イベント ビューアーを使用してイベントとエラーを確認する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Defender for Endpoint サービス イベント ログでイベントを表示する
個々のデバイスのイベント ビューアーでイベント ID を確認できます。 これは、たとえば、デバイスが [デバイス] リストに表示されない場合に役立ちます。 このシナリオでは、デバイス上でイベント ID を検索し、次の表を使用して、対応するイベント ID に基づいてさらにトラブルシューティング手順を決定できます。
Defender for Endpoint サービス イベント ログを開くには:
Windows メニューの [スタート] を選択し、「イベント ビューアー」と入力し、Enter キーを押してイベント ビューアーを開きます。
ログの一覧の [ログの概要] で、[Microsoft-Windows-SENSE/Operational] が表示されるまでスクロールします。 この項目をダブルクリックしてログを開きます。
[アプリケーションとサービスログ] Microsoft>Windows>SENSE を展開して [運用] を選択して、ログ>にアクセスすることもできます。
注:
SENSE は、Microsoft Defender for Endpoint を動作させる動作センサーを指して使用される内部名です。
サービスによって記録されたイベントがログに表示されます。
サービスによって記録されたイベントの一覧については、次の表を参照してください。
| イベント ID | メッセージ | 説明 | Action |
|---|---|---|---|
| 1 | Microsoft Defender for Endpoint サービス (バージョンvariable) が開始されました。 |
システムのスタートアップ、シャットダウン、オンボーディング中に発生します。 | 通常の動作通知。操作は必要ありません。 |
| 2 | Microsoft Defender for Endpoint サービスのシャットダウン。 | デバイスがシャットダウンまたはオフボードされたときに発生します。 | 通常の動作通知。操作は必要ありません。 |
| 3 | Microsoft Defender for Endpoint サービスを開始できませんでした。 エラー コード: variable。 |
サービスが開始されませんでした。 | 他のメッセージを確認して、考えられる原因とトラブルシューティングの手順を確認してください。 |
| 4 | Microsoft Defender for Endpoint サービスが variable でサーバーに接続しました。 |
変数 = Defender for Endpoint 処理サーバーの URL。 この URL は、ファイアウォールまたはネットワーク アクティビティに表示される URL と一致します。 |
通常の動作通知。操作は必要ありません。 |
| 5 | Microsoft Defender for Endpoint サービスが variable でサーバーに接続できませんでした。 |
変数 = Defender for Endpoint 処理サーバーの URL。 サービスがその URL で外部処理サーバーに接続できませんでした。 |
URL への接続を確認してください。 「プロキシとインターネット接続を構成する」を参照してください。 |
| 6 | Microsoft Defender for Endpoint サービスはオンボードされておらず、オンボード パラメーターが見つかりませんでした。 | デバイスが正しくオンボードされておらず、ポータルに報告されていません。 | サービスを開始する前に、オンボードを実行する必要があります。 オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 7 | Microsoft Defender for Endpoint サービスがオンボード パラメーターを読み取れませんでした。 失敗: variable。 |
変数 = 詳細なエラーの説明。 デバイスが正しくオンボードされておらず、ポータルに報告されていません。 | オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 8 | Microsoft Defender for Endpoint サービスが構成をクリーンアップできませんでした。 エラー コード: variable。 |
オンボーディング中: サービスがオンボーディング中に構成をクリーンアップできませんでした。 オンボーディング プロセスは続行されます。 オフボーディング中: サービスがオフボーディング中に構成をクリーンアップできませんでした。 オフボーディング プロセスは完了しましたが、サービスは引き続き実行されます。 |
オンボーディング: 操作は必要ありません。 オフボーディング: システムを再起動します。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 9 | Microsoft Defender for Endpoint サービスが開始の種類を変更できませんでした。 エラー コード: variable。 |
オンボード中: デバイスが正しくオンボードされておらず、ポータルに報告されていません。 オフボーディング中: サービスの開始の種類を変更できませんでした。 オフボーディング プロセスは続行されます。 |
オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 10 | Microsoft Defender for Endpoint サービスがオンボーディング情報を保持できませんでした。 エラー コード: variable。 |
デバイスが正しくオンボードされておらず、ポータルに報告されていません。 | オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 11 | Defender for Endpoint サービスのオンボードまたは再オンボードが完了しました。 | デバイスが正しくオンボーディングされました。 | 通常の動作通知。操作は必要ありません。 デバイスがポータルに表示されるまでに数時間かかる場合があります。 |
| 12 | Microsoft Defender for Endpoint が既定の構成を適用できませんでした。 | サービスが既定の構成を適用できませんでした。 | このエラーは、しばらくすると解決します。 |
