使用適用於身分識別的 Defender 記錄針對 適用於身分識別的 Microsoft Defender 感測器進行疑難解答
適用於身分識別的 Defender 記錄可讓您深入瞭解 適用於身分識別的 Microsoft Defender 感測器的每個元件在任何指定的時間點執行的動作。
適用於身分識別的 Defender 記錄位於名為 Logs 的子資料夾中,其中已安裝適用於身分識別的 Defender;默認位置為: C:\Program Files\Azure Advanced Threat Protection Sensor。 在預設安裝位置中,您可以在下列位置找到: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs。
適用於身分識別的Defender感測器記錄
適用於身分識別的 Defender 感測器具有下列記錄:
Microsoft.Tri.Sensor.log – 此記錄包含適用於身分識別的 Defender 感測器 (中發生的一切,包括解析和錯誤) 。 其主要用途是以其發生時間順序取得所有作業的整體狀態。
Microsoft.Tri.Sensor-Errors.log – 此記錄只包含適用於身分識別的 Defender 感測器所攔截到的錯誤。 其主要用途是執行健康狀態檢查,並調查需要與特定時間相互關聯的問題。
Microsoft.Tri.Sensor.Updater.log - 此記錄會用於感測器更新程式,如果設定為自動更新適用於身分識別的 Defender 感測器,則會負責更新該程式。
Microsoft.Tri.Sensor.Updater-Errors.log – 此記錄檔只包含適用於身分識別的 Defender 感測器更新程式所攔截到的錯誤。 其主要用途是執行健康狀態檢查,並調查需要與特定時間相互關聯的問題。
注意事項
記錄檔的大小上限為 50 MB。 達到該大小時,會開啟新的記錄檔,並將上一個記錄檔重新命名為 「<original file name-Archived-00000>“,其中每次重新命名時的數字都會遞增。 根據預設,如果已經有超過10個來自相同類型的檔案存在,則會刪除最舊的檔案。
適用於身分識別的Defender部署記錄
適用於身分識別的 Defender 部署記錄位於安裝產品之使用者的暫存目錄中。 一般而言,您可以在 找到這些記錄。%USERPROFILE%\AppData\Local\Temp 如果部署是由服務執行,記錄可能會位於 C:\Windows\Temp 或 C:\Windows\SystemTemp中,視您的 Windows 版本和修補程式層級而定。
適用於身分識別的Defender感測器部署記錄:
Azure 進階威脅防護 Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log - 此記錄檔提供感測器部署的整個程式,並可在先前所述的暫存資料夾中找到。
Azure 進階威脅防護Sensor_YYYYMMDDHHMMSS.log - 此記錄會列出適用於身分識別的 Defender 感測器部署程式中的步驟。 其主要用途是追蹤適用於身分識別的Defender感測器部署程式。
Azure 進階威脅防護Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log - 此記錄檔會列出適用於身分識別的 Defender 感測器二進位檔部署程式中的步驟。 其主要用途是追蹤適用於身分識別的Defender感測器二進位檔的部署。
注意事項
除了此處所述的部署記錄之外,還有其他以「Azure 進階威脅防護」開頭的記錄,也可以提供部署程式的其他資訊。