重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
本指南适用于其组织需要对与 Microsoft Defender for Cloud 相关问题进行故障排除的 IT 专业人员、信息安全分析师和云管理员。
使用审核日志调查问题
查找故障排除信息的第一个位置是失败组件的审核日志。 在审核日志中,可以看到如下所示的详细信息:
- 执行了哪些操作。
- 谁启动了该操作。
- 操作何时发生。
- 操作的状态。
审核日志包含对资源执行的所有写入操作(PUT、POST、DELETE),但不包含读取操作(GET)。
对运行不当的反恶意软件保护进行故障排除
来宾代理是 Microsoft Antimalware 扩展进行的所有操作的父进程。 当来宾代理进程故障时,作为来宾代理子进程运行的 Microsoft 反恶意软件保护也可能发生故障。
下面提供了一些故障排除提示:
- 如果目标 VM 是从自定义映像创建的,请确保 VM 的创建者安装了来宾代理。
- 如果目标是 Linux VM,安装 Windows 版本的反恶意软件扩展将失败。 Linux 来宾代理具有特定的操作系统和软件包要求。
- 如果 VM 是使用旧版本的来宾代理创建的,则旧代理可能无法自动更新到较新版本。 创建自己的映像时,请始终使用最新版本的来宾代理。
- 某些第三方管理软件可能会禁用来宾代理,或阻止对某些文件位置的访问。 如果 VM 上安装有第三方管理软件,请确保反恶意软件代理在排除列表中。
- 确保防火墙设置和网络安全组不会阻止传入和传出来宾代理的网络流量。
- 确保没有访问控制列表阻止磁盘访问。
- 来宾代理需要足够的磁盘空间才能正常运行。
默认情况下,Microsoft Antimalware 用户界面处于禁用状态。 但是,可以在 Azure 资源管理器 VM 上启用 Microsoft Antimalware 用户界面。
对加载仪表板时出现的问题进行故障排除
如果在加载工作负载保护仪表板时遇到问题,请确保首次在订阅上启用 Defender for Cloud 的用户以及想要启用数据收集的用户具有订阅上的“所有者”或“参与者”角色。 如果如此,则在订阅中具有“读取者”角色的用户可以看到仪表板、警报、建议和策略。