| 13 | Microsoft Defender for Endpoint デバイス ID が計算されました: variable。 |
通常の動作プロセス。 | 通常の動作通知。操作は必要ありません。 |
| 15 | Microsoft Defender for Endpoint URL を使用してコマンド チャネルを開始できません: variable。 |
変数 = Defender for Endpoint 処理サーバーの URL。 サービスがその URL で外部処理サーバーに接続できませんでした。 |
URL への接続を確認してください。 「プロキシとインターネット接続を構成する」を参照してください。 |
| 17 | Microsoft Defender for Endpoint サービスが接続ユーザー エクスペリエンスとテレメトリ サービスの場所を変更できませんでした。 エラー コード: variable。 |
Windows テレメトリ サービスでエラーが発生しました。 |
診断データ サービスが有効になっていることを確認する">診断データ サービスが有効になっていることを確認します。 オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 18 | OOBE (Windows へようこそ) が完了しました。 | サービスは Windows 更新プログラムのインストールが完了した後にのみ開始されます。 | 通常の動作通知。操作は必要ありません。 |
| 19 | OOBE (Windows Welcome) はまだ完了していません。 | サービスは、Windows 更新プログラムのインストールが完了した後にのみ開始されます。 | 通常の動作通知。操作は必要ありません。 システムを再起動してもこのエラーが解決しない場合は、すべての Windows 更新プログラムが完全にインストールされていることを確認してください。 |
| 20 | OOBE (Windows ようこそ) が完了するのを待つできません。 エラー コード: variable。 |
内部エラー。 | システムの再起動後もこのエラーが解決しない場合は、すべての Windows 更新プログラムがインストールされていることを確認します。 |
| 25 | Microsoft Defender for Endpoint サービスがレジストリ内の正常性状態をリセットできませんでした。 エラー コード: variable。 |
デバイスが正しくオンボードされませんでした。 ポータルにレポートされます。ただし、サービスがSCCMまたはレジストリに登録されていない可能性があります。 | オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 26 | Microsoft Defender for Endpoint サービスがレジストリのオンボーディング状態を設定できませんでした。 エラー コード: variable。 |
デバイスが正しくオンボードされませんでした。 ポータルにレポートされます。ただし、サービスは、SCCMまたはレジストリに登録されていない可能性があります。 |
オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 27 | Microsoft Defender for Endpoint サービスが Microsoft Defender ウイルス対策で SENSE 対応モードを有効にできませんでした。 オンボーディング プロセスに失敗しました。 エラー コード: variable。 |
通常、Microsoft Defenderウイルス対策は、別のリアルタイムマルウェア対策製品がデバイスで正しく実行されていて、デバイスが Defender for Endpoint に報告している場合、特殊なパッシブ状態になります。 | オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 リアルタイムのマルウェア対策保護が正しく実行されていることを確認します。 |
| 28 | Microsoft Defender for Endpoint の接続ユーザー エクスペリエンスとテレメトリ サービスの登録に失敗しました。 エラー コード: variable。 |
Windows テレメトリ サービスでエラーが発生しました。 |
診断データ サービスが有効になっていることを確認してください。 オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 29 | オフボーディング パラメーターを読み取れませんでした。 エラーの種類: %1、エラー コード: %2、説明: %3 | このイベントは、システムがオフボーディング パラメーターを読み取ることができない場合に発生します。 | デバイスにインターネット アクセスがあることを確認し、オフボーディング プロセス全体をもう一度実行してください。 オフボード パッケージの有効期限が切れていないことを確認します。 |
| 30 | Microsoft Defender for Endpoint サービスが Microsoft Defender ウイルス対策で SENSE 対応モードを無効にできませんでした。 エラー コード: variable。 |
通常、Microsoft Defenderウイルス対策は、別のリアルタイムマルウェア対策製品がデバイスで正しく実行されていて、デバイスが Defender for Endpoint に報告している場合、特殊なパッシブ状態になります。 | オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 リアルタイムのマルウェア対策保護が正しく実行されていることを確認します。 |
| 31 | Microsoft Defender for Endpoint の接続ユーザー エクスペリエンスとテレメトリ サービスの登録解除に失敗しました。 エラー コード: variable。 |
オンボーディング中に Windows テレメトリ サービスでエラーが発生しました。 オフボーディング プロセスは続行されます。 | Windows テレメトリ サービスのエラーを確認してください。 |
| 32 | Microsoft Defender for Endpoint サービスがオフボーディング プロセスの後にサービス自体の停止を要求できませんでした。 エラー コード: %1 | オフボーディング中にエラーが発生しました。 | デバイスを再起動します。 |
| 33 | Microsoft Defender for Endpoint サービスが SENSE GUID を保持できませんでした。 エラー コード: variable。 |
ポータルに報告する各デバイスを表すために一意の識別子が使用されます。 識別子が保持されない場合、同じデバイスがポータルに 2 回表示されることがあります。 |
デバイスのレジストリのアクセス許可を確認して、サービスがレジストリを更新できることを確認してください。 |
| 34 | Microsoft Defender for Endpoint サービスが接続ユーザー エクスペリエンスとテレメトリ サービスでの依存関係として追加できず、オンボーディング プロセスに失敗しました。 エラー コード: variable。 |
Windows テレメトリ サービスでエラーが発生しました。 |
診断データ サービスが有効になっていることを確認してください。 オンボーディング設定とスクリプトが正しくデプロイされたことを確認してください。 構成パッケージを再デプロイしてみてください。 「Windows クライアント デバイスのオンボード」を参照してください。 |
| 35 | 通信クォータが更新されます。 ディスク クォータ (MB): variable、日単位のアップロード クォータ (MB): variable |
変数 = ディスク クォータ (MB)。 | 通常の動作通知。操作は必要ありません。 |
| 36 | Microsoft Defender for Endpoint の接続ユーザー エクスペリエンスとテレメトリ サービスの登録が正常に完了しました。 完了コード: variable。 |
Defender for Endpoint の接続ユーザー エクスペリエンスとテレメトリ サービスへの登録が正常に完了しました。 | 通常の動作通知。操作は必要ありません。 |
| 37 | Microsoft Defender for Endpoint A モジュールがクォータを超過しようとしています。 モジュール: %1、クォータ: {%2} {%3}、クォータ使用率の割合: %4。 | デバイスは、現在の 24 時間ウィンドウの割り当てられたクォータに近い状態です。 まもなく調整されます。 | 通常の動作通知。操作は必要ありません。 |
| 38 | ネットワーク接続が低として識別されています。 Microsoft Defender for Endpointは、%1 分ごとにサーバーに連絡します。 従量制課金接続: %2、インターネット使用可: %3、無料ネットワーク使用可: %4。 | デバイスは従量制課金制/有料ネットワークを使用しており、サーバーへの接続頻度が低くなります。 | 通常の動作通知。操作は必要ありません。 |
| 39 | ネットワーク接続が通常として識別されています。 Microsoft Defender for Endpointは、%1 分ごとにサーバーに連絡します。 従量制課金接続: %2、インターネット使用可: %3、無料ネットワーク使用可: %4。 | デバイスが従量制課金/有料接続を使用していないため、通常どおりサーバーに接続します。 | 通常の動作通知。操作は必要ありません。 |
| 40 | バッテリーの状態が低として識別されています。 Microsoft Defender for Endpointは、%1 分ごとにサーバーに連絡します。 バッテリー状態: %2。 | デバイスのバッテリ レベルが低く、サーバーに接続する頻度が低くなります。 | 通常の動作通知。操作は必要ありません。 |
| 41 | バッテリーの状態が通常として識別されています。 Microsoft Defender for Endpointは、%1 分ごとにサーバーに連絡します。 バッテリー状態: %2。 | デバイスのバッテリ レベルが低く、通常どおりサーバーに接続します。 | 通常の動作通知。操作は必要ありません。 |
| 42 | Microsoft Defender for Endpoint コンポーネントが操作を実行できませんでした。 コンポーネント: %1、アクション: %2、例外の種類: %3、例外メッセージ: %4 | 内部エラー。 サービスを開始できませんでした。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 43 | Microsoft Defender for Endpoint コンポーネントが操作を実行できませんでした。 コンポーネント: %1、アクション: %2、例外の種類: %3、例外エラー: %4、例外メッセージ: %5 | 内部エラー。 サービスを開始できませんでした。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 44 | Defender for Endpoint サービスのオフボーディングが完了しました。 | サービスがオフボードされました。 | 通常の動作通知。操作は必要ありません。 |
| 45 | 登録とイベント トレース セッション [%1] の開始に失敗しました。 エラー コード: %2 | ETW セッションの作成中に、サービスのスタートアップでエラーが発生しました。 これにより、サービスのスタートアップでエラーが発生しました。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 46 | リソースが不足しているため、登録とイベント トレース セッション [%1] の開始に失敗しました。 エラー コード: %2。 これは、アクティブなイベント トレース セッションが多すぎるためと考えられます。 サービスは 1 分で再試行します。 | リソースが不足しているため、ETW セッションの作成中にサービスのスタートアップでエラーが発生しました。 サービスは実行中ですが、ETW セッションが開始されるまでセンサー イベントは報告されません。 | 通常の動作通知。操作は必要ありません。 サービスは、1 分ごとにセッションを開始しようとします。 |
| 47 | 登録とイベント トレース セッションの開始が正常に実行されました。試行に失敗した後に回復しました。 | このイベントは、ETW セッションが正常に開始された後に、前のイベントに従います。 | 通常の動作通知。操作は必要ありません。 |
| 48 | イベント トレース セッション [%2] にプロバイダー [%1] を追加できませんでした。 エラーコード: %3。 つまり、このプロバイダーからのイベントは報告されません。 | ETW セッションにプロバイダーを追加できませんでした。 その結果、プロバイダー イベントは報告されません。 | エラー コードを確認してください。 エラーが解決しない場合は、サポートにお問い合わせください。 |
