我找不到任何事件或日志文件,
是否有这样的记录,或者 WD 仅在发现某些事件时才会报告?
Windows 10 pro,
驱动器使用 bitlocker 加密(可能会产生某种影响?)
答案1
Windows Defender 在以下位置向事件查看器添加条目:
事件查看器 >> 应用程序和服务日志 >> Microsoft >> Windows >> Windows Defender >> 操作
您会看到:
Windows Defender 扫描已启动。(事件 ID 1000)
Windows Defender 扫描已完成。(事件 ID 1001)
Windows Defender 签名版本已更新。(2000)
答案2
根据微软,离线扫描程序检测到的任何威胁都将显示在威胁历史记录中(在线扫描程序也会记录发现的任何病毒):
在哪里可以找到扫描结果?
要查看 Windows Defender 脱机扫描结果:
选择“开始”,然后选择“设置”>“更新和安全”>“Windows 安全”>“病毒和威胁防护”。在“病毒和威胁防护”屏幕上,执行以下操作之一:
- 在当前版本的 Windows 10 中:在“当前威胁”下,选择“扫描选项”,然后选择“威胁历史记录”。
- 在以前版本的 Windows 中:选择威胁历史记录。
显示离线扫描运行的日志似乎存储在下面的文件中C:\Windows\Microsoft Antimalware\Support,使用命名方案MPLog-<date>-<time>.log(例如MPLog-20181217-055720.log)。您可以通过开头某处的以下行判断它是离线扫描日志:
2018-12-17T04:57:20.837Z [PlatUpd] Service launched successfully from: C:\ProgramData\Microsoft\Windows Defender\Offline Scanner
通常日志包含很多带有字符串的行Internal signature match:subtype=Lowfi,但这些似乎不是真正的病毒检测:它们不会出现在威胁历史记录中,并且virustotal.com 也找不到任何内容(“没有引擎检测到此文件”)。
根据主持人/微软代理贾斯汀·佩尔 (Justine Pel) 在Microsoft 社区论坛中的主题由于这些日志文件用于向 Microsoft 提交 Windows Defender 错误,因此我怀疑这些Internal match条目仅用于调试目的:
这些日志通常用于提交 Windows Defender 的错误或问题。我们的 Windows Defender 团队能够提供这些行的确切含义。
答案3
转到C:\Windows\Microsoft Antimalware\Support\打开msssWrapper.log并靠近末尾应该说
扫描已成功完成
。
答案4
右键单击“开始”按钮并选择“事件查看器”。然后导航到“应用程序和服务日志”>“Microsoft”>“Windows”>“Windows Defender”>“操作”: