Granska händelser och fel med hjälp av Loggboken

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan granska händelse-IDt i Loggboken på enskilda enheter.

Om enheter inte visas i listan Enheter kan du till exempel behöva leta efter händelse-ID på enheterna. Du kan sedan använda tabellen för att fastställa ytterligare felsökningssteg.

Öppna Loggboken och hitta Microsoft Defender för slutpunktens händelselogg för tjänsten:

  1. Klicka på Start Windows menyn, skriv Loggboken och tryck på Retur.

  2. Bläddra i logglistan under Loggsammanfattning tills du ser Microsoft-Windows-SENSE/Operational. Dubbelklicka på objektet för att öppna loggen.

    Du kan också öppna loggen genom att expandera Program- och tjänstloggar > Microsoft > Windows > SENSE och klicka på Drift.

    Anteckning

    SENSE är det interna namn som används för att referera till den beteende sensor som driver Microsoft Defender för Endpoint.

  3. Händelser som registreras av tjänsten visas i loggen. I följande tabell finns en lista över händelser som registrerats av tjänsten.



Händelse-ID Meddelande Beskrivning Åtgärd
1 Microsoft Defender för slutpunktstjänsten startades (version variable ). Inträffar vid start av system, stängs av och under registrering. Meddelande om normal användning. ingen åtgärd krävs.
2 Microsoft Defender för Endpoint-tjänsten stängs av. Inträffar när enheten stängs av eller stängs av. Meddelande om normal användning. ingen åtgärd krävs.
3 Microsoft Defender för Slutpunkt-tjänsten kunde inte startas. Felkod: variable . Tjänsten har inte startar. Granska andra meddelanden för att fastställa möjliga orsaker och felsökningssteg.
4 Microsoft Defender för Slutpunkt-tjänsten kontaktade servern på variable . Variabel = URL för Defender för slutpunktsbearbetningsservrar.

Den här URL:en matchar den som visas i brandväggen eller nätverksaktiviteten.

Meddelande om normal användning. ingen åtgärd krävs.
5 Microsoft Defender för slutpunktstjänsten kunde inte ansluta till servern på variable . Variabel = URL för Defender för slutpunktsbearbetningsservrar.

Det gick inte att kontakta den externa bearbetningsservrarna på den URL:en.

Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning.
6 Microsoft Defender för Slutpunkt-tjänsten är inte onboarded och inga onboarding-parametrar hittades. Enheten fungerade inte korrekt och rapporterar inte till portalen. Onboarding måste köras innan tjänsten startas.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10 enheter.

7 Microsoft Defender för slutpunktstjänsten kunde inte läsa onboarding-parametrarna. Fel: variable . Variabel = detaljerad felbeskrivning. Enheten fungerade inte korrekt och rapporterar inte till portalen. Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10 enheter.

8 Microsoft Defender för slutpunktstjänsten kunde inte rensa konfigurationen. Felkod: variable . Under introduktionen: Det gick inte att rensa konfigurationen av tjänsten under onboarding. Onboarding-processen fortsätter.

Under offboarding: Tjänsten kunde inte rensa sin konfiguration under offboarding. Offboarding-processen har slutförts men tjänsten fortsätter att köras.

Introduktion: Ingen åtgärd krävs.

Offboarding: Starta om systemet.

Se Onboard Windows 10 enheter.

9 Microsoft Defender för slutpunktstjänsten kunde inte ändra starttypen. Felkod: variable . Under introduktionen: Enheten fungerade inte korrekt och rapporterar inte till portalen.

Under offboarding: Det gick inte att ändra tjänstens starttyp. Offboarding-processen fortsätter.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10 enheter.

10 Microsoft Defender för slutpunktstjänsten kunde inte spara informationen om introduktionen. Felkod: variable . Enheten fungerade inte korrekt och rapporterar inte till portalen. Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10 enheter.

11 Registrering eller om onboarding av Defender för slutpunktstjänsten har slutförts. Enheten var korrekt igång. Meddelande om normal användning. ingen åtgärd krävs.

Det kan ta flera timmar innan enheten visas i portalen.

12 Standardkonfigurationen kunde inte användas i Microsoft Defender för Endpoint. Det gick inte att använda standardkonfigurationen för tjänsten. Det här felet bör åtgärdas efter en kort tidsperiod.
13 Microsoft Defender för slutpunktens enhets-ID beräknat: variable . Normal driftprocess. Meddelande om normal användning. ingen åtgärd krävs.
15 Microsoft Defender för Slutpunkt kan inte starta kommandokanalen med URL: variable . Variabel = URL för Defender för slutpunktsbearbetningsservrar.