| 49 | 無効なクラウド構成コマンドを受信し、無視しました。 バージョン: %1、状態: %2、エラー コード: %3、メッセージ: %4 | 無視されたクラウド サービスから無効な構成ファイルを受信しました。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 50 | 新しいクラウド構成を正常に適用しました。 バージョン: %1。 | クラウド サービスから新しい構成が正常に適用されました。 | 通常の動作通知。操作は必要ありません。 |
| 51 | 新しいクラウド構成の適用に失敗しました。バージョン: %1。 前回正常起動時の構成バージョン %2 が正常に適用されました。 | クラウド サービスから正しくない構成ファイルを受信しました。 前回正常起動時の構成が正常に適用されました。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 52 | 新しいクラウド構成の適用に失敗しました。バージョン: %1。 また、前回正常起動時の構成バージョン %2 を適用できませんでした。 既定の構成が正常に適用されました。 | クラウド サービスから正しくない構成ファイルを受信しました。 前回正常起動時の構成を適用できませんでした。既定の構成が適用されました。 | サービスは、5 分以内に新しい構成ファイルのダウンロードを試みます。 イベント 50 が表示されない場合は、サポートにお問い合わせください。 |
| 53 | クラウド構成が永続記憶装置から読み込まれました。バージョン: %1。 | 構成は、サービスのスタートアップ時に永続ストレージから読み込まれます。 | 通常の動作通知。操作は必要ありません。 |
| 54 | グローバル (パターンごとの) 状態が変更されました。 状態: %1、パターン: %2 | 状態 = 0 の場合: サイバー データ レポート ルールは定義された上限クォータに達しており、上限クォータの有効期限が切れるまでより多くのデータを送信しません。 state = 1 の場合: 上限クォータの有効期限が切れ、ルールによってデータの送信が再開されます。 | 通常の動作通知。操作は必要ありません。 |
| 55 | セキュリティで保護された ETW 自動ロガーの作成に失敗しました。 エラー コード: %1 | セキュリティで保護された ETW ロガーを作成できませんでした。 | デバイスを再起動します。 このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 56 | セキュリティで保護された ETW 自動ロガーを削除できませんでした。 エラー コード: %1 | オフボーディング時にセキュリティで保護された ETW セッションを削除できませんでした。 | サポートにお問い合わせください。 |
| 57 | トラブルシューティングの目的でマシンのスナップショットをキャプチャしています。 | 調査パッケージ (フォレンジクス パッケージとも呼ばれる) が収集されています。 | 通常の動作通知。操作は必要ありません。 |
| 59 | 開始コマンド: %1 | 応答コマンドの実行を開始します。 | 通常の動作通知。操作は必要ありません。 |
| 60 | コマンド %1 の実行に失敗しました。エラー: %2。 | 応答コマンドを実行できませんでした。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 61 | データ収集コマンド パラメーターが無効です: SasUri: %1、compressionLevel: %2。 | データ収集コマンド引数の読み取りまたは解析に失敗しました (無効な引数)。 | このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 62 | 接続ユーザー エクスペリエンスとテレメトリ サービスを開始できませんでした。 エラー コード: %1 | 接続ユーザー エクスペリエンスとテレメトリ (diagtrack) サービスを開始できませんでした。 Microsoft Defender for Endpoint以外のテレメトリは、このマシンから送信されません。 | 次のイベント ログで、トラブルシューティングのヒントを参照してください: Microsoft-Windows-UniversalTelemetryClient/Operational。 |
| 63 | 外部サービスの開始の種類を更新しています。 名前: %1、実際の開始の種類: %2、予期される開始の種類: %3、終了コード: %4 | 外部サービスの開始の種類を更新しました。 | 通常の動作通知。操作は必要ありません。 |
| 64 | 停止した外部サービスを開始します。 名前: %1、終了コード: %2 | 外部サービスを開始します。 | 通常の動作通知。操作は必要ありません。 |
| 65 | Microsoft セキュリティ イベント コンポーネント ミニフィルター ドライバーを読み込めませんでした。 エラー コード: %1 | MsSecFlt.sys ファイルシステム ミニフィルターを読み込めませんでした。 | デバイスを再起動します。 このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 66 | ポリシーの更新: 待機時間モード - %1 | C&C 接続頻度ポリシーが更新されました。 | 通常の動作通知。操作は必要ありません。 |
| 68 | 予期しないサービスの開始の種類です。 サービス名: %1、実際の開始の種類: %2、予期される開始の種類: %3 | 予期しない外部サービスの開始の種類です。 | 外部サービスの開始の種類を修正してください。 |
| 69 | サービスが停止しています。 サービス名: %1 | 外部サービスが停止しています。 | 外部サービスを開始してください。 |
| 70 | ポリシーの更新: サンプル コレクションを許可する - %1 | サンプル コレクション ポリシーが更新されました。 | 通常の動作通知。操作は必要ありません。 |
| 71 | コマンドを正常に実行しました: %1 | コマンドが正常に実行されました。 | 通常の動作通知。操作は必要ありません。 |
| 72 | 最初の完全なマシン プロファイル レポートの送信を試みました。 結果コード: %1 | 情報のみ。 | 通常の動作通知。操作は必要ありません。 |
