{"id":295239,"date":"2024-05-18T00:01:00","date_gmt":"2024-05-17T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295239"},"modified":"2024-05-18T23:59:57","modified_gmt":"2024-05-18T21:59:57","slug":"windows-10-was-erzeugt-massenhaft-mat-debug-log-dateien","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/18\/windows-10-was-erzeugt-massenhaft-mat-debug-log-dateien\/","title":{"rendered":"Windows 10: Was erzeugt massenhaft mat-debug*.log-Dateien?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/05\/18\/windows-10-what-generates-masses-of-mat-debug-log-files\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ich stelle noch ein Thema hier im Blog ein, auf das mich ein Leser Anfang Mai 2024 angesprochen hat. Er stellt fest, dass der Defender Core-Dienst unter Windows 10 Pro vor gut einem Monat unerwartet gestartet wurde. Seit dieser Zeit wird der Temp-Ordner des Lesers von Dateien mit dem Muster <em>mat-debug*.log<\/em> geflutet. Es scheint keine Konfigurationsm\u00f6glichkeit zu geben. Bei einer kurzen Internet-Recherche habe ich aber festgestellt, dass diese log-Dateien seit 2019 in unterschiedlichen Szenarien thematisiert wurde. Mich interessiert die Frage, ob noch jemand diese Beobachtung gemacht hat. <strong>Erg\u00e4nzung:<\/strong> Aus der Leserschaft gab es Hinweise und eine Erkl\u00e4rung.<\/p>\n<p><!--more--><\/p>\n<h2>Der Microsoft Defender Core-Dienst<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/3fdb855cf6c6435e9a41a90be8fbd958\" alt=\"\" width=\"1\" height=\"1\" \/>Eine \u00dcbersicht findet sich in <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-endpoint\/microsoft-defender-antivirus-windows\" target=\"_blank\" rel=\"noopener\">diesem Support-Beitrag<\/a> von Microsoft. Der Microsoft Defender Core-Dienst wurde <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-endpoint\/microsoft-defender-core-service-overview\" target=\"_blank\" rel=\"noopener\">laut diesem Support-Beitrag<\/a> ver\u00f6ffentlicht, um die Endpunktsicherheit zu verbessern und die Stabilit\u00e4t sowie die Leistung von Microsoft Defender Antivirus zu unterst\u00fctzen. Ver\u00f6ffentlicht wird der Microsoft Defender Core-Dienst wird mit der <a href=\"https:\/\/learn.microsoft.com\/de-de\/defender-endpoint\/msda-updates-previous-versions-technical-upgrade-support#october-2023-platform-418231002009--engine-11231002009\" target=\"_blank\" rel=\"noopener\">Microsoft Defender Antivirus-Plattformversion 4.18.23110.2009<\/a>. Microsoft hat folgende Termine f\u00fcr den Rollout ver\u00f6ffentlicht.<\/p>\n<ul>\n<li>November 2023, um Kunden vorab zu pr\u00e4sentieren (also eine Preview).<\/li>\n<li>Mitte April 2024 f\u00fcr Unternehmenskunden, die Windows-Clients ausf\u00fchren.<\/li>\n<li>Mitte Juni 2024 f\u00fcr US-Beh\u00f6rdenkunden, die Windows-Clients ausf\u00fchren.<\/li>\n<\/ul>\n<p>Die Timeline ist wichtig zum Verst\u00e4ndnis f\u00fcr nachfolgende Leserbeobachtungen. Microsoft gibt an, dass Unternehmenskunden folgende URLs zulassen sollen, da der Defender Core-Dienst mit diesen URLs kommuniziert.<\/p>\n<p><code>*.endpoint.security.microsoft.com<\/code><br \/>\n<code>ecs.office.com\/config\/v1\/MicrosoftWindowsDefenderClient<\/code><br \/>\n<code>*.events.data.microsoft.com<\/code><\/p>\n<p>Der Supportbeitrag von Microsoft enth\u00e4lt weitere Hinweise zu URLs, mit denen kommuniziert wird, falls man keine Wildcard-URLs zulassen m\u00f6chte.<\/p>\n<h2>Ein Prozess erzeugt .log Files<\/h2>\n<p>Der Blog-Leser schrieb mir in einer E-Mail vom 3. Mai 2024, dass \"vor etwa einem Monat der Defender Core-Dienst unerwartet auf dem Win10Pro gestartet wurde.\" Der Leser vermutet, dass\u00a0 dies vom OneSetting-Service erfolgte. Die \"vage Angabe\" vor etwas einem Monat deckt sich in etwa mit oben Microsoft Rollout-Terminen.