Просмотр событий и ошибок с помощью Просмотр событий
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Просмотр событий в журнале событий службы Defender для конечной точки
Идентификаторы событий можно просматривать в Просмотр событий на отдельных устройствах. Это может помочь, если, например, устройство не отображается в списке Устройств. В этом сценарии можно найти идентификаторы событий на устройстве, а затем использовать приведенную ниже таблицу для определения дальнейших действий по устранению неполадок на основе соответствующего идентификатора события.
Чтобы открыть журнал событий службы Defender для конечной точки, выполните следующие действия.
Выберите Пуск в меню Windows, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
В списке журналов в разделе Сводка журнала прокрутите страницу, пока не увидите Microsoft-Windows-SENSE/Operational. Дважды щелкните элемент, чтобы открыть журнал.
Вы также можете получить доступ к журналу, разверните раздел Журналы> приложений и службMicrosoft>Windows>SENSE и выберите Операционный.
Примечание.
SENSE — это внутреннее имя, используемое для обозначения датчика поведения, который обеспечивает Microsoft Defender для конечной точки.
События, записанные службой, отображаются в журнале.
Список событий, записанных службой, см. в следующей таблице.
Идентификатор события | Сообщение | Описание | Действие |
---|---|---|---|
1 | служба Microsoft Defender для конечной точки запущена (версия variable ). |
Происходит во время запуска системы, завершения работы и во время подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
2 | Microsoft Defender для конечной точки завершение работы службы. | Происходит при выключении или отключении устройства. | Уведомление о нормальной работе; никаких действий не требуется. |
3 | не удалось запустить службу Microsoft Defender для конечной точки. Код сбоя: variable . |
Служба не запущена. | Просмотрите другие сообщения, чтобы определить возможную причину и действия по устранению неполадок. |
4 | Microsoft Defender для конечной точки служба связалась с сервером по адресу variable . |
Переменная = URL-адрес серверов обработки Defender для конечной точки. Этот URL-адрес соответствует тому, что было показано в брандмауэре или сетевой активности. |
Уведомление о нормальной работе; никаких действий не требуется. |
5 | Microsoft Defender для конечной точки службе не удалось подключиться к серверу по адресу variable . |
Переменная = URL-адрес серверов обработки Defender для конечной точки. Службе не удалось связаться с внешними серверами обработки по указанному URL-адресу. |
Проверьте подключение к URL-адресу. См . раздел Настройка прокси-сервера и подключения к Интернету. |
6 | Microsoft Defender для конечной точки служба не подключена и параметры подключения не найдены. | Устройство не подключено правильно и не сообщается на портале. | Подключение должно быть запущено перед запуском службы. Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
7 | Microsoft Defender для конечной точки службе не удалось прочитать параметры подключения. Сбой: variable . |
Переменная = подробное описание ошибки. Устройство не подключено правильно и не сообщается на портале. | Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
8 | Microsoft Defender для конечной точки службе не удалось очистить свою конфигурацию. Код сбоя: variable . |
Во время подключения: Службе не удалось очистить свою конфигурацию во время подключения. Процесс подключения продолжается. Во время отключения: Службе не удалось очистить свою конфигурацию во время отключения. Процесс отключения завершен, но служба продолжает работать. |
Подключение: Никаких действий не требуется. Отключение: Перезагрузите систему. См . раздел Подключение клиентских устройств Windows. |
9 | Microsoft Defender для конечной точки службе не удалось изменить тип запуска. Код сбоя: variable . |
Во время подключения: Устройство не подключено правильно и не сообщается на портале. Во время отключения: Не удалось изменить тип запуска службы. Процесс отключения продолжается. |
Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
10 | Microsoft Defender для конечной точки службе не удалось сохранить сведения о подключении. Код сбоя: variable . |
Устройство не подключено правильно и не сообщается на портале. | Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
11 | Подключение или повторное подключение службы Defender для конечной точки завершено. | Устройство подключено правильно. | Уведомление о нормальной работе; никаких действий не требуется. На появление устройства на портале может потребоваться несколько часов. |
12 | Microsoft Defender для конечной точки не удалось применить конфигурацию по умолчанию. | Службе не удалось применить конфигурацию по умолчанию. | Эта ошибка должна быть устранена через короткий период времени. |
13 | Microsoft Defender для конечной точки идентификатор устройства: variable . |
Обычный рабочий процесс. | Уведомление о нормальной работе; никаких действий не требуется. |