| 73 | プラットフォームでセンサーが開始します: %1 | 情報のみ。 | 通常の動作通知。操作は必要ありません。 |
| 74 | レジストリ内のデバイス タグが長さの制限を超過しています。 タグ名: %2。 長さの制限: %1。 | デバイス タグが長さの制限を超過しています。 | 短いデバイス タグを使用してください。 |
| 81 | Microsoft Defender for Endpoint の ETW 自動ロガーを作成できませんでした。 エラー コード: %1 | ETW セッションを作成できませんでした。 | デバイスを再起動します。 このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 82 | Microsoft Defender for Endpoint の ETW 自動ロガーを削除できませんでした。 エラー コード: %1 | ETW セッションを削除できませんでした。 | サポートにお問い合わせください。 |
| 84 | ウイルス対策実行モードMicrosoft Defender設定します。 強制パッシブ モード: %1、結果コード: %2。 | Defender の実行モード (アクティブまたはパッシブ) を設定します。 | 通常の動作通知。操作は必要ありません。 |
| 85 | Microsoft Defender for Endpoint 実行可能ファイルをトリガーできませんでした。 エラー コード: %1 | SenseIR 実行可能ファイルに星を付けることができませんでした。 | デバイスを再起動します。 このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 86 | 起動する必要がある外部サービスをもう一度開始しています。 名前: %1、終了コード: %2 | 外部サービスをもう一度開始しています。 | 通常の動作通知。操作は必要ありません。 |
| 87 | 外部サービスを開始できません。 名前: %1 | 外部サービスを開始できませんでした。 | サポートにお問い合わせください。 |
| 88 | 外部サービスの開始の種類をもう一度更新しています。 名前: %1、実際の開始の種類: %2、予期される開始の種類: %3、終了コード: %4 | 外部サービスの開始の種類を更新しました。 | 通常の動作通知。操作は必要ありません。 |
| 89 | 外部サービスの開始の種類を更新できません。 名前: %1、実際の開始の種類: %2、予期される開始の種類: %3 | 外部サービスの開始の種類を更新できません。 | サポートにお問い合わせください。 |
| 90 | geo リージョン %1 のクラウド サービスに接続するように System Guard ランタイム モニターを構成できませんでした。 エラー コード: %2 | System Guardランタイム モニターは構成証明データをクラウド サービスに送信しません。 | 次の登録パスのアクセス許可を確認してください: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm"。 問題が見つからない場合は、サポートにお問い合わせください。 |
| 91 | System Guard ランタイム モニターの geo リージョン情報を削除できませんでした。 エラー コード: %1 | System Guardランタイム モニターは構成証明データをクラウド サービスに送信しません。 | 次の登録パスのアクセス許可を確認してください: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm"。 問題が見つからない場合は、サポートにお問い合わせください。 |
| 92 | データ クォータを超過したたため、センサー サイバー データ クォータの送信を停止します。 クォータ期間が経過すると、送信が再開されます。 状態マスク: %1 | 調整制限を超過しました。 | 通常の動作通知。操作は必要ありません。 |
| 93 | センサー サイバー データの送信を再開します。 状態マスク: %1 | サイバー データの送信を再開します。 | 通常の動作通知。操作は必要ありません。 |
| 94 | Microsoft Defender for Endpoint 実行可能ファイルが開始しました | SenseCE 実行可能ファイルが開始しました。 | 通常の動作通知。操作は必要ありません。 |
| 95 | Microsoft Defender for Endpoint 実行可能ファイルが終了しました | SenseCE 実行可能ファイルが終了しました。 | 通常の動作通知。操作は必要ありません。 |
| 96 | Microsoft Defender for Endpoint の初期化が呼び出されました。 結果コード: %2 | SenseCE 実行可能ファイルが MCE の初期化を呼び出しました。 | 通常の動作通知。操作は必要ありません。 |
| 97 | DLP シナリオでクラウドへの接続に関する問題があります | DLP 分類フローに影響を与えるネットワーク接続の問題があります。 | ネットワーク接続を確認してください。 |
| 98 | DLP シナリオのクラウドへの接続が復元されました | ネットワークへの接続が復元され、DLP 分類フローを続行できます。 | 通常の動作通知。操作は必要ありません。 |
| 99 | サーバーとの通信中に、センサーで次のエラーが発生しました: (%1)。 結果: (%2) | 通信エラーが発生しました。 | 詳細については、イベント ログで次のイベントを確認してください。 |
| 100 | Microsoft Defender for Endpoint 実行可能ファイルを開始できませんでした。 エラー コード: %1 | SenseCE 実行可能ファイルを開始できませんでした。 | デバイスを再起動します。 このエラーが解決しない場合は、サポートにお問い合わせください。 |
| 102 | Microsoft Defender for Endpoint のネットワーク検出と応答の実行可能ファイルが開始しました | SenseNdr 実行可能ファイルが開始しました。 | 通常の動作通知。操作は必要ありません。 |
| 103 | Microsoft Defender for Endpoint のネットワーク検出と応答の実行可能ファイルが終了しました | SenseNdr 実行可能ファイルが終了しました。 | 通常の動作通知。操作は必要ありません。 |
