使用 ATA 記錄針對 ATA 進行疑難解答
適用於:Advanced Threat Analytics 1.9 版
ATA 記錄可讓您深入瞭解 ATA 的每個元件在任何指定的時間點執行的動作。
ATA 閘道記錄
在本節中,ATA 閘道的每個參考也與 ATA 輕量型閘道相關。
ATA 閘道記錄位於安裝 ATA 的名為 Logs 的 子資料夾中;默認位置為: C:\Program Files\Microsoft Advanced Threat Analytics\。 在預設安裝位置中,您可以在下列位置找到: C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs。
ATA 閘道具有下列記錄:
Microsoft.Tri.Gateway.log – 此記錄檔包含 ATA 閘道中發生的一切 (包括解決方式和錯誤) 。 其主要用途是以其發生時間順序取得所有作業的整體狀態。
Microsoft.Tri.Gateway-Resolution.log – 此記錄包含 ATA 閘道在流量中看到的實體解析詳細數據。 其主要用途是調查實體的解決問題。
Microsoft.Tri.Gateway-Errors.log – 此記錄只包含 ATA 閘道所攔截到的錯誤。 其主要用途是執行健康狀態檢查,並調查需要與特定時間相互關聯的問題。
Microsoft.Tri.Gateway-ExceptionStatistics.log – 此記錄會將所有類似的錯誤和例外狀況分組,並測量其計數。 每當 ATA 閘道服務啟動並每分鐘更新一次時,此檔案就會從空白開始。 其主要用途是瞭解 ATA 閘道 (是否有任何新的錯誤或問題,因為錯誤已分組,因此更容易閱讀並快速瞭解是否有任何新問題) 。
Microsoft.Tri.Gateway.Updater.log - 此記錄會用於閘道更新程式,如果設定為自動更新 ATA 閘道,則會負責更新 ATA 閘道。 針對 ATA 輕量型閘道,閘道更新程式也會負責 ATA 輕量型閘道的資源限制。
Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log - 此記錄會將所有類似的錯誤和例外狀況群組在一起,並測量其計數。 每當 ATA 更新程式服務啟動並每分鐘更新一次時,此檔案就會從空白開始。 它可讓您瞭解 ATA 更新程式是否有任何新的錯誤或問題。 這些錯誤會分組,讓您更輕鬆地快速瞭解是否偵測到任何新的錯誤或問題。
注意事項
前三個記錄檔的大小上限為 50 MB。 達到該大小時,會開啟新的記錄檔,並將上一個記錄檔重新命名為 「<original file name-Archived-00000>“,其中每次重新命名時的數字都會遞增。 根據預設,如果已經有超過10個來自相同類型的檔案存在,則會刪除最舊的檔案。
ATA 中心記錄
ATA 中心記錄位於名為 Logs 的子資料夾中。 在預設安裝位置中,您可以在下列位置找到: C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs“。
注意事項
先前位於 IIS 記錄下的 ATA 控制台記錄現在位於 ATA 中心記錄下。
ATA 中心具有下列記錄:
Microsoft.Tri.Center.log – 此記錄包含 ATA 中心發生的所有事件,包括偵測和錯誤。 其主要用途是以其發生時間順序取得所有作業的整體狀態。
Microsoft.Tri.Center-Detection.log – 此記錄只包含 ATA 中心的偵測詳細數據。 其主要用途是調查偵測問題。
Microsoft.Tri.Center-Errors.log – 此記錄只包含 ATA 中心所攔截到的錯誤。 其主要用途是執行健康狀態檢查,並調查需要與特定時間相互關聯的問題。
Microsoft.Tri.Center-ExceptionStatistics.log – 此記錄會將所有類似的錯誤和例外狀況分組,並測量其計數。 每當 ATA 中心服務啟動並每分鐘更新一次時,此檔案就會以空白開始。 其主要用途是瞭解 ATA 中心是否有任何新的錯誤或問題,因為錯誤已分組,因此可以更輕鬆地快速瞭解是否有新的錯誤或問題。
注意事項
前三個記錄檔的大小上限為 50 MB。 達到該大小時,會開啟新的記錄檔,並將上一個記錄檔重新命名為 「<original file name-Archived-00000>“,其中每次重新命名時的數字都會遞增。 根據預設,如果已經有超過10個來自相同類型的檔案存在,則會刪除最舊的檔案。
ATA 部署記錄
ATA 部署記錄位於安裝產品之使用者的暫存目錄中。 在預設安裝位置中,您可以在下列位置找到: C:\Users<logged-in-user>\AppData\Local\Temp (或 %temp%) 上方的一個目錄。
ATA 中心部署記錄:
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log - 此記錄會列出 ATA 中心部署程式中的步驟。 其主要用途是追蹤 ATA 中心部署程式。
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log - 此記錄會列出 ATA 中心上 MongoDB 部署程式中的步驟。 其主要用途是追蹤 MongoDB 部署程式。
Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log - 此記錄檔會列出 ATA 中心二進位檔部署程式中的步驟。 其主要用途是追蹤 ATA 中心二進位檔的部署。
ATA 閘道和 ATA 輕量型閘道部署記錄:
Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log - 此記錄會列出 ATA 閘道部署程式中的步驟。 其主要用途是追蹤 ATA 閘道部署程式。
Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log - 此記錄檔會列出 ATA 閘道二進位檔部署程式中的步驟。 其主要用途是追蹤 ATA 閘道二進位檔的部署。
注意事項
除了此處所述的部署記錄之外,還有其他以「Microsoft進階威脅分析」開頭的記錄,也可以提供有關部署程式的其他資訊。