通过

使用 ATA 日志对 ATA 进行故障排除

  • 项目

适用于:高级威胁分析版本 1.9

ATA 日志提供对 ATA 的每个组件在任何给定时间点执行的操作的见解。

ATA 网关日志

在本部分中,对 ATA 网关的每个引用也与 ATA 轻型网关相关。

ATA 网关日志位于名为 “日志 ”的子文件夹中,其中安装了 ATA;默认位置为: C:\Program Files\Microsoft Advanced Threat Analytics\。 在默认安装位置中,可在以下位置找到它: C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs

ATA 网关具有以下日志:

  • Microsoft.Tri.Gateway.log – 此日志包含 ATA 网关 (发生的所有内容,包括) 解决和错误。 其main用途是按发生操作的时间顺序获取所有操作的总体状态。

  • Microsoft.Tri.Gateway-Resolution.log – 此日志包含 ATA 网关在流量中看到的实体的解析详细信息。 其main用途是调查实体的解析问题。

  • Microsoft.Tri.Gateway-Errors.log – 此日志仅包含 ATA 网关捕获的错误。 其main用途是执行运行状况检查并调查需要与特定时间相关的问题。

  • Microsoft.Tri.Gateway-ExceptionStatistics.log – 此日志对所有类似的错误和异常进行分组,并测量其计数。 每次启动 ATA 网关服务时,此文件将启动为空,每分钟更新一次。 其main用途是了解 ATA 网关 (是否存在任何新错误或问题,因为错误是分组的,因此更容易阅读,并快速了解是否有任何新问题) 。

  • Microsoft.Tri.Gateway.Updater.log - 此日志用于网关更新程序进程,该进程负责更新 ATA 网关(如果配置为自动更新)。 对于 ATA 轻型网关,网关更新程序进程还负责 ATA 轻型网关的资源限制。

  • Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log - 此日志将所有类似的错误和异常分组在一起,并测量其计数。 每次启动 ATA Updater 服务时,此文件将启动为空,每分钟更新一次。 它使你能够了解 ATA 更新程序是否存在任何新的错误或问题。 对错误进行分组,以便更轻松地快速了解是否检测到任何新错误或问题。

注意

前三个日志文件的最大大小为 50 MB。 达到该大小后,将打开一个新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时,数字都会递增。 默认情况下,如果已存在同一类型的 10 个以上的文件,则删除最早的文件。

ATA 中心日志

ATA 中心日志位于名为 Logs 的子文件夹中。 在默认安装位置中,可在以下位置找到它: C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs”。

注意

以前位于 IIS 日志下的 ATA 控制台日志现在位于 ATA 中心日志下。

ATA 中心具有以下日志:

  • Microsoft.Tri.Center.log – 此日志包含 ATA 中心内发生的所有内容,包括检测和错误。 其main用途是按发生操作的时间顺序获取所有操作的总体状态。

  • Microsoft.Tri.Center-Detection.log – 此日志仅包含 ATA 中心的检测详细信息。 其main用途是调查检测问题。

  • Microsoft.Tri.Center-Errors.log – 此日志仅包含 ATA 中心捕获的错误。 其main用途是执行运行状况检查并调查需要与特定时间相关的问题。

  • Microsoft.Tri.Center-ExceptionStatistics.log – 此日志对所有类似的错误和异常进行分组,并测量其计数。 每次 ATA 中心服务启动时,此文件将启动为空,每分钟更新一次。 它的main用途是了解 ATA 中心是否有任何新的错误或问题 - 因为错误是分组的,因此更容易快速了解是否存在新的错误或问题。

注意

前三个日志文件的最大大小为 50 MB。 达到该大小后,将打开一个新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时,数字都会递增。 默认情况下,如果已存在同一类型的 10 个以上的文件,则删除最早的文件。

ATA 部署日志

ATA 部署日志位于安装产品的用户的临时目录中。 在默认安装位置中,可以在以下位置找到它: C:\Users<登录->user\AppData\Local\Temp (或 %temp%) 上方的一个目录。

ATA 中心部署日志:

  • Microsoft高级威胁分析Center_YYYYMMDDHHMMSS.log - 此日志列出了 ATA 中心部署过程中的步骤。 其main用途是跟踪 ATA 中心部署过程。

  • Microsoft高级威胁分析Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log - 此日志列出了在 ATA 中心部署 MongoDB 的过程中的步骤。 其main用途是跟踪 MongoDB 部署过程。

  • Microsoft高级威胁分析Center_YYYYMMDDHHMMSS_1_MsiPackage.log - 此日志文件列出了 ATA 中心二进制文件的部署过程中的步骤。 其main用途是跟踪 ATA 中心二进制文件的部署。

ATA 网关和 ATA 轻型网关部署日志:

  • Microsoft高级威胁分析Gateway_YYYYMMDDHHMMSS.log - 此日志列出了 ATA 网关部署过程中的步骤。 其main用途是跟踪 ATA 网关部署过程。

  • Microsoft高级威胁分析Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log - 此日志文件列出了部署 ATA 网关二进制文件过程中的步骤。 其main用途是跟踪 ATA 网关二进制文件的部署。

注意

除了此处提到的部署日志外,还有其他以“Microsoft高级威胁分析”开头的日志,这些日志还可以提供有关部署过程的其他信息。

另请参阅