| 104 | 非同期ドライバーのアンロードをキューに入れませんでした。 エラー コード: %1。 | オフボード中に発生します。 | 通常の動作通知。操作は必要ありません。 |
| 105 | ドライバーのアンロードを待機できませんでした | オフボード中に発生します。 | 通常の動作通知。操作は必要ありません。 |
| 106 | Microsoft Defender for Endpoint サービスを開始できませんでした。 エラー コード %1。MsSense DLL を読み込めませんでした。 モジュール。 | 起動時に発生します。 | サポートに問い合わせてください。 |
| 107 | Microsoft Defender for Endpoint サービスを開始できませんでした。 エラー コード %1。MsSense DLL モジュールに関する問題。 | 起動時に発生します。 | サポートに問い合わせてください。 |
| 108 | 更新フェーズ:%1、新しいプラットフォーム バージョン: %2、メッセージ: %3。 | 更新中に発生します。 | 通常の動作通知。操作は必要ありません。 |
| 109 | 更新フェーズ:%1 新しいプラットフォーム バージョン: %2、エラー メッセージ: %3、エラー: %4。 | 更新中に発生します。 | サポートに問い合わせてください。 |
| 110 | MDEContain WFP フィルターを削除できませんでした。 | オフボード中に発生します。 | サポートに問い合わせてください。 |
| 307 | ドライバーのアクセス許可の更新に失敗しました エラー コード: %1。 | オンボード中に発生します。 | サポートに問い合わせてください。 |
| 308 | フォルダー %1 エラー コードで ACL に失敗しました: %2。 | オンボード中に発生します。 | サポートに問い合わせてください。 |
| 401 | Microsoft Defender for Endpoint サービスでキーの生成に失敗しました。 エラー コード: %1。 | 暗号化キーを作成できませんでした。 | マシンがレポートされていない場合は、サポートにお問い合わせください。 それ以外の場合は、アクションは必要ありません。 |
| 402 | Microsoft Defender for Endpoint サービスが認証状態を保持できませんでした。 エラー コード: %1。 | 認証状態を保持できませんでした。 | デバイスが報告されていない場合は、サポートにお問い合わせください。 それ以外の場合は、アクションは必要ありません。 |
| 403 | Microsoft Defender for Endpointサービスの登録が完了しました。 | 認証サービスへの登録に成功しました。 | 通常の動作通知。操作は必要ありません。 |
| 404 | Microsoft Defender for Endpoint サービスによってキーが正常に生成されました。 | 暗号化キーの生成に成功しました。 | 通常の動作通知。操作は必要ありません。 |
| 405 | 認証サービスとの通信に失敗しました。 %1 要求が失敗しました。hresult: %2、HTTP エラー コード: %3。 | 認証サービスに要求を送信できませんでした。 | 通常の動作通知。操作は必要ありません。 |
| 406 | 認証サービスによって拒否された %1 の要求。 Hresult: %2、エラー コード: %3。 | 要求から望ましくない応答が返されました。 | 通常の動作通知。操作は必要ありません。 |
| 407 | Microsoft Defender for Endpoint サービスがメッセージの署名 (認証) に失敗しました。 エラー コード: %1。 | 要求に署名できませんでした。 | 通常の動作通知。操作は必要ありません。 |
| 408 | Microsoft Defender for Endpoint サービスが永続化認証状態を削除できませんでした。 状態: %1、エラー コード: %2。 | 認証状態を保持できませんでした。 | デバイスが報告されていない場合は、サポートにお問い合わせください。 それ以外の場合は、アクションは必要ありません。 |
| 409 | Microsoft Defender for Endpoint サービスがキーを開けませんでした。 エラー コード: %1。 | 暗号化キーを開けませんでした。 | デバイスが報告されていない場合は、サポートにお問い合わせください。 それ以外の場合は、アクションは必要ありません。 |
| 410 | Microsoft Defender for Endpointサービスの再オンボードの一環として登録が必要です。 | 再オンボード中に発生します。 | 通常の動作通知。操作は必要ありません。 |
| 411 | トークンが無効または期限切れのため、Microsoft Defender for Endpoint サービスに対するサイバー テレメトリのアップロードが中断されました。 | サイバー アップロードが一時的に中断されました。 | 通常の動作通知。操作は必要ありません。 |
| 412 | 新しく更新されたトークンにより、Microsoft Defender for Endpoint サービスのサイバー テレメトリのアップロードが再開されました。 | サイバー アップロードが正常に再開されました。 | 通常の動作通知。操作は必要ありません。 |
| 1800 | CSP: 値を取得します Node's 。 NodeId: (%1)、TokenName: (%2)。 |
Get の操作が開始されようとしています。 | サポートに問い合わせてください。 |
| 1801 | CSP: 値の取得 Node's に失敗しました。 NodeId: (%1)、TokenName: (%2)、結果: (%3)。 |
Get の操作が失敗しました。 | サポートに問い合わせてください。 |
| 1802 | CSP: 値の取得 Node's が完了しました。 NodeId: (%1)、TokenName: (%2)、結果: (%3)。 |
Get の操作が成功しました。 | サポートに問い合わせてください。 |
| 1803 | CSP: 最後に接続された値を取得します。 結果 (%1)、IsDefault: (%2)。 | デバイスが CNC と最後に通信した時刻。 | 通常の動作通知。操作は必要ありません。 |
| 1804 | CSP: 組織 ID の値を取得します。 結果: (%1)、IsDefault: (%2)。 | オンボーディング中に組織 ID デバイスが取得されます。 | 通常の動作通知。操作は必要ありません。 |