15 | Microsoft Defender для конечной точки не удается запустить канал команд с URL-адресом: variable . |
Переменная = URL-адрес серверов обработки Defender для конечной точки. Службе не удалось связаться с внешними серверами обработки по указанному URL-адресу. |
Проверьте подключение к URL-адресу. См . раздел Настройка прокси-сервера и подключения к Интернету. |
17 | Microsoft Defender для конечной точки службе не удалось изменить расположение службы подключенных пользователей и службы телеметрии. Код сбоя: variable . |
Произошла ошибка со службой телеметрии Windows. |
Убедитесь, что служба диагностических данных включена.> Убедитесь, что служба диагностических данных включена. Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
18 | OOBE (приветствие Windows) завершено. | Служба запускается только после завершения установки обновлений Windows. | Уведомление о нормальной работе; никаких действий не требуется. |
19 | OOBE (приветствие Windows) еще не завершено. | Служба запускается только после завершения установки обновлений Windows. | Уведомление о нормальной работе; никаких действий не требуется. Если эта ошибка сохраняется после перезапуска системы, убедитесь, что все обновления Windows установлены полностью. |
20 | Не удается дождаться завершения запуска OOBE (приветствие Windows). Код сбоя: variable . |
Внутренняя ошибка. | Если эта ошибка сохраняется после перезапуска системы, убедитесь, что установлены все обновления Windows. |
25 | Microsoft Defender для конечной точки службе не удалось сбросить состояние работоспособности в реестре. Код сбоя: variable . |
Устройство не подключено правильно. Он сообщает на портал; однако служба может не отображаться как зарегистрированная в SCCM или реестре. | Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
26 | Microsoft Defender для конечной точки службе не удалось задать состояние подключения в реестре. Код сбоя: variable . |
Устройство не подключено правильно. Он сообщает на портал; однако служба может не отображаться как зарегистрированная в SCCM или реестре. |
Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
27 | Microsoft Defender для конечной точки службе не удалось включить режим поддержки SENSE в Microsoft Defender антивирусной программе. Сбой процесса подключения. Код сбоя: variable . |
Как правило, антивирусная программа Microsoft Defender переходит в особое пассивное состояние, если другой антивредоносный продукт в режиме реального времени работает правильно на устройстве и устройство передает отчет в Defender для конечной точки. | Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. Убедитесь, что защита от вредоносных программ работает правильно. |
28 | Microsoft Defender для конечной точки сбой регистрации подключенных пользователей и службы телеметрии. Код сбоя: variable . |
Произошла ошибка со службой телеметрии Windows. |
Убедитесь, что служба диагностических данных включена. Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
29 | Не удалось считывать параметры отключения. Тип ошибки: %1, код ошибки: %2, описание: %3 | Это событие возникает, когда система не может считывать параметры отключения. | Убедитесь, что устройство имеет доступ к Интернету, а затем снова запустите весь процесс отключения. Убедитесь, что срок действия пакета отключения не истек. |
30 | Microsoft Defender для конечной точки службе не удалось отключить режим поддержки SENSE в Microsoft Defender антивирусной программе. Код сбоя: variable . |
Как правило, антивирусная программа Microsoft Defender переходит в особое пассивное состояние, если другой антивредоносный продукт в режиме реального времени работает правильно на устройстве и устройство передает отчет в Defender для конечной точки. | Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. Убедитесь, что защита от вредоносных программ работает правильно. |
31 | Microsoft Defender для конечной точки не удалось отменить регистрацию службы "Подключенные пользователи" и службы телеметрии. Код сбоя: variable . |
Ошибка со службой телеметрии Windows во время подключения. Процесс отключения продолжается. | Проверьте наличие ошибок в службе телеметрии Windows. |
32 | Microsoft Defender для конечной точки службе не удалось запросить остановку после отключения процесса. Код сбоя: %1 | Во время отключения произошла ошибка. | Перезапустите устройство. |
33 | Microsoft Defender для конечной точки службе не удалось сохранить GUID SENSE. Код сбоя: variable . |
Уникальный идентификатор используется для представления каждого устройства, отчитывающегося на портале. Если идентификатор не сохраняется, одно и то же устройство может появиться на портале дважды. |
Проверьте разрешения реестра на устройстве, чтобы убедиться, что служба может обновить реестр. |
34 | Microsoft Defender для конечной точки службе не удалось добавить себя в качестве зависимости от подключенных пользователей и службы телеметрии, что привело к сбою процесса подключения. Код сбоя: variable . |
Произошла ошибка со службой телеметрии Windows. |
