使用 Defender for Identity 日志对 Microsoft Defender for Identity 传感器进行故障排除
可通过 Defender for Identity 日志深入了解 Microsoft Defender for Identity 传感器的每个组件在任何给定时间点执行的操作。
Defender for Identity 日志位于名为 Logs 的子文件夹中,其中安装了 Defender for Identity;默认位置为 C:\Program Files\Azure Advanced Threat Protection Sensor\。 在默认安装位置中,可在 C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs 中找到该日志。
Defender for Identity 传感器日志
Defender for Identity 传感器具有以下日志:
Microsoft.Tri.Sensor.log – 此日志包含 Defender for Identity 传感器中发生的所有内容(包括解决方法和错误)。 其主要用途是按时间顺序获取发生的所有操作的总体状态。
Microsoft.Tri.Sensor-Errors.log – 此日志仅包含 Defender for Identity 传感器捕获的错误。 其主要用途是执行运行状况检查并调查需要与特定时间相关的问题。
Microsoft.Tri.Sensor.Updater.log - 此日志用于传感器更新程序进程,如果配置为自动更新 Defender for Identity 传感器,则将由该进程负责执行更新。
Microsoft.Tri.Sensor.Updater-Errors.log – 此日志仅包含 Defender for Identity 传感器更新程序捕获的错误。 其主要用途是执行运行状况检查并调查需要与特定时间相关的问题。
注意
日志文件的最大大小不超过 50 MB。 达到该大小后,将打开新的日志文件,并将上一个日志文件重命名为“<原始文件名>-Archived-00000”,每次重命名时数字都会递增。 默认情况下,如果同一类型的文件已存在超过 10 个,则会删除最早的文件。
Defender for Identity 部署日志
Defender for Identity 部署日志位于安装产品的用户的临时目录中。 通常位于 %USERPROFILE%\AppData\Local\Temp。如果它是由服务部署的,则可能位于 C:\Windows\Temp 中。
Defender for Identity 传感器部署日志:
Azure 高级威胁防护 Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log - 此日志文件提供传感器部署的整个过程,可在之前提及的 temp 文件夹中找到。
Azure 高级威胁防护 Sensor_YYYYMMDDHHMMSS.log - 此日志列出了 Defender for Identity 传感器部署过程中的步骤。 其主要用途是跟踪 Defender for Identity 传感器部署过程。
Azure 高级威胁防护 Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log - 此日志文件列出了 Defender for Identity 传感器二进制文件部署过程中的步骤。 其主要用途是跟踪 Defender for Identity 传感器二进制文件的部署。
注意
除了此处提及的部署日志之外,还存在以“Azure 高级威胁防护”开头的其他日志,同样可以提供有关部署过程的其他信息。