使用 ATA 記錄對 ATA 進行疑難排解

  • 發行項

適用于:進階威脅分析 1.9 版

ATA 記錄提供 ATA 每個元件在任何指定時間點執行的深入解析。

ATA 閘道記錄

在本節中,ATA 閘道的每個參考也都與 ATA 輕量型閘道相關。

ATA 閘道記錄位於名為 Logs 的子資料夾中,其中已安裝 ATA;預設位置為: C:\Program Files\Microsoft Advanced Threat Analytics\ 。 在預設安裝位置中,其位於: C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs

ATA 閘道具有下列記錄:

  • Microsoft.Tri.Gateway.log – 此記錄包含 ATA 閘道中發生的所有專案(包括解決和錯誤)。 其主要用途是依時間順序取得所有作業的整體狀態。

  • Microsoft.Tri.Gateway-Resolution.log – 此記錄包含 ATA 閘道在流量中看到之實體的解析詳細資料。 其主要用途是調查實體的解決問題。

  • Microsoft.Tri.Gateway-Errors.log – 此記錄只包含 ATA 閘道所攔截的錯誤。 其主要用途是執行健康情況檢查,並調查需要與特定時間相互關聯的問題。

  • Microsoft.Tri.Gateway-ExceptionStatistics.log – 此記錄會將所有類似的錯誤和例外狀況分組,並測量其計數。 每次 ATA 閘道服務啟動時,這個檔案都會空的,而且每分鐘都會更新一次。 其主要用途是瞭解 ATA 閘道是否有任何新的錯誤或問題(因為錯誤已分組,因此更容易閱讀,並快速瞭解是否有任何新問題)。

  • Microsoft.Tri.Gateway.Updater.log - 此記錄會用於閘道更新程式程式,如果設定為自動更新 ATA 閘道,則負責更新 ATA 閘道。 針對 ATA 輕量型閘道,閘道更新程式也會負責 ATA 輕量型閘道的資源限制。

  • Microsoft.Tri.Gateway.Updater-ExceptionStatistics.log - 此記錄會將所有類似的錯誤和例外狀況群組在一起,並測量其計數。 每次 ATA Updater 服務啟動時,這個檔案都會空的,而且每分鐘都會更新一次。 它可讓您瞭解 ATA 更新程式是否有任何新的錯誤或問題。 這些錯誤會分組,讓您更輕鬆地快速瞭解是否偵測到任何新的錯誤或問題。

注意

前三個記錄檔的大小上限為 50 MB。 達到該大小時,會開啟新的記錄檔,並將前一個記錄檔重新命名為「 < 原始檔案名稱 > -Archived-00000」,其中每次重新命名數位都會遞增。 根據預設,如果已有來自相同類型的 10 個以上的檔案存在,則會刪除最舊的檔案。

ATA 中心記錄

ATA 中心記錄位於名為 Logs 的子資料夾中。 在預設安裝位置中,其位於: C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs 」。

注意

先前在 IIS 記錄下的 ATA 主控台記錄現在位於 ATA 中心記錄下。

ATA 中心有下列記錄:

  • Microsoft.Tri.Center.log – 此記錄包含 ATA 中心發生的所有專案,包括偵測和錯誤。 其主要用途是依時間順序取得所有作業的整體狀態。

  • Microsoft.Tri.Center-Detection.log – 此記錄只包含 ATA 中心的偵測詳細資料。 其主要用途是調查偵測問題。

  • Microsoft.Tri.Center-Errors.log – 此記錄只包含 ATA 中心所攔截的錯誤。 其主要用途是執行健康情況檢查,並調查需要與特定時間相互關聯的問題。

  • Microsoft.Tri.Center-ExceptionStatistics.log – 此記錄會將所有類似的錯誤和例外狀況分組,並測量其計數。 每次 ATA 中心服務啟動時,這個檔案都會空的,而且每分鐘都會更新一次。 其主要用途是瞭解 ATA 中心是否有任何新的錯誤或問題,因為錯誤已分組,因此更容易快速瞭解是否有新的錯誤或問題。

注意

前三個記錄檔的大小上限為 50 MB。 達到該大小時,會開啟新的記錄檔,並將前一個記錄檔重新命名為「 < 原始檔案名稱 > -Archived-00000」,其中每次重新命名數位都會遞增。 根據預設,如果已有來自相同類型的 10 個以上的檔案存在,則會刪除最舊的檔案。

ATA 部署記錄

ATA 部署記錄位於安裝產品的使用者的臨時目錄中。 在預設安裝位置中,您可以在下列位置找到: C:\Users < logged-in-user > \AppData\Local\Temp (或 %temp% 以上的一個目錄)。

ATA 中心部署記錄:

  • Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS.log - 此記錄會列出 ATA 中心部署過程中的步驟。 其主要用途是追蹤 ATA 中心部署程式。

  • Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_0_MongoDBPackage.log - 此記錄會列出 ATA 中心 MongoDB 部署程式中的步驟。 其主要用途是追蹤 MongoDB 部署程式。

  • Microsoft Advanced Threat Analytics Center_YYYYMMDDHHMMSS_1_MsiPackage.log - 此記錄檔會列出 ATA 中心二進位檔部署過程中的步驟。 其主要用途是追蹤 ATA 中心二進位檔的部署。

ATA 閘道和 ATA 輕量型閘道部署記錄:

  • Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS.log - 此記錄會列出 ATA 閘道部署過程中的步驟。 其主要用途是追蹤 ATA 閘道部署程式。

  • Microsoft Advanced Threat Analytics Gateway_YYYYMMDDHHMMSS_001_MsiPackage.log - 此記錄檔會列出 ATA 閘道二進位檔部署過程中的步驟。 其主要用途是追蹤 ATA 閘道二進位檔的部署。

注意

除了這裡所述的部署記錄之外,還有其他以「Microsoft 進階威脅分析」開頭的記錄,也可以提供有關部署程式的其他資訊。

另請參閱