Убедитесь, что служба диагностических данных включена. Убедитесь, что параметры подключения и скрипты были развернуты правильно. Попробуйте повторно развернуть пакеты конфигурации. См . раздел Подключение клиентских устройств Windows. |
35 | Квоты на обмен данными обновляются. Квота диска в МБ: variable , квота ежедневной отправки в МБ: variable |
Переменная = квота диска в МБ. | Уведомление о нормальной работе; никаких действий не требуется. |
36 | Microsoft Defender для конечной точки регистрация службы телеметрии и взаимодействия с подключенными пользователями выполнена успешно. Код завершения: variable . |
Успешно завершена регистрация Defender для конечной точки в службе подключенных пользователей и телеметрии. | Уведомление о нормальной работе; никаких действий не требуется. |
37 | Microsoft Defender для конечной точки модуль A вот-вот превысит свою квоту. Модуль: %1, квота: {%2} {%3}, процент использования квоты: %4. | Устройство находится рядом с выделенной квотой текущего 24-часового окна. Это будет отрегулировать. | Уведомление о нормальной работе; никаких действий не требуется. |
38 | Сетевое подключение определяется как низкое. Microsoft Defender для конечной точки связывается с сервером каждые %1 минуты. Лимитное подключение: %2, доступ к Интернету: %3, бесплатная сеть: %4. | Устройство использует лимитную или платную сеть и реже обращается к серверу. | Уведомление о нормальной работе; никаких действий не требуется. |
39 | Сетевое подключение определяется как обычное. Microsoft Defender для конечной точки связывается с сервером каждые %1 минуты. Лимитное подключение: %2, доступ к Интернету: %3, бесплатная сеть: %4. | Устройство не использует лимитное или платное подключение и связывается с сервером в обычном режиме. | Уведомление о нормальной работе; никаких действий не требуется. |
40 | Состояние батареи определяется как низкое. Microsoft Defender для конечной точки связывается с сервером каждые %1 минуты. Состояние батареи: %2. | Устройство имеет низкий уровень заряда батареи и реже обращается к серверу. | Уведомление о нормальной работе; никаких действий не требуется. |
41 | Состояние батареи определяется как нормальное. Microsoft Defender для конечной точки связывается с сервером каждые %1 минуты. Состояние батареи: %2. | Устройство не имеет низкого уровня заряда батареи и связывается с сервером в обычном режиме. | Уведомление о нормальной работе; никаких действий не требуется. |
42 | Microsoft Defender для конечной точки компоненту не удалось выполнить действие. Компонент: %1, действие: %2, тип исключения: %3, сообщение об исключении: %4 | Внутренняя ошибка. Не удалось запустить службу. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
43 | Microsoft Defender для конечной точки компоненту не удалось выполнить действие. Компонент: %1, действие: %2, тип исключения: %3, ошибка исключения: %4, сообщение об исключении: %5 | Внутренняя ошибка. Не удалось запустить службу. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
44 | Завершено отключение службы Defender для конечной точки. | Служба была отключена. | Уведомление о нормальной работе; никаких действий не требуется. |
45 | Не удалось зарегистрировать и запустить сеанс трассировки событий [%1]. Код ошибки: %2 | Произошла ошибка при запуске службы при создании сеанса трассировки событий Windows. Это привело к сбою запуска службы. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
46 | Не удалось зарегистрировать и запустить сеанс трассировки событий [%1] из-за нехватки ресурсов. Код ошибки: %2. Скорее всего, это связано с тем, что существует слишком много активных сеансов трассировки событий. Служба повторяет попытку через 1 минуту. | При запуске службы при создании сеанса трассировки событий windows произошла ошибка из-за нехватки ресурсов. Служба запущена, но не сообщает о событиях датчика до запуска сеанса трассировки событий Windows. | Уведомление о нормальной работе; никаких действий не требуется. Служба пытается запустить сеанс каждую минуту. |
47 | Успешно зарегистрирован и запущен сеанс трассировки событий — восстановлен после предыдущих неудачных попыток. | Это событие следует за предыдущим событием после успешного запуска сеанса трассировки событий Windows. | Уведомление о нормальной работе; никаких действий не требуется. |
48 | Не удалось добавить поставщик [%1] в сеанс трассировки событий [%2]. Код ошибки: %3. Это означает, что события от этого поставщика не передаются. | Не удалось добавить поставщика в сеанс трассировки событий Windows. В результате о событиях поставщика не сообщается. | Проверьте код ошибки. Если ошибка сохраняется, обратитесь в службу поддержки. |
49 | Получена и проигнорирована недопустимая команда конфигурации облака. Версия: %1, состояние: %2, код ошибки: %3, сообщение: %4 | Получен недопустимый файл конфигурации из облачной службы, который был проигнорирован. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
