Sumário
Considere o seguinte cenário: Fazer logon no seu sistema e observe um ícone girando para Microsoft Forefront Endpoint Protection 2010 ou o Microsoft System Center Endpoint Protection 2012. (Isso indica que o aplicativo está executando uma ação.) Abra o aplicativo da interface do usuário e observe que a varredura está em execução.
Nesse cenário, o valor exibido para a hora de início do aplicativo UI pode não refletir a hora de início real da varredura em andamento se o exame foi iniciado antes de logon.
Observação: Se o exame foi iniciado antes de você conectado, o valor de hora de início será a hora de início da interface do usuário (isto é, quando o processo de Msseces.exe foi iniciado).
Mais informações
Quando uma varredura for iniciada, a identificação do evento 1000 é registrada. O carimbo de hora do evento 1000 pode ser considerado a hora de início da varredura (embora possa haver um atraso de log insignificante). Você pode correlacionar a iniciar e parar os eventos no log de eventos usando o valor de ScanID que faz parte dos dados do evento.
Se um evento de início do exame (identificação do evento 1000) não tem de correlacionar eventos de parada de varredura, varredura ainda está em andamento.
Para determinar quando uma varredura em andamento foi iniciada, examine o log do sistema. Para fazer isso, execute as seguintes etapas:
-
Abra o log do sistema.
-
Filtre o log do sistema da seguinte maneira:
EventID: 1000-1002
Fonte: Antimalware da Microsoft -
Procure o último evento 1000 e, em seguida, registrar o valor de ScanID.
-
Se não houver nenhum EventID 1001 ou 1002 após o último evento 1000 com o mesmo ScanID que você anotou na etapa 1, você pode usar o último evento 1000 para determinar a hora de início da varredura em andamento.
