Dela via


Granska händelser och fel med hjälp av Loggboken

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Visa händelser i händelseloggen för Defender för Endpoint-tjänsten

Du kan granska händelse-ID:t i Loggboken på enskilda enheter. Detta kan vara till hjälp när till exempel en enhet inte visas i listan Enheter. I det här scenariot kan du leta efter händelse-ID:n på enheten och sedan använda tabellen nedan för att fastställa ytterligare felsökningssteg baserat på motsvarande händelse-ID.

Så här öppnar du händelseloggen för Defender för Endpoint-tjänsten:

  1. Välj Starta på Windows-menyn, skriv Loggboken och tryck på Retur för att öppna Loggboken.

  2. I logglistan, under Loggsammanfattning, bläddrar du tills du ser Microsoft-Windows-SENSE/Operational. Dubbelklicka på objektet för att öppna loggen.

    Du kan också komma åt loggen genom att expandera Program- och tjänstloggar>Microsoft>Windows>SENSE och välja Drift.

    Obs!

    SENSE är det interna namnet som används för att referera till den beteendesensor som driver Microsoft Defender för Endpoint.

  3. Händelser som registrerats av tjänsten visas i loggen.

I följande tabell finns en lista över händelser som registrerats av tjänsten.

Händelse-ID Meddelande Beskrivning Åtgärd
1 Microsoft Defender för Endpoint tjänsten startades (version variable). Inträffar under systemstart, avstängning och under registrering. Normal driftsavisering; ingen åtgärd krävs.
2 Microsoft Defender för Endpoint tjänstavstängning. Inträffar när enheten stängs av eller avregistreras. Normal driftsavisering; ingen åtgärd krävs.
3 det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod: variable. Tjänsten startade inte. Granska andra meddelanden för att fastställa möjliga orsaks- och felsökningssteg.
4 Microsoft Defender för Endpoint-tjänsten kontaktade servern på variable. Variabel = URL för Defender för Endpoint-bearbetningsservrar.

Den här URL:en matchar den som visas i brandväggs- eller nätverksaktiviteten.
Normal driftsavisering; ingen åtgärd krävs.
5 Microsoft Defender för Endpoint-tjänsten kunde inte ansluta till servern på variable. Variabel = URL för Defender för Endpoint-bearbetningsservrar.

Tjänsten kunde inte kontakta de externa bearbetningsservrarna på den URL:en.
Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning.
6 Microsoft Defender för Endpoint tjänsten har inte registrerats och inga registreringsparametrar hittades. Enheten registrerades inte korrekt och rapporterar inte till portalen. Registrering måste köras innan tjänsten startas.

Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
7 Microsoft Defender för Endpoint-tjänsten kunde inte läsa registreringsparametrarna. Fel: variable. Variabel = detaljerad felbeskrivning. Enheten registrerades inte korrekt och rapporterar inte till portalen. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
8 Microsoft Defender för Endpoint-tjänsten kunde inte rensa konfigurationen. Felkod: variable. Under registrering: Det gick inte att rensa konfigurationen under registreringen. Registreringsprocessen fortsätter.

Under avregistrering: Tjänsten kunde inte rensa konfigurationen under avregistreringen. Avregistreringsprocessen slutfördes men tjänsten fortsätter att köras.
Registrering: Ingen åtgärd krävs.

Avregistrering: Starta om systemet.

Se Registrera Windows-klientenheter.
9 Microsoft Defender för Endpoint-tjänsten kunde inte ändra sin starttyp. Felkod: variable. Under registrering: Enheten registrerades inte korrekt och rapporterar inte till portalen.

Under avregistrering: Det gick inte att ändra tjänstens starttyp. Avregistreringsprocessen fortsätter.
Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
10 Microsoft Defender för Endpoint-tjänsten kunde inte spara registreringsinformationen. Felkod: variable. Enheten registrerades inte korrekt och rapporterar inte till portalen. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
11 Registrering eller omregistrering av Defender för Endpoint-tjänsten har slutförts. Enheten registrerades korrekt. Normal driftsavisering; ingen åtgärd krävs.

Det kan ta flera timmar innan enheten visas i portalen.
12 Microsoft Defender för Endpoint kunde inte tillämpa standardkonfigurationen. Tjänsten kunde inte tillämpa standardkonfigurationen. Det här felet bör lösas efter en kort tidsperiod.
13 Microsoft Defender för Endpoint enhets-ID beräknat: variable. Normal driftsprocess. Normal driftsavisering; ingen åtgärd krävs.
15 Microsoft Defender för Endpoint kan inte starta kommandokanalen med URL: variable. Variabel = URL för Defender för Endpoint-bearbetningsservrar.