50 | Новая облачная конфигурация успешно применена. Версия: %1. | Успешно применена новая конфигурация из облачной службы. | Уведомление о нормальной работе; никаких действий не требуется. |
51 | Не удалось применить новую облачную конфигурацию, версия: %1. Успешно применена последняя известная хорошая конфигурация версии %2. | Получен недопустимый файл конфигурации из облачной службы. Последняя известная хорошая конфигурация успешно применена. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
52 | Не удалось применить новую облачную конфигурацию, версия: %1. Также не удалось применить последнюю известную хорошую конфигурацию, версию %2. Конфигурация по умолчанию успешно применена. | Получен недопустимый файл конфигурации из облачной службы. Не удалось применить последнюю известную хорошую конфигурацию, и была применена конфигурация по умолчанию. | Служба попытается скачать новый файл конфигурации в течение 5 минут. Если событие 50 не отображается, обратитесь в службу поддержки. |
53 | Облачная конфигурация, загруженная из постоянного хранилища, версия: %1. | Конфигурация была загружена из постоянного хранилища при запуске службы. | Уведомление о нормальной работе; никаких действий не требуется. |
54 | Глобальное состояние (по шаблону) изменено. Состояние: %1, шаблон: %2 | Если состояние = 0: правило отчетности о кибер-данных достигло определенной квоты ограничения и не отправляет дополнительные данные до истечения срока действия квоты ограничения. Если состояние = 1: истек срок действия квоты ограничения и правило возобновит отправку данных. | Уведомление о нормальной работе; никаких действий не требуется. |
55 | Не удалось создать автологгер Secure ETW. Код сбоя: %1 | Не удалось создать безопасное средство ведения журнала ETW. | Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки. |
56 | Не удалось удалить автологгер Secure ETW. Код сбоя: %1 | Не удалось удалить безопасный сеанс трассировки событий Windows при отключении. | Обратитесь в службу поддержки. |
57 | Запись snapshot компьютера для устранения неполадок. | Выполняется сбор пакета исследования, также известного как пакет судебной экспертизы. | Уведомление о нормальной работе; никаких действий не требуется. |
59 | Команда запуска: %1 | Запуск выполнения команды ответа. | Уведомление о нормальной работе; никаких действий не требуется. |
60 | Не удалось выполнить команду %1, ошибка: %2. | Не удалось выполнить команду ответа. | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
61 | Недопустимые параметры команды сбора данных: SasUri: %1, compressionLevel: %2. | Не удалось прочитать или проанализировать аргументы команды сбора данных (недопустимые аргументы). | Если эта ошибка сохраняется, обратитесь в службу поддержки. |
62 | Не удалось запустить службу подключенных пользователей и телеметрии. Код сбоя: %1 | Не удалось запустить службу подключенных пользователей и телеметрии (diagtrack). Не Microsoft Defender для конечной точки телеметрия не отправляется с этого компьютера. | Дополнительные указания по устранению неполадок см. в журнале событий: Microsoft-Windows-UniversalTelemetryClient/Operational. |
63 | Обновление типа запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип начала: %3, код выхода: %4 | Обновлен тип запуска внешней службы. | Уведомление о нормальной работе; никаких действий не требуется. |
64 | Запуск остановленной внешней службы. Имя: %1, код выхода: %2 | Запуск внешней службы. | Уведомление о нормальной работе; никаких действий не требуется. |
65 | Не удалось загрузить драйвер мини-фильтра компонента событий безопасности Майкрософт. Код сбоя: %1 | Не удалось загрузить минифильтр MsSecFlt.sys файловой системы. | Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки. |
66 | Обновление политики: режим задержки — %1 | Обновлена политика частоты подключений C&C. | Уведомление о нормальной работе; никаких действий не требуется. |
68 | Тип запуска службы непредвиден. Имя службы: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3 | Непредвиденный тип запуска внешней службы. | Исправлен тип запуска внешней службы. |
69 | Служба остановлена. Имя службы: %1 | Внешняя служба остановлена. | Запустите внешнюю службу. |
70 | Обновление политики: разрешить сбор примеров — %1 | Пример политики сбора обновлен. | Уведомление о нормальной работе; никаких действий не требуется. |
71 | Команда успешно выполнена: %1 | Команда выполнена успешно. | Уведомление о нормальной работе; никаких действий не требуется. |
72 | Попытка отправки первого полного отчета о профиле компьютера. Код результата: %1 | Только информационные. | Уведомление о нормальной работе; никаких действий не требуется. |
73 | Контроль начала для платформы: %1 | Только информационные. | Уведомление о нормальной работе; никаких действий не требуется. |
74 | Тег устройства в реестре превышает ограничение по длине. Имя тега: %2. Ограничение длины: %1. | Тег устройства превышает ограничение по длине. | Используйте более короткий тег устройства. |
