Solução de problemas do sensor Microsoft Defender for Identity usando os logs do Defender for Identity

Os logs do Defender for Identity fornecem informações sobre o que cada componente do sensor Microsoft Defender for Identity está fazendo em um determinado momento.

Os logs do Defender for Identity estão localizados em uma subpasta chamada Logs , onde o Defender for Identity está instalado, o local padrão é: C:\Program Files\Azure Advanced Threat Protection Sensor\. No local de instalação padrão, ele pode ser encontrado em: C:\Program Files\Azure Advanced Threat Protection Sensor\version number\Logs.

Registros do sensor do Defender for Identity

O sensor Defender for Identity tem os seguintes registos:

  • Microsoft.Tri.Sensor.log – Este registo contém tudo o que acontece no sensor Defender for Identity (incluindo resolução e erros). Seu principal uso é obter o status geral de todas as operações na ordem cronológica em que ocorreram.

  • Microsoft.Tri.Sensor-Errors.log – Este log contém apenas os erros que são detetados pelo sensor Defender for Identity. Seu principal uso é realizar verificações de saúde e investigar questões que precisam ser correlacionadas a momentos específicos.

  • Microsoft.Tri.Sensor.Updater.log - Este log é usado para o processo de atualização do sensor, que é responsável por atualizar o sensor Defender for Identity se configurado para fazê-lo automaticamente.

  • Microsoft.Tri.Sensor.Updater-Errors.log – Este log contém apenas os erros que são detetados pelo atualizador do sensor Defender for Identity. Seu principal uso é realizar verificações de saúde e investigar questões que precisam ser correlacionadas a momentos específicos.

Nota

Os ficheiros de registo têm um tamanho máximo de até 50 MB. Quando esse tamanho é atingido, um novo arquivo de log é aberto e o anterior é renomeado para "<nome> do arquivo original-Archived-00000", onde o número aumenta cada vez que é renomeado. Por padrão, se já existirem mais de 10 arquivos do mesmo tipo, os mais antigos serão excluídos.

Logs de implantação do Defender for Identity

Os logs de implantação do Defender for Identity estão localizados no diretório temporário do usuário que instalou o produto. Ele geralmente será encontrado em %USERPROFILE%\AppData\Local\Temp. Se ele foi implantado por um serviço, ele pode ser encontrado em C:\Windows\Temp.

Logs de implantação do sensor Defender for Identity:

  • Azure Advanced Threat Protection Microsoft.Tri.Sensor.Deployment.Deployer_YYYYMMDDHHMMSS.log - Este arquivo de log fornece todo o processo de implantação do sensor e pode ser encontrado na pasta temporária mencionada anteriormente.

  • Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS.log - Este log lista as etapas no processo de implantação do sensor Defender for Identity. Seu principal uso é acompanhar o processo de implantação do sensor Defender for Identity.

  • Azure Advanced Threat Protection Sensor_YYYYMMDDHHMMSS_001_MsiPackage.log - Este arquivo de log lista as etapas no processo de implantação dos binários do sensor do Defender for Identity. Seu principal uso é acompanhar a implantação dos binários do sensor Defender for Identity.

Nota

Além dos logs de implantação mencionados aqui, há outros logs que começam com "Proteção Avançada contra Ameaças do Azure" que também podem fornecer informações adicionais sobre o processo de implantação.