Det gick inte att kontakta den externa bearbetningsservrarna på den URL:en.

Kontrollera anslutningen till URL:en. Se Konfigurera proxy och Internetanslutning.
17 Microsoft Defender för slutpunktstjänsten kunde inte ändra plats för anslutna användarupplevelser och telemetritjänster. Felkod: variable . Ett fel uppstod med Windows telemetritjänsten. Kontrollera att tjänsten för diagnostikdata är aktiverad>se till att diagnostikdatatjänsten är aktiverad.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

18 OOBE (Windows Välkomst) har slutförts. Tjänsten startar först när Windows är klara. Meddelande om normal användning. ingen åtgärd krävs.
19 OOBE (Windows Välkommen) har ännu inte slutförts. Tjänsten startar först när Windows är klara. Meddelande om normal användning. ingen åtgärd krävs.

Om det här felet kvarstår efter en omstart av systemet bör du kontrollera Windows uppdateringar har installerats.

20 Det går inte att vänta på att OOBE (Windows Välkommen) slutförs. Felkod: variable . Internt fel. Om det här felet kvarstår efter en omstart av systemet bör du kontrollera Windows uppdateringar har installerats.
25 Microsoft Defender för Slutpunkt-tjänsten kunde inte återställa hälsostatus i registret. Felkod: variable . Enheten fungerade inte korrekt. Den rapporterar till portalen, men tjänsten kanske inte visas som registrerad i SCCM eller registret. Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

26 Microsoft Defender för slutpunktstjänsten kunde inte ange registreringsstatus i registret. Felkod: variable . Enheten fungerade inte korrekt.

Den rapporterar till portalen, men tjänsten kanske inte visas som registrerad i SCCM eller registret.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

27 Microsoft Defender för slutpunktstjänsten kunde inte aktivera SENSE-läge i Microsoft Defender Antivirus. Onboarding-processen misslyckades. Felkod: variable . Normalt sett Microsoft Defender Antivirus ett särskilt passivt läge om en annan program mot skadlig programvara i realtid körs på rätt sätt på enheten och enheten rapporterar till Defender för Endpoint. Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

Se till att skydd mot skadlig programvara i realtid fungerar som det ska.

28 Microsoft Defender för slutpunktsanslutna användarupplevelser och registrering av telemetritjänster misslyckades. Felkod: variable . Ett fel uppstod med Windows telemetritjänsten. Kontrollera att diagnostikdatatjänsten är aktiverad.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

29 Det gick inte att läsa parametrarna för offboarding. Feltyp: %1, Felkod: %2, Beskrivning: %3 Händelsen inträffar när systemet inte kan läsa parametrarna för offboarding. Kontrollera att enheten har internetanslutning och kör sedan hela offboardingprocessen igen. Kontrollera att offboarding-paketet inte har gått ut.
30 Microsoft Defender för slutpunktstjänsten kunde inte inaktivera SENSE-läge i Microsoft Defender Antivirus. Felkod: variable . Normalt sett Microsoft Defender Antivirus ett särskilt passivt läge om en annan program mot skadlig programvara i realtid körs på rätt sätt på enheten och enheten rapporterar till Defender för Endpoint. Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10-enheter.

Se till att skydd mot skadlig programvara i realtid fungerar som det ska.

31 Microsoft Defender för slutpunktsanslutna användarupplevelser och avregistrering av telemetritjänsten misslyckades. Felkod: variable . Ett fel uppstod med Windows telemetritjänsten under onboarding. Offboarding-processen fortsätter. Sök efter fel med Windows telemetritjänsten.
32 Microsoft Defender för slutpunktstjänsten kunde inte begära att stoppa sig själv efter offboardingprocessen. Felkod: %1 Ett fel uppstod vid offboarding. Starta om enheten.
33 Microsoft Defender för slutpunktstjänsten kunde inte spara SENSE GUID. Felkod: variable . En unik identifierare används för att representera varje enhet som rapporterar till portalen.

Om identifieraren inte finns kvar kan samma enhet visas två gånger i portalen.

Kontrollera registerbehörigheter på enheten för att säkerställa att tjänsten kan uppdatera registret.
34 Microsoft Defender för Slutpunkt-tjänsten kunde inte lägga till sig själv som ett beroende av den anslutna användarupplevelsen och telemetritjänsten, vilket ledde till att onboarding-processen misslyckades. Felkod: variable . Ett fel uppstod med Windows telemetritjänsten. Kontrollera att diagnostikdatatjänsten är aktiverad.

Kontrollera att onboarding-inställningarna och skripten har distribuerats korrekt. Försök distribuera konfigurationspaketen igen.

