问windows 10保护程序离线扫描日志/结果在哪里？

EN

Windows Defender在以下位置将条目添加到事件查看器：

事件查看器>>应用程序和服务记录>> Microsoft >> Windows >>操作

你会看到：

Windows防御系统扫描已经启动。(事件ID 1000)

窗口防御扫描已经完成。(事件ID 1001)

Windows维护者签名版本已经更新。(2000)

据微软称，离线扫描仪检测到的任何威胁都将显示在威胁历史记录中(在线扫描器还会记录发现的任何病毒)：

哪里能找到扫描结果？要查看Windows离线扫描结果:选择Start，然后选择Settings > Update & Security > Windows Security > Virus & threat。在病毒和威胁保护屏幕上，执行下列操作之一：

• 在Windows 10的当前版本:在“当前威胁”下，选择“扫描选项”，然后选择“威胁历史记录”。
• 在以前版本的Windows:选择威胁历史记录。

显示脱机扫描运行的日志似乎存储在C:\Windows\Microsoft Antimalware\Support下面的一个文件中，使用命名方案MPLog-<date>-<time>.log (例如MPLog-20181217-055720.log)。您可以通过下面一行的开头判断它是一个脱机扫描日志：2018-12-17T04:57:20.837Z [PlatUpd] Service launched successfully from: C:\ProgramData\Microsoft\Windows Defender\Offline Scanner

通常，日志包含字符串Internal signature match:subtype=Lowfi的许多行，但这些代码似乎并不是真正的病毒检测:它们没有出现在“威胁历史”中，而virustotal.com什么也没有发现(“没有引擎检测到此文件”)。

根据微软社区论坛中的线程中的主持人/ Microsoft，日志文件的目的是将Windows错误提交给微软，因此我怀疑Internal match条目仅用于调试目的：

这些日志通常用于提交与Windows有关的错误或问题。我们的Windows防御团队能够提供这些线条的确切含义。

我的非脱机扫描文本日志位于：

在我的Win10 20H2上的两个位置相同的副本：

c:\ProgramData\Microsoft\Windows Defender\Support\

c:\Users\All Users\Microsoft\Windows Defender\Support\

Win7年2021年扫描日志：

c:\ProgramData\Microsoft\Microsoft Antimalware\Support\

Win7年2019年扫描日志：

c:\ProgramData\Microsoft\Windows Defender\Support\

上面的一篇文章为脱机扫描日志提供了这个位置：

C:\Windows\Microsoft Antimalware\Support\