Risoluzione dei problemi di ATA con i log ATA

Si applica a: Advanced Threat Analytics versione 1.9

I log ATA forniscono informazioni dettagliate sulle operazioni che ogni componente di ATA sta eseguendo in qualsiasi momento specifico.

Log del gateway ATA

In questa sezione ogni riferimento al gateway ATA è rilevante anche per il gateway ATA Lightweight.

I log del gateway ATA si trovano in una sottocartella denominata Logs in cui è installato ATA. Il percorso predefinito è C :\Programmi\Microsoft Advanced Threat Analytics\. Nel percorso di installazione predefinito è disponibile in: C:\Programmi\Microsoft Advanced Threat Analytics\Gateway\Logs.

Il gateway ATA include i log seguenti:

• Microsoft.Tri.Gateway.log : questo log contiene tutti gli elementi che si verificano nel gateway ATA (inclusa la risoluzione e gli errori). Il suo uso principale è ottenere lo stato complessivo di tutte le operazioni nell'ordine cronologico in cui si sono verificati.

• Microsoft.Tri.Gateway-Resolution.log : questo log contiene i dettagli di risoluzione delle entità visualizzate nel traffico dal gateway ATA. L'uso principale è l'analisi dei problemi di risoluzione delle entità.

• Microsoft.Tri.Gateway-Errors.log : questo log contiene solo gli errori rilevati dal gateway ATA. L'uso principale è l'esecuzione di controlli di integrità e l'analisi dei problemi che devono essere correlati a orari specifici.

• Microsoft.Tri.Gateway-ExceptionStatistics.log : questo log raggruppa tutti gli errori e le eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che viene avviato il servizio gateway ATA e viene aggiornato ogni minuto. Il suo uso principale è comprendere se sono presenti nuovi errori o problemi con il gateway ATA (perché gli errori sono raggruppati è più facile leggere e capire rapidamente se sono presenti nuovi problemi).

• Microsoft.Tri.Gateway.Updater.log : questo log viene usato per il processo di aggiornamento del gateway, che è responsabile dell'aggiornamento automatico del gateway ATA, se configurato per farlo automaticamente. Per il gateway ATA Lightweight, il processo di aggiornamento del gateway è anche responsabile delle limitazioni delle risorse del gateway ATA Lightweight.

• Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log : questo log raggruppa tutti gli errori e le eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che viene avviato il servizio Di aggiornamento ATA e viene aggiornato ogni minuto. Consente di comprendere se sono presenti nuovi errori o problemi con ATA Updater. Gli errori vengono raggruppati per semplificare la comprensione rapida se vengono rilevati nuovi errori o problemi.

Nota

I primi tre file di log hanno dimensioni massime fino a 50 MB. Quando viene raggiunta tale dimensione, viene aperto un nuovo file di log e quello precedente viene rinominato in "<original file name-Archived-00000>" in cui il numero viene incrementato ogni volta che viene rinominato. Per impostazione predefinita, se esistono più di 10 file dello stesso tipo, il meno recente viene eliminato.

Log di ATA Center

I log di ATA Center si trovano in una sottocartella denominata Logs. Nel percorso di installazione predefinito è disponibile in: C:\Programmi\Microsoft Advanced Threat Analytics\Center\Logs".

Nota

I log della console ATA precedentemente inclusi nei log IIS si trovano ora nei log di ATA Center.

ATA Center include i log seguenti:

• Microsoft.Tri.Center.log : questo log contiene tutti gli elementi che si verificano in ATA Center, inclusi rilevamenti ed errori. Il suo uso principale è ottenere lo stato complessivo di tutte le operazioni nell'ordine cronologico in cui si sono verificati.

• Microsoft.Tri.Center-Detection.log : questo log contiene solo i dettagli di rilevamento di ATA Center. Il suo uso principale è l'analisi dei problemi di rilevamento.

• Microsoft.Tri.Center-Errors.log : questo log contiene solo gli errori rilevati da ATA Center. L'uso principale è l'esecuzione di controlli di integrità e l'analisi dei problemi che devono essere correlati a orari specifici.

• Microsoft.Tri.Center-ExceptionStatistics.log : questo log raggruppa tutti gli errori e le eccezioni simili e ne misura il conteggio. Questo file viene avviato vuoto ogni volta che viene avviato il servizio ATA Center e viene aggiornato ogni minuto. Il suo uso principale è capire se sono presenti nuovi errori o problemi con ATA Center - perché gli errori sono raggruppati è più facile comprendere rapidamente se si verifica un nuovo errore o problema.

Nota

I primi tre file di log hanno dimensioni massime fino a 50 MB. Quando viene raggiunta tale dimensione, viene aperto un nuovo file di log e quello precedente viene rinominato in "<original file name-Archived-00000>" in cui il numero viene incrementato ogni volta che viene rinominato. Per impostazione predefinita, se esistono più di 10 file dello stesso tipo, il meno recente viene eliminato.

Log di distribuzione di ATA

I log di distribuzione di ATA si trovano nella directory temporanea per l'utente che ha installato il prodotto. Nel percorso di installazione predefinito è disponibile in: C:\Users<logged-in-user>\AppData\Local\Temp (o una directory superiore a %temp%).

Log di distribuzione di ATA Center:

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log : questo log elenca i passaggi del processo di distribuzione di ATA Center. Il suo uso principale è il monitoraggio del processo di distribuzione di ATA Center.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log : questo log elenca i passaggi del processo di distribuzione di MongoDB in ATA Center. L'uso principale consiste nel tenere traccia del processo di distribuzione mongoDB.

• Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log : questo file di log elenca i passaggi del processo di distribuzione dei file binari di ATA Center. L'uso principale consiste nel tenere traccia della distribuzione dei file binari di ATA Center.

Log di distribuzione del gateway ATA e del gateway ATA Lightweight:

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log : questo log elenca i passaggi del processo di distribuzione del gateway ATA. Il suo uso principale è il rilevamento del processo di distribuzione del gateway ATA.

• Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log : questo file di log elenca i passaggi del processo di distribuzione dei file binari del gateway ATA. L'uso principale consiste nel tenere traccia della distribuzione dei file binari del gateway ATA.

Nota

Oltre ai log di distribuzione indicati qui, esistono altri log che iniziano con "Microsoft Advanced Threat Analytics" che possono anche fornire informazioni aggiuntive sul processo di distribuzione.

Vedi anche

• Prerequisiti di ATA
• Pianificazione della capacità di ATA
• Configurare la raccolta di eventi
• Configurazione dell'inoltro di eventi di Windows
• Consulta il forum di ATA!