81 | Не удалось создать Microsoft Defender для конечной точки автоматического журнала ETW. Код сбоя: %1 | Не удалось создать сеанс трассировки событий Windows. | Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки. |
82 | Не удалось удалить Microsoft Defender для конечной точки автоматического журнала ETW. Код сбоя: %1 | Не удалось удалить сеанс трассировки событий Windows. | Обратитесь в службу поддержки. |
84 | Настройка режима выполнения антивирусной программы Microsoft Defender. Принудительный пассивный режим: %1, код результата: %2. | Установите режим работы защитника (активный или пассивный). | Уведомление о нормальной работе; никаких действий не требуется. |
85 | Не удалось активировать Microsoft Defender для конечной точки исполняемого файла. Код сбоя: %1 | Сбой исполняемого файла SenseIR в главной роли. | Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки. |
86 | Запуск снова остановил внешнюю службу, которая должна быть активирована. Имя: %1, код выхода: %2 | Снова запустите внешнюю службу. | Уведомление о нормальной работе; никаких действий не требуется. |
87 | Не удается запустить внешнюю службу. Имя: %1 | Не удалось запустить внешнюю службу. | Обратитесь в службу поддержки. |
88 | Повторное обновление типа запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип начала: %3, код выхода: %4 | Обновлен тип запуска внешней службы. | Уведомление о нормальной работе; никаких действий не требуется. |
89 | Не удается обновить тип запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3 | Не удается обновить тип запуска внешней службы. | Обратитесь в службу поддержки. |
90 | Не удалось настроить System Guard мониторе среды выполнения для подключения к облачной службе в географическом регионе %1. Код сбоя: %2 | монитор среды выполнения System Guard не отправляет данные аттестации в облачную службу. | Проверьте разрешения на путь к регистру: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Если проблем не было, обратитесь в службу поддержки. |
91 | Не удалось удалить сведения о географическом регионе монитора среды выполнения System Guard. Код сбоя: %1 | монитор среды выполнения System Guard не отправляет данные аттестации в облачную службу. | Проверьте разрешения на путь к регистру: "HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm". Если проблем не было, обратитесь в службу поддержки. |
92 | Прекращение отправки квоты киберданных датчика из-за превышения квоты данных. Будет возобновлена отправка по истечении периода квоты. Маска состояния: %1 | Превышение предела регулирования. | Уведомление о нормальной работе; никаких действий не требуется. |
93 | Возобновление отправки киберданных датчика. Маска состояния: %1 | Возобновление отправки киберданных. | Уведомление о нормальной работе; никаких действий не требуется. |
94 | Microsoft Defender для конечной точки запущен исполняемый файл | Запущен исполняемый файл SenseCE. | Уведомление о нормальной работе; никаких действий не требуется. |
95 | Microsoft Defender для конечной точки исполняемый файл завершен | Исполняемый файл SenseCE завершен. | Уведомление о нормальной работе; никаких действий не требуется. |
96 | Microsoft Defender для конечной точки инициализация вызвала. Код результата: %2 | Исполняемый файл SenseCE называется инициализацией MCE. | Уведомление о нормальной работе; никаких действий не требуется. |
97 | Существуют проблемы с подключением к облаку для сценария защиты от потери данных | Существуют проблемы с сетевым подключением, влияющие на поток классификации DLP. | Проверьте сетевое подключение. |
98 | Восстановлено подключение к облаку для сценария защиты от потери данных | Подключение к сети было восстановлено, и поток классификации защиты от потери данных может продолжаться. | Уведомление о нормальной работе; никаких действий не требуется. |
99 | Функция Sense обнаружила следующую ошибку при взаимодействии с сервером: (%1). Результат: (%2) | Произошла ошибка связи. | Проверьте следующие события в журнале событий для получения дополнительных сведений. |
100 | Microsoft Defender для конечной точки не удалось запустить исполняемый файл. Код сбоя: %1 | Не удалось запустить исполняемый файл SenseCE. | Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки. |
102 | Запущен исполняемый файл обнаружения сети и реагирования Microsoft Defender для конечной точки | Запущен исполняемый файл SenseNdr. | Уведомление о нормальной работе; никаких действий не требуется. |
103 | Microsoft Defender для конечной точки завершен исполняемый файл обнаружения сети и реагирования | Исполняемый файл SenseNdr завершен. | Уведомление о нормальной работе; никаких действий не требуется. |
104 | Не удалось выгрузить асинхронный драйвер в очередь. Код сбоя: %1. | Происходит во время отключения. | Уведомление о нормальной работе; никаких действий не требуется. |
105 | Не удалось дождаться выгрузки драйвера | Происходит во время отключения. | Уведомление о нормальной работе; никаких действий не требуется. |
