Применяется к Advanced Threat Analytics версии 1.8

Устранение неполадок в ATA с помощью журналов событий ATA

Журналы ATA содержат сведения о работе компонентов ATA в любой момент времени.

Журналы событий шлюза ATA

В этом разделе все справочные материалы о шлюзе ATA также относятся и к упрощенному шлюзу ATA.

Журналы шлюза ATA размещаются во вложенной папке Logs того каталога, где установлен ATA; каталог по умолчанию: C:\Program Files\Microsoft Advanced Threat Analytics\. Ее можно найти по следующему пути в месте установки по умолчанию: C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs.

В шлюзе ATA ведутся такие журналы событий:

  • Microsoft.Tri.Gateway.log — содержит информацию о событиях, связанных с шлюзом ATA, включая события разрешения и ошибки. Его основное назначение заключается в получении сведений о состоянии всех операций в хронологическом порядке.

  • Microsoft.Tri.Gateway Resolution.log — содержит сведения о разрешении сущностей на основе трафика, получаемого шлюзом ATA. Его основное назначение — изучение событий разрешения сущностей.

  • Microsoft.Tri.Gateway-Errors.log — содержит только те ошибки, которые перехватывает шлюз ATA. Его основное назначение — проверка работоспособности и изучение событий, которые необходимо сопоставить с моментом времени.

  • Microsoft.Tri.Gateway-ExceptionStatistics.log — здесь группируются и подсчитываются однотипные ошибки и исключения. На момент запуска шлюза ATA этот файл пустой. Во время работы шлюза он обновляется каждую минуту. Его основное назначение — получение данных о новых ошибках или событиях шлюза ATA. Понять, появились ли новые ошибки, и ознакомиться с ними гораздо легче, так как они сгруппированы по категориям.

  • Microsoft.Tri.Gateway.Updater.log — этот журнал используется для процесса обновления шлюза, который отвечает за автоматическое обновление шлюза, если оно настроено. Для упрощенного шлюза ATA процесс обновления шлюза отвечает также за контроль ограничений ресурсов.
  • Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log — здесь группируются и подсчитываются однотипные ошибки и исключения. Этот файл создается пустым при каждом запуске службы обновления ATA и обновляется каждую минуту. Он позволяет заметить новые ошибки или проблемы, связанные со службой обновления ATA. Ошибки группируются, что позволяет быстро обнаружить любые новые ошибки или проблемы.
Примечание

Максимальный размер каждого файла первых трех журналов — 50 МБ. При достижении этого размера открывается новый файл журнала, а предыдущий переименовывается на <имя исходного файла>-Archived-00000. С каждым переименованием число в названии увеличивается. По умолчанию, если накопилось более 10 файлов одного типа, самые старые из них удаляются.

Журналы событий центра АТА

Журналы событий центра ATA расположены во вложенной папке Logs. Ее можно найти по следующему пути в месте установки по умолчанию: C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs.

Примечание

Журналы консоли ATA, которые ранее размещались в разделе "Журналы IIS", теперь перенесены в раздел "Журналы центра ATA".

В центре ATA ведутся такие журналы событий:

  • Microsoft.Tri.Center.log — содержит информацию о событиях, связанных с центром ATA, включая события обнаружения и ошибки. Его основное назначение заключается в получении сведений о состоянии всех операций в хронологическом порядке.

  • Microsoft.Tri.Center-Detection.log — содержит сведения только об обнаружении центром ATA. Его основное назначение — изучение случаев обнаружения.

  • Microsoft.Tri.Center-Errors.log — содержит только те ошибки, которые перехватывает центр ATA. Его основное назначение — проверка работоспособности и изучение событий, которые необходимо сопоставить с моментом времени.

  • Microsoft.Tri.Center-ExceptionStatistics.log — здесь группируются и подсчитываются однотипные ошибки и исключения. На момент запуска центра ATA этот файл пустой. Во время работы центра он обновляется каждую минуту. Его основное назначение — получение информации о новых ошибках или событиях центра ATA. Ошибки здесь группируются, что позволяет быстро обнаружить любые новые ошибки или проблемы.

Примечание

Максимальный размер каждого файла первых трех журналов — 50 МБ. При достижении этого размера открывается новый файл журнала, а предыдущий переименовывается на <имя исходного файла>-Archived-00000. С каждым переименованием число в названии увеличивается. По умолчанию, если накопилось более 10 файлов одного типа, самые старые из них удаляются.

Журналы развертывания ATA

Журналы развертывания ATA расположены во временном каталоге пользователя, установившего продукт. Их можно найти по следующему пути в месте установки по умолчанию: C:\Users\Administrator\AppData\Local\Temp (или на один каталог выше %temp%).

Журналы развертывания центра ATA:

  • Microsoft Advanced Threat Analytics Center_ГГГГММДДЧЧММСС.log — здесь перечислены этапы процесса развертывания Центра ATA. Его основное назначение — отслеживание процесса развертывания центра ATA.

  • Microsoft Advanced Threat Analytics Center_ГГГГММДДЧЧММСС_0_MongoDBPackage.log — здесь перечислены этапы процесса развертывания базы данных MongoDB в Центре ATA. Его основное назначение — отслеживание процесса развертывания MongoDB.

  • Microsoft Advanced Threat Analytics Center_ГГГГММДДЧЧММСС_1_MsiPackage.log — здесь перечислены этапы процесса развертывания двоичных файлов Центра ATA. Его основное назначение — отслеживание развертывания двоичных файлов центра ATA.

Журналы развертывания шлюза ATA и упрощенного шлюза ATA:

  • Microsoft Advanced Threat Analytics Gateway_ГГГГММДДЧЧММСС.log — здесь перечислены этапы процесса развертывания шлюза ATA. Его основное назначение заключается в отслеживании процесса развертывания шлюза ATA.

  • Microsoft Advanced Threat Analytics Gateway_ГГГГММДДЧЧММСС_001_MsiPackage.log — здесь перечислены этапы процесса развертывания двоичных файлов шлюза ATA. Его основное назначение — отслеживание развертывания двоичных файлов шлюза ATA.

Примечание

Помимо журналов развертывания, упомянутых здесь, есть и другие журналы, которые начинаются с "Microsoft Advanced Threat Analytics" и могут также содержать дополнительные сведения о процессе развертывания.

См. также