Zusammenfassung
Das folgende Szenario. Melden Sie sich bei Ihrem System zu drehen-Symbol für Microsoft Forefront Endpoint Protection 2010 oder Microsoft System Center Endpoint Protection 2012 beachten. (Dies bedeutet, dass die Anwendung eine Aktion ausführt.) Öffnen Sie die Benutzeroberfläche der Anwendung und beachten Sie, dass ein Scan ausgeführt wird.
In diesem Szenario den Wert für die Startzeit der Anwendung erscheint Benutzeroberfläche nicht spiegeln den tatsächlichen Zeitpunkt des Scans durchgeführt Wenn der Scan, bevor Sie angemeldet gestartet wurde. Hinweis Wenn der Scan gestartet wurde, bevor Sie angemeldet werden Startzeit Wert Zeit, die Benutzeroberfläche gestartet wurde (wenn der Msseces.exe-Prozess gestartet wurde).Weitere Informationen
Wenn ein Scan gestartet wird, wird Ereignis-ID 1000 protokolliert. Der Zeitstempel der Ereignis-ID 1000 kann die Startzeit des Scans gelten (obwohl es kann eine Verzögerung unbedeutend Protokollierung). Sie können Anfang Korrelieren und Ereignisse im Ereignisprotokoll mit dem ScanID-Wert, der die Ereignisdaten gehört.
Ein Startereignis Scan (Ereignis-ID 1000) keinen Scan Beendigungsereignis korrelieren, wird der Scan noch ausgeführt. Ermitteln, wenn eine durchgeführte Überprüfung gestartet wurde, überprüfen Sie das Systemprotokoll. Gehen Sie hierzu folgendermaßen vor:-
Öffnen Sie das Systemprotokoll.
-
Filtern Sie das Systemprotokoll wie folgt:
Ereignis-ID: 1000-1002 Quelle: Microsoft Antimalware -
Suchen Sie nach dem letzten Ereignis-ID 1000, und notieren Sie den Wert ScanID.
-
Liegt keine EventID 1001 und 1002 nach dem letzten Ereignis-ID 1000 mit derselben ScanID, die Sie in Schritt 1 notiert, können das letzte Ereignis-ID 1000 Sie die Startzeit der laufenden Scanvorgänge bestimmen.