Se Onboard Windows 10 enheter.

35 Microsoft Defender för slutpunktstjänsten kunde inte ta bort sig själv som ett beroende av den anslutna användarupplevelsen och telemetritjänsten. Felkod: variable . Ett fel uppstod med Windows telemetritjänsten under offboarding. Offboarding-processen fortsätter. Sök efter fel med Windows för diagnostikdata.
36 Microsoft Defender för slutpunktsanslutna användarupplevelser och telemetritjänstregistrering lyckades. Slutförandekod: variable . Registrering av Defender för slutpunkt med den anslutna användarupplevelsen och telemetritjänsten har slutförts. Meddelande om normal användning. ingen åtgärd krävs.
37 Microsoft Defender för slutpunkt En modul kommer att överskrida sin kvot. Modul: %1, Kvot: {%2} {%3}, Procentandel av kvotens användning: %4. Enheten har nästan använt sin tilldelade kvot under det aktuella 24-timmarsfönstret. Den kommer att begränsas. Meddelande om normal användning. ingen åtgärd krävs.
38 Nätverksanslutningen identifieras som låg. Microsoft Defender för Endpoint kontaktar servern var %1:e minut. Anslutning med datatrafik: %2, internet tillgängligt: %3, kostnadsfritt nätverk tillgängligt: %4. Enheten använder ett nätverk med datatrafik/betalt nätverk och kontaktar servern mer sällan. Meddelande om normal användning. ingen åtgärd krävs.
39 Nätverksanslutningen identifieras som normal. Microsoft Defender för Endpoint kontaktar servern var %1:e minut. Anslutning med datatrafik: %2, internet tillgängligt: %3, kostnadsfritt nätverk tillgängligt: %4. Enheten använder inte en anslutning med databetalda data och kontaktar servern som vanligt. Meddelande om normal användning. ingen åtgärd krävs.
40 Batteritillståndet identifieras som låg. Microsoft Defender för Endpoint kontaktar servern var %1:e minut. Batteritillstånd: %2. Enheten har låg batterinivå och kontaktar servern mindre ofta. Meddelande om normal användning. ingen åtgärd krävs.
41 Batteritillståndet identifieras som normalt. Microsoft Defender för Endpoint kontaktar servern var %1:e minut. Batteritillstånd: %2. Enheten har inte låg batterinivå och kontaktar servern som vanligt. Meddelande om normal användning. ingen åtgärd krävs.
42 Microsoft Defender för slutpunktskomponenten kunde inte utföra någon åtgärd. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsmeddelande: %4 Internt fel. Det gick inte att starta tjänsten. Om det här felet kvarstår kontaktar du supporten.
43 Microsoft Defender för slutpunktskomponenten kunde inte utföra någon åtgärd. Komponent: %1, Åtgärd: %2, Undantagstyp: %3, Undantagsfel: %4, Undantagsmeddelande: %5 Internt fel. Det gick inte att starta tjänsten. Om det här felet kvarstår kontaktar du supporten.
44 Offboarding av Defender för slutpunktstjänsten har slutförts. Tjänsten var offboarded. Meddelande om normal användning. ingen åtgärd krävs.
45 Det gick inte att registrera och starta händelsespårningssessionen [%1]. Felkod: %2 Ett fel uppstod vid start av tjänsten vid skapandet av ETW-session. Detta orsakade startfel för tjänsten. Om det här felet kvarstår kontaktar du supporten.
46 Det gick inte att registrera och starta händelsespårningssessionen [%1] på grund av brist på resurser. Felkod: %2. Det beror troligen på att det finns för många sessioner med aktiva händelsespårningar. Tjänsten kommer att försöka igen om 1 minut. Ett fel uppstod vid start av tjänsten när ETW-sessionen skulle skapas på grund av brist på resurser. Tjänsten startades och körs, men rapporterar inte någon sensorhändelse förrän ETW-sessionen startas. Meddelande om normal användning. ingen åtgärd krävs. Tjänsten försöker starta sessionen varje minut.
47 Registrerad och startade händelsespårningssessionen – återställdes efter tidigare misslyckade försök. Händelsen följer den föregående händelsen efter att ETW-sessionen har startar. Meddelande om normal användning. ingen åtgärd krävs.
48 Det gick inte att lägga till en provider [%1] i händelsespårningssession [%2]. Felkod: %3. Det innebär att händelser från den här leverantören inte rapporteras. Det gick inte att lägga till en leverantör i ETW-sessionen. Därför rapporteras inte leverantörshändelserna. Kontrollera felkoden. Kontakta support om felet kvarstår.
