Устранение неполадок Microsoft Defender для удостоверений датчика с помощью журналов Defender для удостоверений
Журналы Defender для удостоверений содержат сведения о том, что делает каждый компонент датчика Microsoft Defender для удостоверений в любой момент времени.
Журналы Defender для удостоверений находятся во вложенной папке Logs, в которой установлен Defender для удостоверений. расположение по умолчанию: C:\Program Files\Azure Advanced Threat Protection Sensor. В расположении установки по умолчанию его можно найти по адресу : C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Журналы датчиков Defender для удостоверений
Датчик Defender для удостоверений содержит следующие журналы:
Microsoft.Tri.Sensor.log — этот журнал содержит все, что происходит с датчиком Defender для удостоверений (включая разрешение и ошибки). Его main использования — получение общего состояния всех операций в хронологическом порядке, в котором они были совершены.
Microsoft.Tri.Sensor-Errors.log — этот журнал содержит только ошибки, обнаруженные датчиком Defender для удостоверений. Его main используется для проверки работоспособности и изучения проблем, которые необходимо сопоставить с определенным временем.
Microsoft.Tri.Sensor.Updater.log . Этот журнал используется для процесса обновления датчика, который отвечает за обновление датчика Defender для удостоверений, если настроен для этого автоматически.
Microsoft.Tri.Sensor.Updater-Errors.log — этот журнал содержит только ошибки, обнаруженные средством обновления датчика Defender для удостоверений. Его main используется для проверки работоспособности и изучения проблем, которые необходимо сопоставить с определенным временем.
Примечание.
Максимальный размер файлов журнала — до 50 МБ. По достижении этого размера открывается новый файл журнала, а предыдущий переименовываются в "<имя исходного файла-Archived-00000>", где число увеличивается при каждом переименовании. По умолчанию, если уже существует более 10 файлов одного типа, самые старые удаляются.
Журналы развертывания Defender для удостоверений
Журналы развертывания Defender для удостоверений находятся во временном каталоге пользователя, установившего продукт. Как правило, эти журналы можно найти по адресу %USERPROFILE%\AppData\Local\Temp. Если развертывание выполнялось службой, журналы могут находиться в C:\Windows\Temp или C:\Windows\SystemTempв зависимости от версии Windows и уровня исправлений.
Журналы развертывания датчика Defender для удостоверений:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log . Этот файл журнала предоставляет весь процесс развертывания датчика и находится в папке temp, упомянутой ранее.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log . В этом журнале перечислены шаги в процессе развертывания датчика Defender для удостоверений. Его main используется отслеживание процесса развертывания датчика Defender для удостоверений.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log . В этом файле журнала перечислены шаги в процессе развертывания двоичных файлов датчика Defender для удостоверений. Его main используется отслеживание развертывания двоичных файлов датчика Defender для удостоверений.
Примечание.
В дополнение к журналам развертывания, упомянутым здесь, существуют и другие журналы, которые начинаются с "Расширенная защита от угроз Azure", которые также могут предоставлять дополнительные сведения о процессе развертывания.