Sammanfattning
Föreställ dig följande. Du loggar in på datorn och märker en snurrande ikon för Microsoft Forefront Endpoint Protection 2010 eller Microsoft System Center Endpoint Protection 2012. (Detta innebär att programmet utför en åtgärd.) Du öppnar programmet UI och Lägg märke till att du kör en sökning.
I det här fallet värdet som visas för Starttid i programmet UI kanske inte återspeglar den faktiska starttiden för genomsökningen pågår om genomsökningen påbörjades innan du loggat in. Obs! Om genomsökningen påbörjades innan du loggat in, blir värdet Starttid tiden när Användargränssnittet startades (när Msseces.exe processen startades).Mer Information
Händelse-ID 1000 loggas när en genomsökning startar. Tidsstämpel för händelse-ID 1000 kan anses starttiden för sökningen (även om det kan finnas en obetydlig loggning fördröjning). Du kan samordna start och stopp händelser i händelseloggen med hjälp av värdet i ScanID som ingår i händelsedata.
Om en Starthändelse scan (händelse-ID 1000) inte har korrelerar skanna stopp, pågår sökningen fortfarande. Granska systemloggen för att avgöra när en sökning pågår startade. Gör så här:-
Öppna systemloggen.
-
Filtrera systemloggen enligt följande:
Händelse-ID: 1000-1002 Källa: Microsoft Antimalware -
Leta efter sista händelse-ID 1000 och registrera dess värde för ScanID.
-
Om det finns ingen händelse-ID 1001 och 1002 efter den sista händelse-ID 1000 som har samma ScanID som du antecknade i steg 1, men du kan även använda sista händelse-ID 1000 för att bestämma starttiden för skanning pågår.