Tjänsten kunde inte kontakta de externa bearbetningsservrarna på den URL:en.
Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning.
17 Microsoft Defender för Endpoint-tjänsten kunde inte ändra platsen för anslutna användarupplevelser och telemetritjänster. Felkod: variable. Ett fel uppstod med Windows-telemetritjänsten. Se till att diagnostikdatatjänsten är aktiverad"> Se till att diagnostikdatatjänsten är aktiverad.

Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
18 OOBE (Välkommen till Windows) har slutförts. Tjänsten startar först när alla Windows-uppdateringar har slutfört installationen. Normal driftsavisering; ingen åtgärd krävs.
19 OOBE (Välkommen till Windows) har ännu inte slutförts. Tjänsten startar först när alla Windows-uppdateringar har slutfört installationen. Normal driftsavisering; ingen åtgärd krävs.

Om det här felet kvarstår efter en systemomstart kontrollerar du att alla Windows-uppdateringar har installerats fullt ut.
20 Det går inte att vänta tills OOBE (Välkommen till Windows) har slutförts. Felkod: variable. Internt fel. Om det här felet kvarstår efter en systemomstart kontrollerar du att alla Windows-uppdateringar är installerade.
25 Microsoft Defender för Endpoint-tjänsten kunde inte återställa hälsostatusen i registret. Felkod: variable. Enheten registrerades inte korrekt. Den rapporterar till portalen. Tjänsten kanske dock inte visas som registrerad i SCCM eller registret. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
26 Microsoft Defender för Endpoint-tjänsten kunde inte ange registreringsstatus i registret. Felkod: variable. Enheten registrerades inte korrekt.

Den rapporterar till portalen. men tjänsten kanske inte visas som registrerad i SCCM eller registret.
Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
27 Microsoft Defender för Endpoint-tjänsten kunde inte aktivera SENSE-medvetet läge i Microsoft Defender Antivirus. Registreringsprocessen misslyckades. Felkod: variable. Normalt går Microsoft Defender Antivirus in i ett särskilt passivt tillstånd om en annan produkt mot skadlig kod i realtid körs korrekt på enheten och enheten rapporterar till Defender för Endpoint. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.

Se till att skydd mot skadlig kod i realtid körs korrekt.
28 Microsoft Defender för Endpoint Registrering av anslutna användarupplevelser och telemetritjänster misslyckades. Felkod: variable. Ett fel uppstod med Windows-telemetritjänsten. Kontrollera att diagnostikdatatjänsten är aktiverad.

Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
29 Det gick inte att läsa av avregistreringsparametrarna. Feltyp: %1, Felkod: %2, Beskrivning: %3 Den här händelsen inträffar när systemet inte kan läsa avregistreringsparametrarna. Kontrollera att enheten har Internetåtkomst och kör sedan hela avregistreringsprocessen igen. Kontrollera att avregistreringspaketet inte har upphört att gälla.
30 Microsoft Defender för Endpoint-tjänsten kunde inte inaktivera SENSE-medvetet läge i Microsoft Defender Antivirus. Felkod: variable. Normalt går Microsoft Defender Antivirus in i ett särskilt passivt tillstånd om en annan produkt mot skadlig kod i realtid körs korrekt på enheten och enheten rapporterar till Defender för Endpoint. Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.

Se till att skydd mot skadlig kod i realtid körs korrekt.
31 Microsoft Defender för Endpoint Avregistreringen av anslutna användarupplevelser och telemetritjänsten misslyckades. Felkod: variable. Ett fel uppstod med Windows telemetritjänst under registrering. Avregistreringsprocessen fortsätter. Kontrollera om det finns fel med Windows-telemetritjänsten.
32 Microsoft Defender för Endpoint-tjänsten kunde inte begära att stoppa sig själv efter avregistreringsprocessen. Felkod: %1 Ett fel uppstod under avregistreringen. Starta om enheten.
33 Microsoft Defender för Endpoint-tjänsten kunde inte bevara SENSE GUID. Felkod: variable. En unik identifierare används för att representera varje enhet som rapporterar till portalen.

Om identifieraren inte bevaras kan samma enhet visas två gånger i portalen.
Kontrollera registerbehörigheterna på enheten för att säkerställa att tjänsten kan uppdatera registret.
34 Microsoft Defender för Endpoint-tjänsten kunde inte lägga till sig själv som ett beroende av tjänsten Anslutna användarupplevelser och telemetri, vilket gjorde att registreringsprocessen misslyckades. Felkod: variable. Ett fel uppstod med Windows-telemetritjänsten. Kontrollera att diagnostikdatatjänsten är aktiverad.

Kontrollera att registreringsinställningarna och skripten har distribuerats korrekt. Försök att distribuera om konfigurationspaketen.