106 | не удалось запустить службу Microsoft Defender для конечной точки. Код сбоя %1; Не удалось загрузить библиотеку DLL MsSense. Модуль. | Происходит во время запуска. | Обратитесь за поддержкой. |
107 | не удалось запустить службу Microsoft Defender для конечной точки. Код сбоя %1; Проблема с модулем DLL MsSense. | Происходит во время запуска. | Обратитесь за поддержкой. |
108 | Этап обновления:%1, новая версия платформы: %2, сообщение: %3. | Происходит во время обновления. | Уведомление о нормальной работе; никаких действий не требуется. |
109 | Этап обновления:%1 новая версия платформы: %2, сообщение о сбое: %3, ошибка: %4. | Происходит во время обновления. | Обратитесь за поддержкой. |
110 | Не удалось удалить MDEContain фильтры ВПП. | Происходит во время отключения. | Обратитесь за поддержкой. |
307 | Не удалось обновить разрешения драйвера: %1. | Происходит во время подключения. | Обратитесь за поддержкой. |
308 | Не удалось открыть список ACL в папке %1. Код сбоя: %2. | Происходит во время подключения. | Обратитесь за поддержкой. |
401 | Microsoft Defender для конечной точки службе не удалось создать ключ. Код сбоя: %1. | Не удалось создать ключ шифрования. | Если компьютер не сообщает, обратитесь в службу поддержки. В противном случае никаких действий не требуется. |
402 | Microsoft Defender для конечной точки службе не удалось сохранить состояние проверки подлинности. Код сбоя: %1. | Не удалось сохранить состояние проверки подлинности. | Если устройство не сообщает, обратитесь в службу поддержки. В противном случае никаких действий не требуется. |
403 | Регистрация службы Microsoft Defender для конечной точки завершена. | Успешная регистрация в службе проверки подлинности. | Уведомление о нормальной работе; никаких действий не требуется. |
404 | Microsoft Defender для конечной точки служба успешно сгенерировала ключ. | Успешное создание ключа шифрования. | Уведомление о нормальной работе; никаких действий не требуется. |
405 | Не удалось связаться со службой проверки подлинности. Сбой запроса %1, hresult: %2, код ошибки HTTP: %3. | Не удалось отправить запрос в службу проверки подлинности. | Уведомление о нормальной работе; никаких действий не требуется. |
406 | Запрос на %1 отклонен службой проверки подлинности. Hresult: %2, код ошибки: %3. | Запрос вернул нежелательный ответ. | Уведомление о нормальной работе; никаких действий не требуется. |
407 | Microsoft Defender для конечной точки службе не удалось подписать сообщение (проверка подлинности). Код сбоя: %1. | Не удалось подписать запрос. | Уведомление о нормальной работе; никаких действий не требуется. |
408 | Microsoft Defender для конечной точки службе не удалось удалить состояние сохраняемой проверки подлинности. Состояние: %1, код сбоя: %2. | Не удалось сохранить состояние проверки подлинности. | Если устройство не сообщает, обратитесь в службу поддержки. В противном случае никаких действий не требуется. |
409 | Microsoft Defender для конечной точки службе не удалось открыть ключ. Код сбоя: %1. | Не удалось открыть ключ шифрования. | Если устройство не сообщает, обратитесь в службу поддержки. В противном случае никаких действий не требуется. |
410 | Регистрация требуется в рамках повторного подключения службы Microsoft Defender для конечной точки. | Происходит во время повторного подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
411 | Отправка данных телеметрии киберпространства приостановлена для службы Microsoft Defender для конечной точки из-за недопустимого или истекенного маркера. | Кибер-отправка временно приостановлена. | Уведомление о нормальной работе; никаких действий не требуется. |
412 | Отправка данных телеметрии киберсвязи была возобновлена для службы Microsoft Defender для конечной точки из-за недавно обновленного маркера. | Кибер-отправка успешно возобновлена. | Уведомление о нормальной работе; никаких действий не требуется. |
1800 | CSP: получение Node's значения. NodeId: (%1), TokenName: (%2). |
Начнется операция Get. | Обратитесь за поддержкой. |
1801 | CSP: не удалось получить Node's значение. NodeId: (%1), TokenName: (%2), Result: (%3). |
Сбой операции Get. | Обратитесь за поддержкой. |
1802 | CSP: получение Node's значения завершено. NodeId: (%1), TokenName: (%2), Result: (%3). |
Операция Get выполнена успешно. | Обратитесь за поддержкой. |
1803 | CSP: получение последнего подключенного значения завершено. Результат (%1), IsDefault: (%2). | В последний раз, когда устройство взаимодействовало с CNC. | Уведомление о нормальной работе; никаких действий не требуется. |
1804 | CSP: получение значения идентификатора организации завершено. Результат: (%1), IsDefault: (%2). | Устройство с идентификатором организации получает во время подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1805 | CSP: получение значения Sense Is Running завершено. Результат: (%1). | Контроль выполнения сообщения после подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1806 | CSP: получение значения состояния подключения завершено. Результат: (%1), IsDefault: (%2). | Get is Sense onboarded. | Уведомление о нормальной работе; никаких действий не требуется. |
