Resumen
Considere el siguiente escenario. Inicie sesión en el sistema y observe un icono girando para Microsoft Forefront Endpoint Protection 2010 o Microsoft System Center Endpoint Protection 2012. (Esto indica que la aplicación está realizando una acción.) Abra la interfaz de usuario de la aplicación y observe que se ejecuta un análisis.
En este escenario, el valor que se muestra para la hora de inicio en la aplicación de interfaz de usuario puede no reflejar la hora de inicio real de la exploración en curso si se inició la exploración antes de iniciar sesión.
Nota: Si el análisis se inició antes de que una sesión, el valor de tiempo de inicio será la hora cuando se inició la interfaz de usuario (es decir, cuando se inició el proceso Msseces.exe).
Más información
Cuando se inicia un análisis, se registra EventID 1000. La marca de tiempo de EventID 1000 puede considerarse la hora de inicio del análisis (aunque puede haber un retraso significativo de registro). Puede correlacionar el inicio y dejar los sucesos en el registro de sucesos utilizando el valor de ScanID que forma parte de los datos del evento.
Si un evento de inicio del análisis (EventID 1000) no tiene evento de detención del análisis de correlación, el análisis aún está en curso.
Para determinar cuándo se ha iniciado un análisis en curso, revise el registro del sistema. Para ello, siga estos pasos:
-
Abra el registro del sistema.
-
Filtrar el registro del sistema como sigue:
EventID: 1000-1002
Fuente: Microsoft Antimalware -
Busque el último 1000 EventID y grabe su valor ScanID.
-
Si no hay ningún EventID 1001 o 1002 después del último 1000 EventID que tiene el mismo ScanID que anotó en el paso 1, puede utilizar el último 1000 EventID para determinar la hora de inicio del análisis en curso.