Se Registrera Windows-klientenheter.
35 Kommunikationskvoter uppdateras. Diskkvot i MB: variable, daglig uppladdningskvot i MB: variable Variabel = diskkvot i MB. Normal driftsavisering; ingen åtgärd krävs.
36 Microsoft Defender för Endpoint registrering av anslutna användarupplevelser och telemetritjänster lyckades. Slutförandekod: variable. Registreringen av Defender för Endpoint med tjänsten Anslutna användarupplevelser och telemetri har slutförts. Normal driftsavisering; ingen åtgärd krävs.
37 Microsoft Defender för Endpoint En modul håller på att överskrida sin kvot. Modul: %1, Kvot: {%2} {%3}, Procentandel av kvotanvändningen: %4. Enheten är nära sin allokerade kvot för det aktuella 24-timmarsfönstret. Det är på väg att begränsas. Normal driftsavisering; ingen åtgärd krävs.
38 Nätverksanslutningen identifieras som låg. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Anslutning med datapriser: %2, Internet tillgängligt: %3, tillgängligt kostnadsfritt nätverk: %4. Enheten använder ett avgiftsbelagt/avgiftsbelagt nätverk och kontaktar servern mindre ofta. Normal driftsavisering; ingen åtgärd krävs.
39 Nätverksanslutning identifieras som vanligt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Anslutning med datapriser: %2, Internet tillgängligt: %3, tillgängligt kostnadsfritt nätverk: %4. Enheten använder inte en avgiftsbelagd/betald anslutning och kontaktar servern som vanligt. Normal driftsavisering; ingen åtgärd krävs.
40 Batteritillståndet identifieras som lågt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Batteritillstånd: %2. Enheten har låg batterinivå och kontaktar servern mindre ofta. Normal driftsavisering; ingen åtgärd krävs.
41 Batteritillståndet identifieras som normalt. Microsoft Defender för Endpoint kontaktar servern var %1 minut. Batteritillstånd: %2. Enheten har inte låg batterinivå och kontaktar servern som vanligt. Normal driftsavisering; ingen åtgärd krävs.
42 Microsoft Defender för Endpoint komponenten kunde inte utföra åtgärden. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsmeddelande: %4 Internt fel. Det gick inte att starta tjänsten. Om det här felet kvarstår kontaktar du supporten.
43 Microsoft Defender för Endpoint komponenten kunde inte utföra åtgärden. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsfel: %4, Undantagsmeddelande: %5 Internt fel. Det gick inte att starta tjänsten. Om det här felet kvarstår kontaktar du supporten.
44 Avregistrering av Defender för Endpoint-tjänsten har slutförts. Tjänsten har avregistrerats. Normal driftsavisering; ingen åtgärd krävs.
45 Det gick inte att registrera och starta händelsespårningssessionen [%1]. Felkod: %2 Ett fel uppstod vid start av tjänsten när ETW-sessionen skapades. Detta orsakade startfel för tjänsten. Om det här felet kvarstår kontaktar du supporten.
46 Det gick inte att registrera och starta händelsespårningssessionen [%1] på grund av brist på resurser. Felkod: %2. Detta beror troligen på att det finns för många aktiva händelsespårningssessioner. Tjänsten försöker igen om 1 minut. Ett fel uppstod vid start av tjänsten när ETW-sessionen skapades på grund av brist på resurser. Tjänsten körs, men rapporterar inte sensorhändelser förrän ETW-sessionen startar. Normal driftsavisering; ingen åtgärd krävs. Tjänsten försöker starta sessionen varje minut.
47 Har registrerats och startat händelsespårningssessionen – återställdes efter tidigare misslyckade försök. Den här händelsen följer den föregående händelsen efter att ETW-sessionen har startats. Normal driftsavisering; ingen åtgärd krävs.
48 Det gick inte att lägga till en provider [%1] i händelsespårningssessionen [%2]. Felkod: %3. Det innebär att händelser från den här providern inte rapporteras. Det gick inte att lägga till en provider i ETW-sessionen. Därför rapporteras inte providerhändelserna. Kontrollera felkoden. Om felet kvarstår kontaktar du supporten.
49 Ogiltigt molnkonfigurationskommando har tagits emot och ignorerats. Version: %1, status: %2, felkod: %3, meddelande: %4 Tog emot en ogiltig konfigurationsfil från molntjänsten som ignorerades. Om det här felet kvarstår kontaktar du supporten.
50 Ny molnkonfiguration har tillämpats. Version: %1. En ny konfiguration har tillämpats från molntjänsten. Normal driftsavisering; ingen åtgärd krävs.
51 Det gick inte att tillämpa den nya molnkonfigurationen, version: %1. Den senaste fungerande konfigurationen, version %2, har tillämpats. Tog emot en felaktig konfigurationsfil från molntjänsten. Senast fungerande konfiguration tillämpades. Om det här felet kvarstår kontaktar du supporten.
