bdi*_*ych 12 windows anti-virus log-files eventviewer
我找不到任何事件或日志文件,
某处是否有此类记录或 WD 仅在找到某些内容时才报告?
Windows 10 专业版,
驱动器使用 bitlocker 加密(可能会以某种方式影响?)
小智 10
Windows Defender 将条目添加到事件查看器的以下位置:
事件查看器 >> 应用程序和服务日志 >> Microsoft >> Windows >> Windows Defender >> 操作
您将看到的位置:
Windows Defender 扫描已启动。(事件 ID 1000)
Windows Defender 扫描已完成。(事件 ID 1001)
Windows Defender 签名版本已更新。(2000)
小智 5
据微软称,离线扫描器检测到的任何威胁都将显示在威胁历史记录中(在线扫描器还会记录发现的任何病毒):
在哪里可以找到扫描结果?
要查看 Windows Defender 脱机扫描结果:
选择“开始”,然后选择“设置”>“更新和安全”>“Windows 安全”>“病毒和威胁防护”。在病毒和威胁防护屏幕上,执行以下操作之一:
- 在当前版本的 Windows 10 中:在当前威胁下,选择扫描选项,然后选择威胁历史记录。
- 在以前版本的 Windows 中:选择威胁历史记录。
显示脱机扫描运行的日志似乎存储在下面的文件中C:\Windows\Microsoft Antimalware\Support,使用命名方案MPLog-<date>-<time>.log(例如MPLog-20181217-055720.log)。您可以通过开头某处的以下行来判断它是离线扫描日志:
2018-12-17T04:57:20.837Z [PlatUpd] Service launched successfully from: C:\ProgramData\Microsoft\Windows Defender\Offline Scanner
通常日志包含很多带有字符串的行Internal signature match:subtype=Lowfi,但这些似乎不是真正的病毒检测:它们没有出现在威胁历史记录中,并且virustotal.com 什么也没找到(“没有引擎检测到这个文件”)。
根据版主/微软代理 Justine Pel 在Microsoft 社区论坛的一个帖子中的说法,日志文件旨在向 Microsoft 提交 Windows Defender 错误,因此我怀疑这些Internal match条目仅用于调试目的:
这些日志通常用于提交 Windows Defender 的错误或问题。我们的 Windows Defender 团队能够提供这些行的确切含义。