Felsöka Microsoft Defender for Identity sensor med hjälp av Defender for Identity-loggar
Defender for Identity-loggarna ger insikt i vad varje komponent i Microsoft Defender for Identity sensorn gör vid en viss tidpunkt.
Defender for Identity-loggarna finns i en undermapp med namnet Logs där Defender for Identity är installerat. standardplatsen är: C:\Program Files\Azure Advanced Threat Protection Sensor. På standardinstallationsplatsen finns den på: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.
Defender for Identity-sensorloggar
Defender for Identity-sensorn har följande loggar:
Microsoft.Tri.Sensor.log – Den här loggen innehåller allt som händer i Defender for Identity-sensorn (inklusive lösning och fel). Dess huvudsakliga användning är att få den övergripande statusen för alla åtgärder i kronologisk ordning där de inträffade.
Microsoft.Tri.Sensor-Errors.log – Den här loggen innehåller bara de fel som fångas av Defender for Identity-sensorn. Dess huvudsakliga användning är att utföra hälsokontroller och undersöka problem som måste korreleras till specifika tider.
Microsoft.Tri.Sensor.Updater.log – Den här loggen används för sensoruppdateringsprocessen, som ansvarar för att uppdatera Defender for Identity-sensorn om den har konfigurerats för att göra det automatiskt.
Microsoft.Tri.Sensor.Updater-Errors.log – Den här loggen innehåller bara de fel som fångas av Defender for Identity-sensoruppdateringsappen. Dess huvudsakliga användning är att utföra hälsokontroller och undersöka problem som måste korreleras till specifika tider.
Obs!
Loggfilerna har en maximal storlek på upp till 50 MB. När den storleken har nåtts öppnas en ny loggfil och den föregående ändras till "<ursprungligt filnamn-Arkiverat-000000>" där antalet ökar varje gång det byter namn. Om det redan finns fler än 10 filer av samma typ tas den äldsta som standard bort.
Defender for Identity-distributionsloggar
Defender for Identity-distributionsloggarna finns i temp-katalogen för användaren som installerade produkten. Vanligtvis hittar du dessa loggar på %USERPROFILE%\AppData\Local\Temp. Om distributionen utfördes av en tjänst kan loggarna finnas i C:\Windows\Temp eller C:\Windows\SystemTemp, beroende på din Windows-version och korrigeringsnivå.
Distributionsloggar för Defender for Identity-sensorn:
Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log – Den här loggfilen innehåller hela processen för sensordistribution och finns i temp-mappen som nämnts tidigare.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log – I den här loggen visas stegen i distributionsprocessen för Defender for Identity-sensorn. Dess huvudsakliga användning är att spåra distributionsprocessen för Defender for Identity-sensorn.
Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log – Den här loggfilen visar stegen i distributionsprocessen för binärfilerna för Defender for Identity-sensorn. Dess huvudsakliga användning är att spåra distributionen av binärfilerna för Defender for Identity-sensorn.
Obs!
Förutom de distributionsloggar som nämns här finns det andra loggar som börjar med "Azure Advanced Threat Protection" som också kan ge ytterligare information om distributionsprocessen.