| 1805 | CSP: Get Sense Is Running value complete。 結果: (%1)。 | オンボード後に実行中のメッセージを検出します。 | 通常の動作通知。操作は必要ありません。 |
| 1806 | CSP: オンボード状態の値が完了します。 結果: (%1)、IsDefault: (%2)。 | Get is Sense のオンボード。 | 通常の動作通知。操作は必要ありません。 |
| 1807 | CSP: オンボードの値を完了します。 オンボード BLOB ハッシュ: (%1)、IsDefault: (%2)、オンボード状態: (%3)、オンボード状態 IsDefault: (%4)。 | Get は、Sense のオンボードとオンボード BLOB ハッシュです。 | 通常の動作通知。操作は必要ありません。 |
| 1808 | CSP: オフボード値を完了します。 オフボード BLOB ハッシュ: (%1)、IsDefault: (%2)。 | オフボード BLOB ハッシュを取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1809 | CSP: サンプル共有の値を取得します。 結果: (%1)、IsDefault: (%2)。 | Get はサンプルアップロードが許可されています。 | 通常の動作通知。操作は必要ありません。 |
| 1810 | CSP: オンボード プロセス。 開始。 | オンボード フローを開始しました。 | 通常の動作通知。操作は必要ありません。 |
| 1811 | CSP: オンボード プロセス。 Offboarding BLOB の削除が完了しました。 結果: (%1)。 | オンボード フローの一部としてオフボード BLOB を削除しました。 | 通常の動作通知。操作は必要ありません。 |
| 1812 | CSP: オンボード プロセス。 オンボード BLOB の書き込みが完了しました。 結果: (%1)。 | オンボード フローの一部として、オンボード BLOB をレジストリに記述しました。 | 通常の動作通知。操作は必要ありません。 |
| 1813 | CSP: オンボード プロセス。 サービスが正常に開始されました。 | オンボード フローの一部として Sense サービスを開始しました。 | 通常の動作通知。操作は必要ありません。 |
| 1814 | CSP: オンボード プロセス。 保留中のサービスの実行状態が完了しました。 結果: (%1)。 | オンボード フローの一部として Sense が開始されるのを待って完了しました。 | 通常の動作通知。操作は必要ありません。 |
| 1815 | CSP: [サンプル共有] の値を完全に設定します。 前の値: (%1)、IsDefault: (%2)、新しい値: (%3)、結果: (%4)。 | サンプル共有値を設定します。 | 通常の動作通知。操作は必要ありません。 |
| 1816 | CSP: オフボード プロセス。 オンボード BLOB の削除が完了しました。 結果 (%1)。 | オフボード フローの一部としてオンボード BLOB を削除しました。 | 通常の動作通知。操作は必要ありません。 |
| 1817 | CSP: オフボード プロセス。 オフボード BLOB の書き込みが完了しました。 結果 (%1)。 | オフボード フローの一部として、BLOB をレジストリに書き込みます。 | 通常の動作通知。操作は必要ありません。 |
| 1818 | CSP: 値の設定 Node's が開始されました。 NodeId: (%1)、TokenName: (%2)。 |
Set の操作が開始されようとしています。 | 通常の動作通知。操作は必要ありません。 |
| 1819 | CSP: 値の設定 Node's に失敗しました。 NodeId: (%1)、TokenName: (%2)、結果: (%3)。 |
Set の操作が失敗しました。 | サポートに問い合わせてください。 |
| 1820 | CSP: 値の完了を設定 Node's します。 NodeId: (%1)、TokenName: (%2)、結果: (%3)。 |
Set の操作が成功しました。 | 通常の動作通知。操作は必要ありません。 |
| 1821 | CSP: テレメトリ レポートの頻度の設定が開始されました。 新しい値: (%1)。 | TelemetryReportingFrequency の値の設定を開始します。 | 通常の動作通知。操作は必要ありません。 |
| 1822 | CSP: テレメトリ レポートの頻度を設定します。 前の値: (%1)、IsDefault: (%2)、新しい値: (%3)、結果: (%4)。 | TelemetryReportingFrequency の値の設定を完了します。 | 通常の動作通知。操作は必要ありません。 |
| 1823 | CSP: テレメトリ レポート頻度の取得が完了しました。 値: (%1)、レジストリ値: (%2)、IsDefault: (%3)。 | TelemetryReportingFrequency の値を取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1824 | CSP: グループ ID の取得が完了します。 値: (%1)、IsDefault: (%2)。 | レジストリから groupIds を取得しました。 | 通常の動作通知。操作は必要ありません。 |
| 1825 | CSP: グループ ID が許可された制限を超えた場合に設定します。 許可: (%1)、実績: (%2)。 | 長さのために groupIds を設定できませんでした。 | 通常の動作通知。操作は必要ありません。 |
| 1826 | CSP: グループ ID の設定が完了しました。 値: (%1)、結果: (%2)。 | groupIds を設定します。 | 通常の動作通知。操作は必要ありません。 |
| 1827 | CSP: オンボード プロセス。 サービスが実行されています: (%1)、以前のオンボード BLOB ハッシュ: (%2)、IsDefault: (%3)、オンボード状態: (%4)、オンボード状態 IsDefault: (%5)、新しいオンボード BLOB ハッシュ: (%6)。 | オンボードの一部として値をトレースします。 | 通常の動作通知。操作は必要ありません。 |