52 Det gick inte att tillämpa den nya molnkonfigurationen, version: %1. Det gick inte heller att tillämpa den senaste fungerande konfigurationen, version %2. Standardkonfigurationen har tillämpats. Tog emot en felaktig konfigurationsfil från molntjänsten. Det gick inte att tillämpa den senast fungerande konfigurationen och standardkonfigurationen tillämpades. Tjänsten försöker ladda ned en ny konfigurationsfil inom 5 minuter. Om du inte ser händelse nr 50 – kontakta supporten.
53 Molnkonfiguration som lästs in från beständig lagring, version: %1. Konfigurationen lästes in från beständig lagring vid tjänststart. Normal driftsavisering; ingen åtgärd krävs.
54 Globalt tillstånd (per mönster) har ändrats. Tillstånd: %1, mönster: %2 If state = 0: Rapporteringsregeln för cyberdata har nått sin definierade begränsningskvot och skickar inte mer data förrän begränsningskvoten upphör att gälla. Om tillstånd = 1: Begränsningskvoten har upphört att gälla och regeln återupptar sändningen av data. Normal driftsavisering; ingen åtgärd krävs.
55 Det gick inte att skapa den säkra ETW-autologgaren. Felkod: %1 Det gick inte att skapa den säkra ETW-loggaren. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
56 Det gick inte att ta bort den säkra ETW-autologgaren. Felkod: %1 Det gick inte att ta bort den säkra ETW-sessionen vid avregistrering. Kontakta supporten.
57 Samla in en ögonblicksbild av datorn i felsökningssyfte. Ett undersökningspaket, även kallat kriminaltekniskt paket, samlas in. Normal driftsavisering; ingen åtgärd krävs.
59 Startkommando: %1 Startar körning av svarskommando. Normal driftsavisering; ingen åtgärd krävs.
60 Det gick inte att köra kommandot %1, fel: %2. Det gick inte att köra svarskommandot. Om det här felet kvarstår kontaktar du supporten.
61 Kommandoparametrarna för datainsamling är ogiltiga: SasUri: %1, compressionLevel: %2. Det gick inte att läsa eller parsa kommandoargumenten för datainsamling (ogiltiga argument). Om det här felet kvarstår kontaktar du supporten.
62 Det gick inte att starta tjänsten Anslutna användarupplevelser och telemetri. Felkod: %1 Tjänsten Ansluten användarupplevelse och telemetri (diagtrack) kunde inte startas. Telemetri som inte är Microsoft Defender för Endpoint skickas inte från den här datorn. Leta efter fler felsökningstips i händelseloggen: Microsoft-Windows-UniversalTelemetryClient/Operational.
63 Uppdaterar starttypen för den externa tjänsten. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3, slutkod: %4 Den externa tjänstens starttyp har uppdaterats. Normal driftsavisering; ingen åtgärd krävs.
64 Startar stoppad extern tjänst. Namn: %1, slutkod: %2 Starta en extern tjänst. Normal driftsavisering; ingen åtgärd krävs.
65 Det gick inte att läsa in minifilterdrivrutinen för Microsoft Security Events Component. Felkod: %1 Det gick inte att läsa in MsSecFlt.sys minifilter för filsystemet. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
66 Principuppdatering: Svarstidsläge – %1 Anslutningsfrekvensprincipen för C&C uppdaterades. Normal driftsavisering; ingen åtgärd krävs.
68 Starttypen för tjänsten är oväntad. Tjänstnamn: %1, faktisk starttyp: %2, förväntad starttyp: %3 Oväntad starttyp för extern tjänst. Åtgärda starttypen för den externa tjänsten.
69 Tjänsten har stoppats. Tjänstnamn: %1 Den externa tjänsten har stoppats. Starta den externa tjänsten.
70 Principuppdatering: Tillåt exempelsamling – %1 Exempelinsamlingsprincipen uppdaterades. Normal driftsavisering; ingen åtgärd krävs.
71 Kommandot lyckades: %1 Kommandot har körts. Normal driftsavisering; ingen åtgärd krävs.
72 Försökte skicka den första fullständiga datorprofilrapporten. Resultatkod: %1 Endast information. Normal driftsavisering; ingen åtgärd krävs.
73 Känsla för plattform: %1 Endast information. Normal driftsavisering; ingen åtgärd krävs.
74 Enhetstaggen i registret överskrider längdgränsen. Taggnamn: %2. Längdgräns: %1. Enhetstaggen överskrider längdgränsen. Använd en kortare enhetstagg.
81 Det gick inte att skapa Microsoft Defender för Endpoint ETW-autologger. Felkod: %1 Det gick inte att skapa ETW-sessionen. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
82 Det gick inte att ta bort Microsoft Defender för Endpoint ETW-autologger. Felkod: %1 Det gick inte att ta bort ETW-sessionen. Kontakta supporten.
84 Ange Microsoft Defender antivirusläge som körs. Framtvinga passivt läge: %1, resultatkod: %2. Ställ in defender running mode (aktivt eller passivt). Normal driftsavisering; ingen åtgärd krävs.
85 Det gick inte att utlösa Microsoft Defender för Endpoint körbar fil. Felkod: %1 Starring SenseIR körbar misslyckades. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
86 När den externa tjänsten skulle startas igen stoppades den som skulle vara igång. Namn: %1, slutkod: %2 Starta den externa tjänsten igen. Normal driftsavisering; ingen åtgärd krävs.
87 Det går inte att starta den externa tjänsten. Namn: %1 Det gick inte att starta den externa tjänsten. Kontakta supporten.