49 Kommandot ogiltig molnkonfiguration har tagits emot och ignorerats. Version: %1, status: %2, felkod: %3, meddelande: %4 Fick en ogiltig konfigurationsfil från molntjänsten som ignorerades. Om det här felet kvarstår kontaktar du supporten.
50 Den nya molnkonfigurationen har använts. Version: %1. En ny konfiguration från molntjänsten har tillämpats. Meddelande om normal användning. ingen åtgärd krävs.
51 Ny molnkonfiguration kunde inte användas, version: %1. Den senaste kända konfigurationen, version %2, har tillämpats. Fick en felaktig konfigurationsfil från molntjänsten. Den senaste kända konfigurationen har använts. Om det här felet kvarstår kontaktar du supporten.
52 Ny molnkonfiguration kunde inte användas, version: %1. Det gick inte heller att använda den senaste kända konfigurationen, version %2. Standardkonfigurationen har tillämpats. Fick en felaktig konfigurationsfil från molntjänsten. Det gick inte att använda den senaste kända konfigurationen – och standardkonfigurationen tillämpades. Tjänsten försöker ladda ned en ny konfigurationsfil inom 5 minuter. Om du inte ser händelsen #50 – kontakta support.
53 Molnkonfiguration som lästs in från beständig lagring, version: %1. Konfigurationen startades från beständig lagring vid start av tjänsten. Meddelande om normal användning. ingen åtgärd krävs.
55 Det gick inte att skapa automatisk ETW-loggare för säker ETW. Felkod: %1 Det gick inte att skapa den säkra ETW-loggern. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
56 Det gick inte att ta bort Automatisk ETW-säkerhetslogg. Felkod: %1 Det gick inte att ta bort den säkra ETW-sessionen på offboarding. Kontakta support.
57 Fånga en ögonblicksbild av datorn i felsökningssyfte. Ett undersökningspaket, även kallat en forensisk paket, samlas in. Meddelande om normal användning. ingen åtgärd krävs.
59 Startkommando: %1 Kommandot Startar svarskörning. Meddelande om normal användning. ingen åtgärd krävs.
60 Det gick inte att köra kommandot %1, fel: %2. Det gick inte att köra svarskommandot. Om det här felet kvarstår kontaktar du supporten.
61 Parametrar för datainsamlingskommandon är ogiltiga: SasUri: %1, compressionLevel: %2. Det gick inte att läsa eller tolka kommandoargumenten för datainsamling (ogiltiga argument). Om det här felet kvarstår kontaktar du supporten.
62 Det gick inte att starta den anslutna användarupplevelsen och telemetritjänsten. Felkod: %1 Anslutna användarupplevelser och den telemetriska tjänsten (diagtrack) kunde inte startas. Telemetri med andra än Microsoft Defender för Slutpunkt-telemetri skickas inte från den här datorn. Leta efter fler felsökningstips i händelseloggen: Microsoft-Windows-UniversalTelemetryClient/Operational.
63 Uppdatera starttypen för extern tjänst. Namn: %1, verklig starttyp: %2, förväntad starttyp: %3, utgångskod: %4 Den externa tjänstens starttyp har uppdaterats. Meddelande om normal användning. ingen åtgärd krävs.
64 Starta den externa tjänsten som stoppas. Namn: %1, utgångskod: %2 Starta en extern tjänst. Meddelande om normal användning. ingen åtgärd krävs.
65 Det gick inte att läsa in minifilterdrivrutinen Microsoft Security Events Component. Felkod: %1 Det gick inte att MsSecFlt.sys av filsystems minifilter. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
66 Principuppdatering: Svarstidsläge – %1 Principen för&C-anslutningsfrekvensen uppdaterades. Meddelande om normal användning. ingen åtgärd krävs.
68 Tjänstens starttyp är oväntad. Tjänstnamn: %1, verklig starttyp: %2, förväntad starttyp: %3 Oväntad extern tjänststartstyp. Åtgärda den externa tjänstens starttyp.
69 Tjänsten stoppas. Tjänstnamn: %1 Den externa tjänsten stoppas. Starta den externa tjänsten.
70 Principuppdatering: Tillåt exempelsamling – %1 Exempelprincipen för samling har uppdaterats. Meddelande om normal användning. ingen åtgärd krävs.
71 Kommandot Lyckades köra: %1 Kommandot kördes korrekt. Meddelande om normal användning. ingen åtgärd krävs.
72 Försökte skicka den första fullständiga datorprofilrapporten. Resultatkod: %1 Endast information. Meddelande om normal användning. ingen åtgärd krävs.
73 Start för plattform: %1 Endast information. Meddelande om normal användning. ingen åtgärd krävs.