| 1828 | CSP: オンボード プロセス。 サービスが実行されています: (%1)、以前のオフボード BLOB ハッシュ: (%2)、IsDefault: (%3)、オンボード状態: (%4)、オンボード状態 IsDefault: (%5)、新しいオフボード BLOB ハッシュ: (%6)。 | オフボードの一部として値をトレースします。 | 通常の動作通知。操作は必要ありません。 |
| 1829 | CSP: サンプル共有値の設定に失敗しました。 要求された値: (%1)、許可される値 (%2) から (%3)。 | SampleSharing 操作の値が無効です。 | サポートに問い合わせてください。 |
| 1830 | CSP: テレメトリ レポートの頻度の値を設定できませんでした。 要求された値: (%1)。 | TelemetryReportingFrequency の値の設定に失敗しました。 | 問題が解決しない場合は、サポートにお問い合わせください。 |
| 1831 | CSP: Get Sense が実行されています。 サービスは遅延開始として構成され hasn't 、まだ開始されています。 |
SenseIsRunning の結果を取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1832 | CSP: デバイスタグ付けグループの取得が完了します。 値: (%1)、IsDefault: (%2)。 | レジストリから DeviceTagging グループを取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1833 | CSP: デバイス タグ付けの重要度の値が完了します。 レジストリ: (%1)、IsDefault: (%2)、変換成功: (%3)、結果: (%4)。 | 完了したレジストリから DeviceTagging Criticality を取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1834 | CSP: デバイスタグ付け識別方法の値を取得します。 レジストリ: (%1)、IsDefault: (%2)、変換成功: (%3)、結果: (%4)。 | 完了したレジストリから DeviceTagging Id メソッドを取得します。 | 通常の動作通知。操作は必要ありません。 |
| 1835 | CSP: デバイス タグ付けグループの設定が完了しました。 値: (%1)、結果: (%2)。 | 完了したレジストリで DeviceTagging グループを設定します。 | 通常の動作通知。操作は必要ありません。 |
| 1836 | CSP: デバイス タグ付けグループが許可された制限を超えた設定。 許可: (%1)、実績: (%2)。 | [DeviceTagging Group failed]\(デバイスタグ グループが失敗しました\) を[最大長さ制限]を超えた場合に設定します。 | 問題が解決しない場合は、サポートにお問い合わせください。 |
| 1837 | CSP: デバイス タグ付けの重要度の値を完全に設定します。 前の値: (%1)、IsDefault: (%2)、新しい値: (%3)、結果: (%4)。 | 完了したレジストリで DeviceTagging Criticality を設定します。 | 通常の動作通知。操作は必要ありません。 |
| 1838 | CSP: デバイス タグ付けの重要度の値を設定できませんでした。 要求された値: (%1)、許可される値 (%2) から (%3)。 | 値が予期された範囲内になかったので、DeviceTagging の重要度に失敗しましたを設定します。 | 問題が解決しない場合は、サポートにお問い合わせください。 |
| 1839 | CSP: デバイス タグ付け識別方法の値を完全に設定します。 前の値: (%1)、IsDefault: (%2)、新しい値: (%3)、結果: (%4)。 | 完了したレジストリで DeviceTagging Id メソッドを設定します。 | 通常の動作通知。操作は必要ありません。 |
| 1840 | CSP: デバイスタグ付け識別方法の値を設定できませんでした。 要求された値: (%1)、許可される値 (%2) から (%3)。 | 値が予期した範囲内になかったので、DeviceTagging Id メソッドの設定に失敗しました。 | 問題が解決しない場合は、サポートにお問い合わせください。 |
システム イベント ログで Defender for Endpoint イベントを表示する
Microsoft Defender for Endpointイベントは、システム イベント ログにも表示されます。
システム イベント ログを開くには:
- Windows メニューの [スタート] を選択し、「イベント ビューアー」と入力し、Enter キーを押してイベント ビューアーを開きます。
- ログの一覧の [ ログの概要] で、[ システム] が表示されるまでスクロールします。 この項目をダブルクリックしてログを開きます。
この表を使用して、システム イベント ログの Defender for Endpoint イベントの詳細を確認し、さらにトラブルシューティングの手順を決定できます。
| イベント ID | メッセージ | 説明 | Action |
|---|---|---|---|
| 1 | リアルタイム セッション "SenseNdrPktmon" のバッキング ファイルが最大サイズに達しました。 その結果、空き領域が使用可能になるまで、新しいイベントはこのセッションに記録されません。 | このリアルタイム セッションは、ネットワーク トラフィックをキャプチャする組み込みの Windows サービスである Pktmon と、パケットを非同期的に分析するエージェント (SenseNDR) の間で、パフォーマンスの潜在的な問題を防ぐために制限されるように構成されています。 その結果、短時間に受信されたパケットが多すぎる場合にこのアラートが表示され、一部のパケットがスキップされる可能性があります。 このアラートは、高いネットワーク トラフィックでより一般的です。 | 通常の動作通知。操作は必要ありません。 |
関連項目
- Windows クライアント デバイスのオンボード
- デバイス プロキシとインターネット接続の設定を構成する
- Microsoft Defender for Endpoint のトラブルシューティング
- クライアント アナライザーの概要
- クライアント アナライザーのダウンロードと実行
- アナライザー HTML レポートの理解
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。