88 Uppdaterar starttypen för den externa tjänsten igen. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3, slutkod: %4 Uppdaterade starttypen för den externa tjänsten. Normal driftsavisering; ingen åtgärd krävs.
89 Det går inte att uppdatera starttypen för den externa tjänsten. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3 Det går inte att uppdatera starttypen för den externa tjänsten. Kontakta supporten.
90 Det gick inte att konfigurera System Guard Runtime Monitor för att ansluta till molntjänsten i geo-regionen %1. Felkod: %2 System Guard Runtime Monitor skickar inte attesteringsdata till molntjänsten. Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta supporten om inga problem upptäcks.
91 Det gick inte att ta bort System Guard Runtime Monitor geo-regioninformation. Felkod: %1 System Guard Runtime Monitor skickar inte attesteringsdata till molntjänsten. Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta supporten om inga problem upptäcks.
92 Stoppa sändningen av kvoten för sensordata eftersom datakvoten har överskridits. Kommer att fortsätta skicka när kvotperioden har passerat. Tillståndsmask: %1 Överskrid begränsningsgränsen. Normal driftsavisering; ingen åtgärd krävs.
93 Återuppta sändning av cyberdata för sensorn. Tillståndsmask: %1 Återuppta överföring av cyberdata. Normal driftsavisering; ingen åtgärd krävs.
94 Microsoft Defender för Endpoint körbara filen har startats Körbar SenseCE har startats. Normal driftsavisering; ingen åtgärd krävs.
95 Microsoft Defender för Endpoint körbara filen har avslutats Körbar SenseCE har avslutats. Normal driftsavisering; ingen åtgärd krävs.
96 Microsoft Defender för Endpoint Init har anropat. Resultatkod: %2 Körbar SenseCE har anropat MCE-initiering. Normal driftsavisering; ingen åtgärd krävs.
97 Det finns anslutningsproblem till molnet för DLP-scenariot Det finns problem med nätverksanslutningen som påverkar DLP-klassificeringsflödet. Kontrollera nätverksanslutningen.
98 Anslutningen till molnet för DLP-scenariot har återställts Anslutningen till nätverket har återställts och DLP-klassificeringsflödet kan fortsätta. Normal driftsavisering; ingen åtgärd krävs.
99 Sense har påträffat följande fel vid kommunikation med servern: (%1). Resultat: (%2) Ett kommunikationsfel uppstod. Mer information finns i följande händelser i händelseloggen.
100 Microsoft Defender för Endpoint körbara filen kunde inte startas. Felkod: %1 Det gick inte att starta den körbara SenseCE-filen. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
102 Microsoft Defender för Endpoint körbar fil för nätverksidentifiering och svar har startats Körbar SenseNdr har startats. Normal driftsavisering; ingen åtgärd krävs.
103 Microsoft Defender för Endpoint körbar fil för nätverksidentifiering och svar har avslutats Körbar SenseNdr har avslutats. Normal driftsavisering; ingen åtgärd krävs.
104 Det gick inte att köa av asynkron drivrutin. Felkod: %1. Inträffar under avregistreringen. Normal driftsavisering; ingen åtgärd krävs.
105 Det gick inte att vänta på att drivrutinen skulle tas bort Inträffar under avregistreringen. Normal driftsavisering; ingen åtgärd krävs.
106 det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod %1 ; Det gick inte att läsa in MsSense DLL. Modul. Inträffar under start. Kontakta supporten.
107 det gick inte att starta Microsoft Defender för Endpoint tjänsten. Felkod %1 ; Problem med MsSense DLL-modulen. Inträffar under start. Kontakta supporten.
108 Uppdateringsfas:%1, ny plattformsversion: %2, meddelande: %3. Inträffar under uppdateringen. Normal driftsavisering; ingen åtgärd krävs.
109 Uppdateringsfas:%1 ny plattformsversion: %2, felmeddelande: %3, fel: %4. Inträffar under uppdateringen. Kontakta supporten.
110 Det gick inte att ta bort MDEContain WFP-filter. Inträffar under avregistreringen. Kontakta supporten.
307 Det gick inte att uppdatera drivrutinsbehörigheter Felkod: %1. Inträffar under registrering. Kontakta supporten.
308 Det gick inte att ACL på mappen %1 Felkod: %2. Inträffar under registrering. Kontakta supporten.
401 Microsoft Defender för Endpoint-tjänsten kunde inte generera nyckeln. Felkod: %1. Det gick inte att skapa en kryptonyckel. Kontakta supporten om datorn inte rapporterar. Annars krävs ingen åtgärd.
402 Microsoft Defender för Endpoint-tjänsten kunde inte bevara autentiseringstillståndet. Felkod: %1. Det gick inte att bevara autentiseringstillståndet. Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd.
403 Registreringen av Microsoft Defender för Endpoint tjänsten har slutförts. Lyckad registrering till autentiseringstjänsten. Normal driftsavisering; ingen åtgärd krävs.
404 Microsoft Defender för Endpoint-tjänsten har genererat en nyckel. Lyckad generering av kryptonycklar. Normal driftsavisering; ingen åtgärd krävs.
