Streszczenie
Rozważmy następujący scenariusz. Zaloguj się do systemu i zawiadomienie wirująca ikona dla programu Microsoft Forefront Endpoint Protection 2010 lub Microsoft System Center Endpoint Protection 2012. (To oznacza, że aplikacja wykonuje akcję). Otwórz interfejsu użytkownika aplikacji i Zauważ, że skanowanie jest uruchomiony.
W tym scenariuszu wartość, która jest wyświetlana na czas rozpoczęcia w aplikacji interfejsu użytkownika może nie odzwierciedlać czasu rzeczywistego rozpoczęcia skanowania w toku Jeśli skanowanie został rozpoczęty, zanim zostanie zalogowany.
Uwaga Jeśli skanowanie została uruchomiona, zanim użytkownik zalogowany, wartość Godzina rozpoczęcia będzie godzina uruchomienia interfejsu użytkownika (gdy rozpoczęto proces Msseces.exe).
Więcej informacji
Po uruchomieniu skanowania, jest rejestrowany identyfikator zdarzenia 1000. Sygnatura czasowa identyfikator zdarzenia 1000 można uznać za godzinę rozpoczęcia skanowania (chociaż może być rejestrowanie nieznaczne opóźnienie). Można skorelować rozpoczęcia i zatrzymywania zdarzenia w dzienniku zdarzeń za pomocą wartość ScanID, która jest częścią dane zdarzenie.
Jeśli zdarzenia uruchamiania skanowania (identyfikator zdarzenia 1000) nie ma korelacji zdarzenia zatrzymania skanowania, skanowanie jest nadal w toku.
Aby określić, kiedy rozpoczęła skanowanie w toku, należy przejrzeć dziennik systemu. Aby to zrobić, wykonaj następujące kroki:
-
Otwórz dziennik systemu.
-
Przefiltrować dziennik systemu w następujący sposób:
Identyfikator zdarzenia: 1000-1002
Źródło: Microsoft ochrony przed złośliwym oprogramowaniem -
Wyszukaj ostatni identyfikator zdarzenia 1000, a następnie zapisać jego wartość ScanID.
-
Jeśli po ostatnim identyfikator zdarzenia 1000, która ma sam ScanID, która została zapisana w kroku 1 występuje nie identyfikator zdarzenia 1001 i 1002, ostatni 1000 Identyfikator_zdarzenia można użyć do określenia godziny rozpoczęcia skanowania w toku.
