使用 Defender for Identity 日志排查Microsoft Defender for Identity传感器问题
Defender for Identity 日志可深入了解Microsoft Defender for Identity传感器的每个组件在任何给定时间点执行的操作。
Defender for Identity 日志位于名为 “日志” 的子文件夹中,其中安装了 Defender for Identity;默认位置为: C:\Program Files\Azure Advanced Threat Protection Sensor。 在默认安装位置中,可以在 以下位置找到它: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs。
Defender for Identity 传感器日志
Defender for Identity 传感器具有以下日志:
Microsoft.Tri.Sensor.log – 此日志包含 Defender for Identity 传感器 (中发生的所有内容,包括) 的解决方法和错误。 其main用途是按发生操作的时间顺序获取所有操作的总体状态。
Microsoft.Tri.Sensor-Errors.log – 此日志仅包含 Defender for Identity 传感器捕获的错误。 其main用途是执行运行状况检查并调查需要与特定时间相关的问题。
Microsoft.Tri.Sensor.Updater.log - 此日志用于传感器更新程序进程,该进程负责更新 Defender for Identity 传感器(如果配置为自动更新)。
Microsoft.Tri.Sensor.Updater-Errors.log – 此日志仅包含 Defender for Identity 传感器更新程序捕获的错误。 其main用途是执行运行状况检查并调查需要与特定时间相关的问题。
注意
日志文件的最大大小为 50 MB。 达到该大小后,将打开一个新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时,数字都会递增。 默认情况下,如果已存在同一类型的 10 个以上的文件,则删除最早的文件。
Defender for Identity 部署日志
Defender for Identity 部署日志位于安装产品的用户的临时目录中。 通常,可以在 中找到这些日志 %USERPROFILE%\AppData\Local\Temp。 如果部署由服务执行,则日志可能位于 或 C:\Windows\SystemTemp中C:\Windows\Temp,具体取决于 Windows 版本和修补程序级别。
Defender for Identity 传感器部署日志:
Azure 高级威胁防护 Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log - 此日志文件提供传感器部署的整个过程,可在前面提到的临时文件夹中找到。
Azure 高级威胁防护Sensor_YYYYMMDDHHMMSS.log - 此日志列出了部署 Defender for Identity 传感器的过程中的步骤。 其main用途是跟踪 Defender for Identity 传感器部署过程。
Azure 高级威胁防护Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log - 此日志文件列出了部署 Defender for Identity 传感器二进制文件过程中的步骤。 其main用途是跟踪 Defender for Identity 传感器二进制文件的部署。
注意
除了此处提到的部署日志外,还有其他以“Azure 高级威胁防护”开头的日志,这些日志还可以提供有关部署过程的其他信息。