74 Enhetstaggen i registret överskrider längdgränsen. Taggnamn: %2. Längdbegränsning: %1. Enhetstaggen överskrider längdgränsen. Använd en kortare enhetstagg.
81 Det gick inte att skapa Microsoft Defender för slutpunkt ETW – automatisklogg. Felkod: %1 Det gick inte att skapa ETW-sessionen. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
82 Det gick inte att ta bort Microsoft Defender för endpoint ETW autologger. Felkod: %1 Det gick inte att ta bort ETW-sessionen. Kontakta support.
84 Ställa Windows Defender Antivirus i körningsläget. Tvinga passivt läge: %1, resultatkod: %2. Ställa in defender running mode (aktivt eller passivt). Meddelande om normal användning. ingen åtgärd krävs.
85 Det gick inte att utlösa Microsoft Defender för körbar slutpunkt. Felkod: %1 Körbar Stjärn senseIR misslyckades. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
86 Starta igen, stoppad extern tjänst som ska vara upp. Namn: %1, utgångskod: %2 Starta den externa tjänsten igen. Meddelande om normal användning. ingen åtgärd krävs.
87 Det går inte att starta den externa tjänsten. Namn: %1 Det gick inte att starta den externa tjänsten. Kontakta support.
88 Uppdatera starttypen för den externa tjänsten igen. Namn: %1, verklig starttyp: %2, förväntad starttyp: %3, utgångskod: %4 Uppdaterade starttypen för den externa tjänsten. Meddelande om normal användning. ingen åtgärd krävs.
89 Det går inte att uppdatera starttypen för extern tjänst. Namn: %1, verklig starttyp: %2, förväntad starttyp: %3 Det går inte att uppdatera starttypen för den externa tjänsten. Kontakta support.
90 Det gick inte att konfigurera System Guard Runtime Monitor för att ansluta till molntjänsten i geoområde %1. Felkod: %2 System Guard Runtime Monitor skickar inte attestationsdata till molntjänsten. Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta support om det inte är några problem.
91 Det gick inte att ta bort System Guard Runtime Monitor-information för geoområde. Felkod: %1 System Guard Runtime Monitor skickar inte attestationsdata till molntjänsten. Kontrollera behörigheterna för registersökvägen: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Kontakta support om det inte är några problem.
92 Stoppa sändningssensorer för cyberdata eftersom datakvoten överskrids. Återupptar sändningen när kvotperioden går ut. Tillståndsmask: %1 Överskrid begränsningsgräns. Meddelande om normal användning. ingen åtgärd krävs.
93 Återupptar sändning av sensordata i cybern. Tillståndsmask: %1 Återuppta sändning av cyberdata. Meddelande om normal användning. ingen åtgärd krävs.
94 Körbar Microsoft Defender för slutpunkt har startat Den körbara SenseCE-filen har startat. Meddelande om normal användning. ingen åtgärd krävs.
95 Körbar Microsoft Defender för slutpunkt har avslutats Den körbara SenseCE-filen har avslutats. Meddelande om normal användning. ingen åtgärd krävs.
96 Microsoft Defender för Slutpunkt Init har anropats. Resultatkod: %2 Den körbara SenseCE-filen har kallat MCE-initiering. Meddelande om normal användning. ingen åtgärd krävs.
97 Det finns anslutningsproblem till molnet för DLP-scenariot Det finns nätverksanslutningsproblem som påverkar DLP-klassificeringsflödet. Kontrollera nätverksanslutningen.
98 Anslutningen till molnet för DLP-scenariot har återställts Anslutningen till nätverket återställdes och DLP-klassificeringsflödet kan fortsätta. Meddelande om normal användning. ingen åtgärd krävs.
99 Fel i Sense har uppstått när du kommunicerar med server: (%1). Resultat: (%2) Ett kommunikationsfel inträffade. Mer information finns i följande händelser i händelseloggen.
100 Körbar Microsoft Defender för slutpunkt kunde inte startas. Felkod: %1 Det gick inte att starta SenseCE-körbara filer. Starta om enheten. Om det här felet kvarstår kontaktar du supporten.
102 Körbar microsoft Defender för slutpunktsnätverksidentifiering och svar har startat Körbar SenseNdr har startat. Meddelande om normal användning. ingen åtgärd krävs.
103 Microsoft Defender för slutpunkt nätverksidentifiering och svar körbar fil har avslutats Den körbara SenseNdr-filen har avslutats. Meddelande om normal användning. ingen åtgärd krävs.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Se även