405 Det gick inte att kommunicera med autentiseringstjänsten. %1 begäran misslyckades, hresult: %2, HTTP-felkod: %3. Det gick inte att skicka begäran till autentiseringstjänsten. Normal driftsavisering; ingen åtgärd krävs.
406 Begäran om %1 avvisades av autentiseringstjänsten. Hresult: %2, felkod: %3. Begäran returnerade oönskade svar. Normal driftsavisering; ingen åtgärd krävs.
407 Microsoft Defender för Endpoint-tjänsten kunde inte signera meddelandet (autentisering). Felkod: %1. Det gick inte att signera begäran. Normal driftsavisering; ingen åtgärd krävs.
408 Microsoft Defender för Endpoint-tjänsten kunde inte ta bort beständiga autentiseringstillstånd. Tillstånd: %1, Felkod: %2. Det gick inte att bevara autentiseringstillståndet. Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd.
409 Microsoft Defender för Endpoint tjänsten kunde inte öppna nyckeln. Felkod: %1. Det gick inte att öppna kryptonyckeln. Kontakta supporten om en enhet inte rapporterar. Annars krävs ingen åtgärd.
410 Registrering krävs som en del av omregistreringen av Microsoft Defender för Endpoint-tjänsten. Inträffar under omregistreringen. Normal driftsavisering; ingen åtgärd krävs.
411 Överföring av cybertelemetri har inaktiverats för Microsoft Defender för Endpoint tjänst på grund av ogiltig/utgången token. Uppladdning av cyber är tillfälligt inaktiverad. Normal driftsavisering; ingen åtgärd krävs.
412 Uppladdningen av cybertelemetri har återupptagits för Microsoft Defender för Endpoint tjänst på grund av en nyligen uppdaterad token. Cyberuppladdningen återupptogs. Normal driftsavisering; ingen åtgärd krävs.
1800 CSP: Hämta Node's värde. NodeId: (%1), TokenName: (%2). En åtgärd för Get håller på att starta. Kontakta supporten.
1801 CSP: Det gick inte att hämta Node's värdet. NodeId: (%1), TokenName: (%2), Resultat: (%3). Det gick inte att utföra åtgärden Hämta. Kontakta supporten.
1802 CSP: Hämta Node's värde slutfört. NodeId: (%1), TokenName: (%2), Resultat: (%3). Åtgärden Get har slutförts. Kontakta supporten.
1803 CSP: Hämta senaste anslutna värde slutfört. Resultat (%1), IsDefault: (%2). Senaste gången enheten kommunicerade med CNC. Normal driftsavisering; ingen åtgärd krävs.
1804 CSP: Få organisations-ID-värdet slutfört. Resultat: (%1), IsDefault: (%2). Organisations-ID-enheten hämtas under registreringen. Normal driftsavisering; ingen åtgärd krävs.
1805 CSP: Get Sense Is Running-värdet har slutförts. Resultat: (%1). Känna av att köra meddelande efter registrering. Normal driftsavisering; ingen åtgärd krävs.
1806 CSP: Få onboarding State-värdet slutfört. Resultat: (%1), IsDefault: (%2). Get is Sense onboarded. Normal driftsavisering; ingen åtgärd krävs.
1807 CSP: Få registreringsvärdet slutfört. Onboarding Blob Hash: (%1), IsDefault: (%2), Onboarding State: (%3), Onboarding State IsDefault: (%4). Get is Sense onboarded and onboarding blob hash. Normal driftsavisering; ingen åtgärd krävs.
1808 CSP: Få avregistreringsvärdet slutfört. Avregistrering av blob-hash: (%1), IsDefault: (%2). Hämta blob-hash för avregistrering. Normal driftsavisering; ingen åtgärd krävs.
1809 CSP: Hämta exempeldelningsvärdet slutfört. Resultat: (%1), IsDefault: (%2). Hämta är exempeluppladdning tillåts. Normal driftsavisering; ingen åtgärd krävs.
1810 CSP: Registreringsprocess. Startat. Påbörjat registreringsflöde. Normal driftsavisering; ingen åtgärd krävs.
1811 CSP: Registreringsprocess. Ta bort avregistreringsbloben har slutförts. Resultat: (%1). Borttagen avregistreringsblob som en del av onboarding-flödet. Normal driftsavisering; ingen åtgärd krävs.
1812 CSP: Registreringsprocess. Skriv onboarding-bloben har slutförts. Resultat: (%1). Skrev registrering av blob till registret som en del av onboarding-flödet. Normal driftsavisering; ingen åtgärd krävs.
1813 CSP: Registreringsprocess. Tjänsten startades. Startade Sense-tjänsten som en del av onboarding-flödet. Normal driftsavisering; ingen åtgärd krävs.
1814 CSP: Registreringsprocess. Väntande tjänst som kör tillståndet har slutförts. Resultat: (%1). Väntar klart på att Sense ska starta som en del av onboarding-flödet. Normal driftsavisering; ingen åtgärd krävs.
1815 CSP: Ange värdet för exempeldelning slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). Ange exempeldelningsvärde. Normal driftsavisering; ingen åtgärd krävs.
1816 CSP: Avregistreringsprocess. Ta bort onboarding-bloben slutförd. Resultat (%1). Tog bort registreringsbloben som en del av avregistreringsflödet. Normal driftsavisering; ingen åtgärd krävs.
1817 CSP: Avregistreringsprocess. Skriv avregistreringsbloben är klar. Resultat (%1). Skrev avregistrering av blob till registret som en del av avregistreringsflödet. Normal driftsavisering; ingen åtgärd krävs.
