Problembehandlung mithilfe von ATA-Protokollen

Gilt für: Advanced Threat Analytics, Version 1.9

Die ATA-Protokolle liefern Einblicke in die Funktionsweise der einzelnen ATA-Komponenten zu einem bestimmten Zeitpunkt.

ATA-Gatewayprotokolle

In diesem Abschnitt gilt jeder Verweis auf das ATA-Gateway auch für das ATA Lightweight-Gateway.

Die ATA-Gatewayprotokolle befinden sich in einem Unterordner namens Protokolle, in dem ATA installiert ist. Der Standardspeicherort lautet: C:\Programme\Microsoft Advanced Threat Analytics\. Am Standardinstallationsspeicherort finden Sie sie unter: C:\Programme\Microsoft Advanced Threat Analytics\Gateway\Logs.

Das ATA-Gateway weist die folgenden Protokolle auf:

• Microsoft.Tri.Gateway.log – Dieses Protokoll enthält alles, was im ATA-Gateway geschieht (einschließlich Auflösung und Fehler). Wird hauptsächlich genutzt, um den Gesamtstatus aller Vorgänge in der chronologischen Reihenfolge zu erhalten, in der sie aufgetreten sind.

• Microsoft.Tri.Gateway-Resolution.log – Dieses Protokoll enthält die Auflösungsdetails der Entitäten, die im Datenverkehr vom ATA-Gateway angezeigt werden. Wird hauptsächlich genutzt, um Auflösungsprobleme von Entitäten zu untersuchen.

• Microsoft.Tri.Gateway-Errors.log – Dieses Protokoll enthält nur die Fehler, die vom ATA-Gateway abgefangen werden. Wird hauptsächlich genutzt, um Integritätsprüfungen durchzuführen und Probleme zu untersuchen, die mit bestimmten Zeiten korreliert werden müssen.

• Microsoft.Tri.Gateway-ExceptionStatistics.log – Dieses Protokoll gruppiert alle ähnlichen Fehler und Ausnahmen und misst ihre Anzahl. Diese Datei beginnt bei jedem Start des ATA-Gatewaydiensts leer und wird jede Minute aktualisiert. Wird hauptsächlich genutzt, um zu verstehen, ob es neue Fehler oder Probleme mit dem ATA-Gateway gibt (da die Fehler gruppiert sind, ist es einfacher zu lesen und schnell zu verstehen, ob neue Probleme auftreten).

• Microsoft.Tri.Gateway.Updater.log – Dieses Protokoll wird für den Gatewayupdaterprozess verwendet, der für die Aktualisierung des ATA-Gateways verantwortlich ist, wenn dies automatisch konfiguriert ist. Für das ATA Lightweight Gateway ist der Gatewayupdaterprozess auch für die Ressourcenbeschränkungen des ATA Lightweight Gateway verantwortlich.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log – Dieses Protokoll gruppiert alle ähnlichen Fehler und Ausnahmen zusammen und misst ihre Anzahl. Diese Datei beginnt bei jedem Start des ATA Updater-Diensts leer und wird jede Minute aktualisiert. Wird hauptsächlich genutzt, um zu verstehen, ob neue Fehler oder Probleme mit dem ATA Updater auftreten. Die Fehler werden gruppiert, um schnell zu verstehen, ob neue Fehler oder Probleme erkannt werden.

Hinweis

Die ersten drei Protokolldateien haben eine maximale Größe von bis zu 50 MB. Wenn diese Größe erreicht ist, wird eine neue Protokolldatei geöffnet, und die vorherige wird in "<original file name-Archived-00000>" umbenannt, wobei die Zahl jedes Mal erhöht wird, wenn sie umbenannt wird. Wenn bereits mehr als 10 Dateien aus demselben Typ vorhanden sind, werden die ältesten standardmäßig gelöscht.

ATA Center-Protokolle

Die ATA Center-Protokolle befinden sich in einem Unterordner namens "Protokolle". Am Standardinstallationsspeicherort finden Sie sie unter: C:\Programme\Microsoft Advanced Threat Analytics\Center\Logs.

Hinweis

Die ATA-Konsolenprotokolle, die sich bisher unter IIS-Protokollen befanden, befinden sich jetzt unter ATA Center-Protokollen.

