摘要
請考慮下列案例。您登入您的系統,並請注意 Microsoft Forefront 端點保護 2010年或 Microsoft 系統中心端點保護 2012年的微調圖示。(這表示應用程式正在執行動作)。您開啟應用程式的 UI,並請注意,執行掃描。在這個案例中,應用程式中的開始時間顯示的值 UI 可能不會反映掃描進行中的實際開始時間如果您掃描啟動之前,請先登入。注意如果掃描已啟動之前您登入,開始時間的值將會 (也就是 Msseces.exe 處理序啟動) 時,UI 時所啟動的時間。
更多的資訊
掃描啟動時,會記錄識別碼 1000年。(雖然可能會不顯著的記錄延遲),時間戳記的識別碼 1000年可視為掃描的開始時間。您可以開始建立相互關聯,並使用事件資料的一部份的 ScanID 值停止事件日誌中的事件。掃描的開始事件 (識別碼 1000) 並沒有相互關聯掃描停止事件,掃描仍在進行中。若要判斷進行中的掃描已啟動時,請檢閱系統記錄檔。若要執行這項操作,請參考下列步驟:
-
開啟 [系統記錄檔]。
-
可篩選系統日誌,如下所示︰識別碼︰ 1000年 1002Microsoft 反惡意程式碼來源︰
-
最後的識別碼 1000,尋找,然後記錄它的 ScanID 值。
-
如果沒有任何識別碼 1001年或 1002年具有相同的 ScanID,您在步驟 1 所記錄的最後一個識別碼 1000年之後,您可以使用最後一個識別碼 1000年,以判斷正在掃描的開始時間。