1818 CSP: Ange Node's värde startat. NodeId: (%1), TokenName: (%2). En åtgärd för Set är på väg att starta. Normal driftsavisering; ingen åtgärd krävs.
1819 CSP: Det gick inte att ange Node's värde. NodeId: (%1), TokenName: (%2), Resultat: (%3). Det gick inte att utföra åtgärden Set. Kontakta supporten.
1820 CSP: Ange Node's värdet klart. NodeId: (%1), TokenName: (%2), Resultat: (%3). En åtgärd för Set har slutförts. Normal driftsavisering; ingen åtgärd krävs.
1821 CSP: Ställ in Telemetrirapporteringsfrekvens startad. Nytt värde: (%1). Börja ange värdet för TelemetryReportingFrequency. Normal driftsavisering; ingen åtgärd krävs.
1822 CSP: Ange frekvens för telemetrirapportering slutförd. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). Slutför inställningen av värdet för TelemetryReportingFrequency. Normal driftsavisering; ingen åtgärd krävs.
1823 CSP: Hämta frekvens för telemetrirapportering slutförd. Värde: (%1), Registervärde: (%2), IsDefault: (%3). Hämtar värdet för TelemetryReportingFrequency. Normal driftsavisering; ingen åtgärd krävs.
1824 CSP: Hämta grupp-ID:t har slutförts. Värde: (%1), IsDefault: (%2). Fick groupIds från registret. Normal driftsavisering; ingen åtgärd krävs.
1825 CSP: Ange att grupp-ID:erna överskred den tillåtna gränsen. Tillåts: (%1), Faktiskt: (%2). Det gick inte att ange groupIds på grund av längden. Normal driftsavisering; ingen åtgärd krävs.
1826 CSP: Ange grupp-ID:t slutförda. Värde: (%1), Resultat: (%2). Ange groupIds. Normal driftsavisering; ingen åtgärd krävs.
1827 CSP: Registreringsprocess. Tjänsten körs: (%1), Föregående registreringsblobhash: (%2), IsDefault: (%3), Registreringstillstånd: (%4), Registreringsstatus IsDefault: (%5), Ny registreringsblobhash: (%6). Spåra värden som en del av registrering. Normal driftsavisering; ingen åtgärd krävs.
1828 CSP: Registreringsprocess. Tjänsten körs: (%1), Föregående avregistreringsblobhash: (%2), IsDefault: (%3), Registreringstillstånd: (%4), Registreringstillstånd IsDefault: (%5), Ny avregistreringsblobhash: (%6). Spåra värden som en del av avregistreringen. Normal driftsavisering; ingen åtgärd krävs.
1829 CSP: Det gick inte att ange exempeldelningsvärdet. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). Ogiltigt värde för SampleSharing-åtgärden. Kontakta supporten.
1830 CSP: Det gick inte att ange värdet för telemetrirapporteringsfrekvens. Begärt värde: (%1). Det gick inte att ange värdet för TelemetryReportingFrequency. Kontakta supporten om problemet kvarstår.
1831 CSP: Get Sense körs. Tjänsten har konfigurerats som fördröjningsstart och hasn't har startats ännu. Hämta SenseIsRunning-resultat. Normal driftsavisering; ingen åtgärd krävs.
1832 CSP: Hämta enhetstaggningsgruppen slutförd. Värde: (%1), IsDefault: (%2). Hämta EnhetTagging-gruppen från registret har slutförts. Normal driftsavisering; ingen åtgärd krävs.
1833 CSP: Hämta värdet för enhetstaggningskritiskhet slutfört. I registret: (%1), IsDefault: (%2), Konverteringen lyckades: (%3), resultat: (%4). Hämta DeviceTagging Criticality från registret har slutförts. Normal driftsavisering; ingen åtgärd krävs.
1834 CSP: Hämta värdet för identifieringsmetoden för enhetstaggning slutfört. I registret: (%1), IsDefault: (%2), Konverteringen lyckades: (%3), resultat: (%4). Hämta DeviceTagging ID-metoden från registret har slutförts. Normal driftsavisering; ingen åtgärd krävs.
1835 CSP: Ange att enhetstaggningsgruppen är klar. Värde: (%1), Resultat: (%2). Ställ in EnhetTagging-gruppen i registret har slutförts. Normal driftsavisering; ingen åtgärd krävs.
1836 CSP: Ange att enhetstaggningsgruppen har överskridit den tillåtna gränsen. Tillåts: (%1), Faktiskt: (%2). Det gick inte att ange EnhetTagging-gruppen eftersom den maximala längdgränsen överskreds. Kontakta supporten om problemet kvarstår.
1837 CSP: Ange värdet för enhetstaggningskritiskhet slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). Ange DeviceTagging Criticality i registret slutfört. Normal driftsavisering; ingen åtgärd krävs.
1838 CSP: Det gick inte att ange värdet för enhetstaggningskritiskitet. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). Ange DeviceTagging Criticality failed eftersom värdet inte låg inom det förväntade intervallet. Kontakta supporten om problemet kvarstår.
1839 CSP: Ange värdet för identifieringsmetod för enhetstaggning slutfört. Föregående värde: (%1), IsDefault: (%2), Nytt värde: (%3), Resultat: (%4). Ange DeviceTagging ID-metoden i registret slutförd. Normal driftsavisering; ingen åtgärd krävs.
1840 CSP: Det gick inte att ange värdet för identifieringsmetod för enhetstaggning. Begärt värde: (%1), Tillåtna värden mellan (%2) och (%3). Det gick inte att ange DeviceTagging-ID-metoden eftersom värdet inte låg inom det förväntade intervallet. Kontakta supporten om problemet kvarstår.