1807 | CSP: получение значения подключения завершено. Подключение хэша BLOB-объектов: (%1), IsDefault: (%2), состояние подключения: (%3), состояние подключения IsDefault: (%4). | Get — это подключение и подключение хэша большого двоичного объекта. | Уведомление о нормальной работе; никаких действий не требуется. |
1808 | CSP: получение значения offboarding завершено. Отключение хэша BLOB-объектов: (%1), IsDefault: (%2). | Получите хэш большого двоичного объекта. | Уведомление о нормальной работе; никаких действий не требуется. |
1809 | CSP: получение значения общего доступа к примеру завершено. Результат: (%1), IsDefault: (%2). | Получение является примером отправки разрешено. | Уведомление о нормальной работе; никаких действий не требуется. |
1810 | CSP: процесс подключения. Начал. | Начался поток подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1811 | CSP: процесс подключения. Удаление blob-объекта offboarding завершено. Результат: (%1). | Удален blob-объект offboarding в рамках потока подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1812 | CSP: процесс подключения. Запись подключения большого двоичного объекта завершена. Результат: (%1). | Запись подключения BLOB-объекта в реестр в рамках потока подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1813 | CSP: процесс подключения. Служба успешно запущена. | Запущена служба Sense в рамках потока подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1814 | CSP: процесс подключения. Состояние выполнения ожидающей службы завершено. Результат: (%1). | Завершено ожидание начала работы Sense в рамках потока подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1815 | CSP: установка значения общего доступа к примеру завершена. Предыдущее значение: (%1), IsDefault: (%2), Новое значение: (%3), Результат: (%4). | Задайте значение общего доступа к примеру. | Уведомление о нормальной работе; никаких действий не требуется. |
1816 | CSP: процесс отключения. Удаление подключения большого двоичного объекта завершено. Результат (%1). | Удален большой двоичный объект подключения в рамках потока отключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1817 | CSP: процесс отключения. Запись offboarding BLOB-объекта завершена. Результат (%1). | Списание большого двоичного объекта в реестр в рамках потока отключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1818 | CSP: началось установка Node's значения. NodeId: (%1), TokenName: (%2). |
Начнется операция Set. | Уведомление о нормальной работе; никаких действий не требуется. |
1819 | CSP: не удалось задать Node's значение. NodeId: (%1), TokenName: (%2), Result: (%3). |
Сбой операции Set. | Обратитесь за поддержкой. |
1820 | CSP: установка Node's значения завершена. NodeId: (%1), TokenName: (%2), Result: (%3). |
Операция Set выполнена успешно. | Уведомление о нормальной работе; никаких действий не требуется. |
1821 | CSP: начата настройка частоты создания отчетов телеметрии. Новое значение: (%1). | Начните задавать значение TelemetryReportingFrequency. | Уведомление о нормальной работе; никаких действий не требуется. |
1822 | CSP: настройка частоты создания отчетов телеметрии завершена. Предыдущее значение: (%1), IsDefault: (%2), Новое значение: (%3), Результат: (%4). | Завершите установку значения TelemetryReportingFrequency. | Уведомление о нормальной работе; никаких действий не требуется. |
1823 | CSP: получение сведений о частоте создания отчетов телеметрии. Значение: (%1), значение реестра: (%2), IsDefault: (%3). | Возвращает значение TelemetryReportingFrequency. | Уведомление о нормальной работе; никаких действий не требуется. |
1824 | CSP: получение идентификаторов групп завершено. Значение: (%1), IsDefault: (%2). | Получил groupIds из реестра. | Уведомление о нормальной работе; никаких действий не требуется. |
1825 | CSP: установка идентификаторов групп превысила допустимое ограничение. Разрешено: (%1), Фактическое: (%2). | Не удалось задать groupIds из-за длины. | Уведомление о нормальной работе; никаких действий не требуется. |
1826 | CSP: установка идентификаторов групп завершена. Значение: (%1), результат: (%2). | Задайте groupIds. | Уведомление о нормальной работе; никаких действий не требуется. |
1827 | CSP: процесс подключения. Служба запущена(%1), хэш предыдущего подключения BLOB-объектов: (%2), IsDefault: (%3), состояние подключения: (%4), состояние подключения IsDefault: (%5), новый хэш blob-объекта подключения: (%6). | Значения трассировки в рамках подключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1828 | CSP: процесс подключения. Служба запущена (%1), хэш предыдущего отключения BLOB-объектов: (%2), IsDefault: (%3), состояние подключения: (%4), состояние подключения IsDefault: (%5), новый хэш blob-объекта отключения: (%6). | Значения трассировки в рамках отключения. | Уведомление о нормальной работе; никаких действий не требуется. |
