客户端事件日志
MBAM 客户端事件日志位于事件查看器 - 应用程序和服务日志 - Microsoft - Windows - MBAM - 操作路径中。 下表包含 MBAM 客户端上可能发生的事件 ID。
| 事件 ID | 频道 | 事件符号 | 邮件 |
|---|---|---|---|
| 1 | 操作 | VolumeEnactmentSuccessful | 已成功应用 MBAM 策略。 |
| 2 | 管理员 | VolumeEnactmentFailed | 应用 MBAM 策略时出错。 |
| 3 | 操作 | TransferStatusDataSuccessful | 已成功发送加密状态数据。 |
| 4 | 管理员 | TransferStatusDataFailed | 发送加密状态数据时出错。 |
| 8 | 管理员 | SystemVolumeNotFound | 缺少系统卷。 需要 SystemVolume 来加密操作系统驱动器。 |
| 9 | 管理员 | TPMNotFound | 缺少 TPM 硬件。 需要使用 TPM 来使用任何 TPM 保护程序加密操作系统驱动器。 |
| 10 | 管理员 | MachineHWExempted | 计算机从加密中免除。 计算机的硬件状态:已豁免 |
| 11 | 管理员 | MachineHWUnknown | 计算机不受加密。 计算机的硬件状态:未知 |
| 12 | 管理员 | HWCheckFailed | 硬件豁免检查失败。 |
| 13 | 管理员 | UserIsExempted | 用户不受加密。 |
| 14 | 管理员 | UserIsWaiting | 用户请求豁免。 |
| 15 | 管理员 | UserExemptionCheckFailed | 用户豁免检查失败。 |
| 16 | 管理员 | UserPostponed | 用户推迟了加密过程。 |
| 17 | 管理员 | TPMInitializationFailed | TPM 初始化失败。 用户拒绝了 BIOS 更改。 |
| 18 | 管理员 | CoreServiceDown | 无法连接到 MBAM 恢复和硬件服务。 |
| 19 | 操作 | CoreServiceUp | 已成功连接到 MBAM 恢复和硬件服务。 |
| 20 | 管理员 | PolicyMismatch | MBAM 策略存在冲突或损坏。 |
| 21 | 管理员 | ConflictingOSVolumePolicies | 检测到 OS 卷加密策略冲突。 检查与 OS 驱动器保护程序相关的 BitLocker 和 MBAM 策略。 |
| 22 | 管理员 | ConflictingFDDVolumePolicies | 检测到固定数据驱动器卷加密策略冲突。 检查与 FDD 驱动器保护程序相关的 BitLocker 和 MBAM 策略。 |
| 27 | 管理员 | EncryptionFailedNoDra | 加密时出错。 预Windows 8.1计算机在 FIPS 模式下需要数据恢复代理 (DRA) 保护程序。 |
| 28 | 操作 | TpmOwnerAuthEscrowed | TPM OwnerAuth 已托管。 |
| 29 | 操作 | RecoveryKeyEscrowed | 卷的 BitLocker 恢复密钥已托管。 |
| 30 | 操作 | RecoveryKeyReset | 卷的 BitLocker 恢复密钥已更新。 |
| 31 | 操作 | EnforcePolicyDateSet | 已为卷设置了强制策略日期 <(日期>) |
| 32 | 操作 | EnforcePolicyDateCleared | 已清除卷的强制策略日期 <、日期>。 |
| 33 | 操作 | TpmLockOutResetSucceeded | 已成功重置 TPM 锁定。 |
| 34 | 管理员 | TpmLockOutResetFailed | 无法重置 TPM 锁定。 |
| 35 | 操作 | TpmOwnerAuthRetrievalSucceeded | 已成功从 MBAM 服务检索 TPM OwnerAuth。 |
| 36 | 管理员 | TpmOwnerAuthRetrievalFailed | 无法从 MBAM 服务检索 TPM OwnerAuth。 |
| 37 | 管理员 | WmiProviderDllSearchPathUpdateFailed | 未能更新 WMI 提供程序的 DLL 搜索路径。 |
| 38 | 管理员 | TimedOutWaitingForWmiProvider | 代理停止 - 等待 MBAM WMI 提供程序实例超时。 |
| 39 | 操作 | RemovableDriveMounted | 已装载可移动驱动器。 |
| 40 | 操作 | RemovableDriveDismounted | 可移动驱动器已卸载。 |
| 41 | 操作 | FailedToEnactEndpointUnreachable | 无法连接到 MBAM 恢复和硬件服务,导致 MBAM 策略无法成功应用于卷。 |
| 42 | 操作 | FailedToEnactLockedVolume | 锁定卷状态阻止 MBAM 策略成功应用于卷。 |
| 43 | 操作 | TransferStatusDataFailedEndpointUnreachable | 无法连接到 MBAM 合规性和状态服务,导致无法传输加密状态数据。 |