Visa Defender för Endpoint-händelser i systemhändelseloggen

Microsoft Defender för Endpoint händelser visas också i systemhändelseloggen.

Så här öppnar du systemhändelseloggen:

  1. Välj Starta på Windows-menyn, skriv Loggboken och tryck på Retur för att öppna Loggboken.
  2. I logglistan, under Loggsammanfattning, bläddrar du tills du ser System. Dubbelklicka på objektet för att öppna loggen.

Du kan använda den här tabellen för mer information om Defender för Endpoint-händelser i systemhändelseloggen och för att fastställa ytterligare felsökningssteg.

Händelse-ID Meddelande Beskrivning Åtgärd
1 Säkerhetskopieringsfilen för realtidssessionen "SenseNdrPktmon" har nått sin maximala storlek. Därför loggas inte nya händelser till den här sessionen förrän utrymmet blir tillgängligt. Den här realtidssessionen mellan Pktmon – den inbyggda Windows-tjänsten som samlar in nätverkstrafik och vår agent (SenseNDR) – som analyserar paket asynkront, är konfigurerad för att begränsas för att förhindra potentiella prestandaproblem. Därför kan den här aviseringen visas om för många paket fångas upp under en kort tidsperiod, vilket gör att vissa paket hoppas över. Den här aviseringen är vanligare med hög nätverkstrafik. Normal driftsavisering; ingen åtgärd krävs.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.