1829 | CSP: не удалось задать значение общего доступа к примеру. Запрошенное значение: (%1), допустимые значения между (%2) и (%3). | Недопустимое значение для операции SampleSharing. | Обратитесь за поддержкой. |
1830 | CSP: не удалось задать значение частоты отчетов телеметрии. Запрошенное значение: (%1). | Не удалось задать значение TelemetryReportingFrequency. | Если проблема не исчезнет, обратитесь в службу поддержки. |
1831 | CSP: Get Sense работает. Служба настроена как задержка запуска и hasn't запущена. |
Получение результата SenseIsRunning. | Уведомление о нормальной работе; никаких действий не требуется. |
1832 | CSP: получение сведений о группе тегов устройств. Значение: (%1), IsDefault: (%2). | Получение группы тегов устройств из реестра завершено. | Уведомление о нормальной работе; никаких действий не требуется. |
1833 | CSP. Получение значения критичности тегов устройств завершено. В реестре: (%1), IsDefault: (%2), преобразование выполнено: (%3), результат: (%4). | Получение сведений о важности тегов устройств из реестра завершено. | Уведомление о нормальной работе; никаких действий не требуется. |
1834 | CSP. Получение значения метода идентификации тегов устройств завершено. В реестре: (%1), IsDefault: (%2), преобразование выполнено: (%3), результат: (%4). | Получение метода идентификатора deviceTagging из реестра завершено. | Уведомление о нормальной работе; никаких действий не требуется. |
1835 | CSP: установка группы тегов устройств завершена. Значение: (%1), результат: (%2). | Установка deviceTagging Group в реестре завершена. | Уведомление о нормальной работе; никаких действий не требуется. |
1836 | CSP: установка группы тегов устройств превысила допустимое ограничение. Разрешено: (%1), Фактическое: (%2). | Установка параметра DeviceTagging Group завершилась сбоем, так как превышено максимальное ограничение длины. | Если проблема не исчезнет, обратитесь в службу поддержки. |
1837 | CSP: установите значение "Критичность устройства" завершено. Предыдущее значение: (%1), IsDefault: (%2), Новое значение: (%3), Результат: (%4). | Установка параметра DeviceTagging Criticality в реестре завершена. | Уведомление о нормальной работе; никаких действий не требуется. |
1838 | CSP: не удалось задать значение важности тегов устройства. Запрошенное значение: (%1), допустимые значения между (%2) и (%3). | Установка параметра DeviceTagging Criticality завершилась ошибкой, так как значение не находилось в ожидаемом диапазоне. | Если проблема не исчезнет, обратитесь в службу поддержки. |
1839 | CSP: установка значения метода идентификации тегов устройства завершена. Предыдущее значение: (%1), IsDefault: (%2), Новое значение: (%3), Результат: (%4). | Установка метода deviceTagging Id в реестре завершена. | Уведомление о нормальной работе; никаких действий не требуется. |
1840 | CSP: не удалось задать значение метода идентификации тегов устройства. Запрошенное значение: (%1), допустимые значения между (%2) и (%3). | Установка метода DeviceTagging Id Method завершилась сбоем, так как значение не находилось в ожидаемом диапазоне. | Если проблема не исчезнет, обратитесь в службу поддержки. |
Просмотр событий Defender для конечной точки в журнале системных событий
Microsoft Defender для конечной точки события также отображаются в журнале системных событий.
Чтобы открыть журнал системных событий, выполните следующие действия:
- Выберите Пуск в меню Windows, введите Просмотр событий и нажмите клавишу ВВОД, чтобы открыть Просмотр событий.
- В списке журналов в разделе Сводка журнала прокрутите страницу, пока не отобразится элемент Система. Дважды щелкните элемент, чтобы открыть журнал.
Эту таблицу можно использовать для получения дополнительных сведений о событиях Defender для конечной точки в журнале системных событий и определения дальнейших действий по устранению неполадок.
Идентификатор события | Сообщение | Описание | Действие |
---|---|---|---|
1 | Файл резервного копирования для сеанса в режиме реального времени SenseNdrPktmon достиг максимального размера. В результате новые события не будут записываться в этот сеанс, пока не станет доступно место. | Этот сеанс в режиме реального времени между Pktmon — встроенной службой Windows, которая захватывает сетевой трафик, и агентом (SenseNDR), который анализирует пакеты асинхронно, настроен только для предотвращения потенциальных проблем с производительностью. В результате это оповещение может появиться, если в течение короткого периода времени перехватывается слишком много пакетов, что приводит к пропуску некоторых пакетов. Это оповещение чаще встречается при большом сетевом трафике. | Уведомление о нормальной работе; никаких действий не требуется. |
См. также
- Подключение клиентских устройств Windows
- Настройка параметров прокси-сервера устройства и соединения с Интернетом
- Устранение неполадок Microsoft Defender для конечной точки
- Обзор анализатора клиента
- Скачивание и запуск анализатор клиента
- Понимание отчета анализатора в формате HTML
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.