résolution des problèmes de Microsoft Defender pour Identity capteur à l’aide de defender pour les journaux d’identité

l’defender pour les journaux d’identité fournit un aperçu de ce que chaque composant de Microsoft Defender pour Identity capteur fait à un moment donné.

L’Defender des journaux d’identité se trouve dans un sous-dossier nommé logs où Defender for Identity est installé. l’emplacement par défaut est : C:\Program Files\Azure-protection avancée contre les menaces \. Dans l’emplacement de l’installation par défaut, il se trouve ici : C:\Program Files\Azure Advanced Threat Protection Sensor\numéro de version\Logs.

L’Defender pour le capteur d’identité a les journaux suivants :

  • Microsoft. tri. Sensor. log : ce journal contient tout ce qui se produit dans l’Defender pour le capteur d’identité (y compris la résolution et les erreurs). Son utilisation principale consiste à obtenir l’état général de toutes les opérations dans l’ordre chronologique dans lequel elles se sont produites.

  • Microsoft. tri. Sensor-Errors. log : ce journal contient uniquement les erreurs interceptées par l’Defender pour le capteur d’identité. Son utilisation principale consiste à exécuter des vérifications d’intégrité et à examiner les problèmes qui doivent être mis en corrélation avec des heures spécifiques.

  • Microsoft. tri. Sensor. Updater. log : ce journal est utilisé pour le processus de mise à jour du capteur, qui est chargé de mettre à jour l’Defender pour le capteur d’identité s’il est configuré pour ce faire automatiquement.

Notes

Les trois premiers fichiers journaux ont une taille maximale de 50 Mo. Quand cette taille est atteinte, un nouveau fichier journal est ouvert et le précédent est renommé en « <nom_fichier_origine>-Archive-00000 » où le nombre augmente chaque fois qu’il est renommé. Par défaut, s’il existe déjà plus de 10 fichiers du même type, les plus anciens sont supprimés.

Defender pour les journaux de déploiement des identités

Les journaux de déploiement des identités de Defender se trouvent dans le répertoire Temp de l’utilisateur qui a installé le produit. Il se trouve généralement dans %UserProfile%\AppData\Local\Temp. s’il a été déployé par un service, il se trouve à l’adresse C:\ Windows \temp.

Defender pour les journaux de déploiement du capteur d’identité :

  • Azure-protection avancée contre les menaces Microsoft.tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS. log : ce fichier journal fournit l’intégralité du processus de déploiement de capteur et se trouve dans le dossier Temp mentionné précédemment.

  • Azure-protection avancée contre les menaces Sensor_YYYYMMDDHHMMSS. log : ce journal répertorie les étapes du processus de déploiement de Defender pour le capteur d’identité. Son utilisation principale consiste à suivre le processus de déploiement de l’outil Defender pour le déploiement du capteur d’identité.

  • Azure-protection avancée contre les menaces Sensor_YYYYMMDDHHMMSS_001_MsiPackage. log : ce fichier journal répertorie les étapes du processus de déploiement de l’Defender pour les binaires de capteur d’identité. Son utilisation principale consiste à suivre le déploiement de Defender pour les binaires de capteur d’identité.

Notes

En plus des journaux de déploiement mentionnés ici, il existe d’autres journaux qui commencent par « Azure Advanced Threat Protection » qui peuvent également fournir des informations supplémentaires sur le processus de déploiement.

Voir aussi