. Quando viene raggiunta tale dimensione, viene aperto un nuovo file di log e quello precedente viene rinominato in "<nome> file originale-Archived-00000" in cui il numero aumenta ogni volta che viene rinominato. Per impostazione predefinita, se esistono già più di 10 file dello stesso tipo, vengono eliminati i file meno recenti.

Log di distribuzione ATA

I log di distribuzione ATA si trovano nella directory temporanea dell'utente che ha installato il prodotto. Nel percorso di installazione predefinito è disponibile in: C:\Users<logged-in-user>\AppData\Local\Temp (o una directory superiore a %temp%).

Log di distribuzione di ATA Center:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log : questo log elenca i passaggi del processo di distribuzione di ATA Center. Il suo uso principale è il monitoraggio del processo di distribuzione di ATA Center.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log : questo log elenca i passaggi del processo di distribuzione di MongoDB nel Centro ATA. Il suo uso principale è il monitoraggio del processo di distribuzione mongoDB.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log : questo file di log elenca i passaggi del processo di distribuzione dei file binari di ATA Center. Il suo uso principale è il rilevamento della distribuzione dei file binari di ATA Center.

Log di distribuzione del gateway ATA e del gateway ATA Lightweight:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log : questo log elenca i passaggi del processo di distribuzione del gateway ATA. Il suo uso principale è il monitoraggio del processo di distribuzione del gateway ATA.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log : questo file di log elenca i passaggi del processo di distribuzione dei file binari del gateway ATA. L'uso principale consiste nel tenere traccia della distribuzione dei file binari del gateway ATA.

Nota

Oltre ai log di distribuzione indicati qui, esistono altri log che iniziano con "Microsoft Advanced Threat Analytics" che possono anche fornire informazioni aggiuntive sul processo di distribuzione.

Vedere anche

• Prerequisiti ATA
• Pianificazione della capacità ATA
• Configurare la raccolta di eventi
• Configurazione dell'inoltro degli eventi di Windows
• Consulta il forum ATA!