概要
请考虑以下情形。登录到您的系统上,并要注意,对于 Microsoft 最前沿端点保护 2010年或 Microsoft 系统中心端点保护 2012年一个旋转图标。(这表明该应用程序正在执行某项操作。打开应用程序的用户界面,请注意,运行一次扫描。
在这种情况下,应用程序中显示的开始时间的值 UI 可能不反映正在扫描的实际开始时间如果在您登录之前启动扫描。
注意:如果在您登录之前,已启动扫描,起始时间值将 UI 时启动 (亦即 Msseces.exe 进程启动时) 的时间。
详细信息
当启动时扫描时,记录了 EventID 1000。时间戳的 EventID 1000 可被视为扫描的开始时间 (尽管可能会有无意义的记录延迟)。您可以关联开始和停止在事件日志中的事件通过将事件数据的一部分的 ScanID 值。
如果没有关联扫描停止事件扫描开始事件 (EventID 1000),扫描了仍在进行。
要确定启动扫描正在进行时,请查看系统日志中。若要执行此操作,请执行以下步骤:
-
打开系统日志。
-
系统日志中,如下所示的筛选器︰
EventID: 1000年-1002
来源︰ Microsoft 反恶意软件 -
寻找最近的 EventID 1000,然后记录它的 ScanID 值。
-
如果有任何 EventID 1001 或 1002年具有相同的 ScanID 在步骤 1 中记录的最后一个 EventID 1000 后,可以使用上一次的 EventID 1000 来确定在进行扫描的开始时间。