Das ATA Center verfügt über die folgenden Protokolle:

• Microsoft.Tri.Center.log – Dieses Protokoll enthält alles, was im ATA Center geschieht, einschließlich Erkennungen und Fehler. Wird hauptsächlich genutzt, um den Gesamtstatus aller Vorgänge in der chronologischen Reihenfolge zu erhalten, in der sie aufgetreten sind.

• Microsoft.Tri.Center-Detection.log – Dieses Protokoll enthält nur die Erkennungsdetails des ATA Centers. Wird hauptsächlich genutzt, um Erkennungsprobleme zu untersuchen.

• Microsoft.Tri.Center-Errors.log – Dieses Protokoll enthält nur die Fehler, die vom ATA Center abgefangen werden. Wird hauptsächlich genutzt, um Integritätsprüfungen durchzuführen und Probleme zu untersuchen, die mit bestimmten Zeiten korreliert werden müssen.

• Microsoft.Tri.Center-ExceptionStatistics.log – Dieses Protokoll gruppiert alle ähnlichen Fehler und Ausnahmen und misst ihre Anzahl. Diese Datei beginnt bei jedem Start des ATA Center-Diensts leer und wird jede Minute aktualisiert. Wird hauptsächlich genutzt, um zu verstehen, ob es neue Fehler oder Probleme mit dem ATA Center gibt (da die Fehler gruppiert sind, ist es einfacher zu lesen und schnell zu verstehen, ob neue Probleme auftreten).

Hinweis

Die ersten drei Protokolldateien haben eine maximale Größe von bis zu 50 MB. Wenn diese Größe erreicht ist, wird eine neue Protokolldatei geöffnet, und die vorherige wird in "<original file name-Archived-00000>" umbenannt, wobei die Zahl jedes Mal erhöht wird, wenn sie umbenannt wird. Wenn bereits mehr als 10 Dateien aus demselben Typ vorhanden sind, werden die ältesten standardmäßig gelöscht.

ATA-Bereitstellungsprotokollen

Die ATA-Bereitstellungsprotokolle befinden sich im temporären Verzeichnis des Benutzers, der das Produkt installiert hat. Am Standardinstallationsspeicherort finden Sie folgendes: C:\Angemeldete> Benutzer<\AppData\Local\Temp (oder ein Verzeichnis über %temp%).

ATA Center-Bereitstellungsprotokolle:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log – Dieses Protokoll listet die Schritte im Prozess der Bereitstellung des ATA Center auf. Wird hauptsächlich genutzt, um den ATA Center-Bereitstellungsprozess zu verfolgen.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log – Dieses Protokoll listet die Schritte im Prozess der MongoDB-Bereitstellung im ATA Center auf. Wird hauptsächlich genutzt, um den MongoDB-Bereitstellungsprozess zu verfolgen.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log – Diese Protokolldatei listet die Schritte im Prozess der Bereitstellung der ATA Center-Binärdateien auf. Wird hauptsächlich genutzt, um die Bereitstellung von ATA Center-Binärdateien zu verfolgen.

ATA-Gateway- und ATA Lightweight Gateway-Bereitstellungsprotokolle:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log – Dieses Protokoll listet die Schritte im Prozess der Bereitstellung des ATA-Gateways auf. Wird hauptsächlich genutzt, um den ATA Gateway-Bereitstellungsprozess zu verfolgen.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log – Diese Protokolldatei listet die Schritte im Prozess der Bereitstellung der ATA-Gateway-Binärdateien auf. Wird hauptsächlich genutzt, um die Bereitstellung von ATA Gateway-Binärdateien zu verfolgen.

Hinweis

Zusätzlich zu den hier Erwähnung bereitgestellten Bereitstellungsprotokollen gibt es weitere Protokolle, die mit "Microsoft Advanced Threat Analytics" beginnen, die auch zusätzliche Informationen zum Bereitstellungsprozess bereitstellen können.

Weitere Informationen

• ATA-Voraussetzungen
• ATA-Kapazitätsplanung
• Konfigurieren der Ereignissammlung
• Konfigurieren der Windows-Ereignisweiterleitung
• Schauen Sie ins ATA-Forum!