<\/p>\n<p>Dem Leser ist das Ganze aufgefallen, weil im <em>Temp<\/em>-Ordner pl\u00f6tzlich <em>mat-debug****.log<\/em>-Dateien landen.\u00a0 Laut Blog-Leser ist, au\u00dfer der Richtlinie f\u00fcr den OneSetting-Service keine Konfiguration im Hinblick auf diese Log-Dateien m\u00f6glich. Auf einem nicht [mit dem Internet] verbunden Rechner ist der [Dienst] nicht aktiv, schrieb der Leser in seiner Mail. Er vermutet einen \"Experimentation Configuration Service\", den Microsoft auf die Nutzer los l\u00e4sst.<\/p>\n<p>Ich habe im Support-Beitrag von Microsoft aber den Abschnitt <a href=\"https:\/\/learn.microsoft.com\/en-us\/defender-endpoint\/microsoft-defender-core-service-overview#use-powershell-to-update-the-policies-for-microsoft-defender-core-service\" target=\"_blank\" rel=\"noopener\">Use PowerShell to update the policies for Microsoft Defender Core service.<\/a> gefunden, wo diverse Richtlinien zur Konfigurierung des Core-Diensts zu finden sind. Man kann die Telemetrieb sowie die Core-Service-ESC-Integration abschalten.<\/p>\n<h2>Alte Fundstellen im Web<\/h2>\n<p>Ich habe mal nach <em>mat-debug<\/em> Log-Dateien im Internet gesucht. Erste Treffer im Microsoft Answers-Forum finden sich bereits 2019 (siehe <a href=\"https:\/\/answers.microsoft.com\/en-us\/windows\/forum\/all\/mat-debug-xxxxlog-files-in-temp-folder\/955f105f-2eee-4f9b-96b3-e6433d051d46\" target=\"_blank\" rel=\"noopener\">mat-debug-xxxx.log files in temp folder<\/a>), wobei es hei\u00dft, dass die Dateien eine L\u00e4nge 0 haben. Auch aus dem Jahr 2020 gibt es einen Beitrag <a href=\"https:\/\/answers.microsoft.com\/en-us\/windows\/forum\/all\/mat-debug-xxxxlog-files\/8875d070-62f9-429b-b3e1-9a6e006c45be\" target=\"_blank\" rel=\"noopener\">mat-debug-xxxx.log files<\/a> im Microsoft Answers-Forum, der sich mit diesen Dateien befasst. Es kann also nicht ausschlie\u00dflich mit dem Defender Core-Dienst zusammen h\u00e4ngen, dass die log-Dateien pl\u00f6tzlich im <em>Temp<\/em>-Ordner des Blog-Lesers landen. In beiden oben verlinkten Microsoft Answers-Foren-Threads gibt es den Hinweis (siehe <a href=\"https:\/\/answers.microsoft.com\/en-us\/windows\/forum\/all\/mat-debug-xxxxlog-files-in-temp-folder\/955f105f-2eee-4f9b-96b3-e6433d051d46\" target=\"_blank\" rel=\"noopener\">hier<\/a>), dass der Nutzer den Grafiktreiber erneut installieren solle. Der Effekt werde durch einen unsignierten Treiber hervorgerufen.<\/p>\n<p>Aus dem Dezember 2023 gibt es den Microsoft Answers Forenthread <a href=\"https:\/\/answers.microsoft.com\/en-us\/msteams\/forum\/all\/whats-the-purpose-of-mat-debug-log-files-created\/258e3d8c-e124-4718-8ec3-17641e27d016\" target=\"_blank\" rel=\"noopener\">What's the purpose of mat-debug-*.log files created by msteamsupdate.exe<\/a>, in dem der Update-Prozess von Microsoft Teams als Verursacher genannt wird. Der Thread-Startet gibt an, dass er mittels Process Monitor herausgefunden habe, dass die .log-Dateien von <em>msteamsupdate.exe<\/em> und <em>ms-teamsupdate.exe<\/em> geschrieben werden.<\/p>\n<p>Auf askwoody.com gibt es noch <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/mat-debug-log\/\" target=\"_blank\" rel=\"noopener\">diesen Thread<\/a>, aus dem hervorgeht, dass die log-Dateien geschrieben werden, wenn irgend ein Update schief l\u00e4uft. Genannt wurden OneDrive und Microsoft Office. Susan Bradley <a href=\"https:\/\/www.askwoody.com\/forums\/topic\/mat-debug-log\/#post-2337986\" target=\"_blank\" rel=\"noopener\">macht den OfficeHub<\/a> verantwortlich. So richtig befriedigend sind die Funde im Internet aber nicht. Daher die Frage: Hat noch wer diese log-Dateien bei sich im <em>Temp<\/em>-Ordner von Windows oder des Benutzerprofils gefunden, und kennt jemand die Ursache?<\/p>\n<h2>Werden von MS-Tools erzeugt<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Zum englischsprachigen Pendant dieses Blog-Beitrags gab es <a href=\"https:\/\/borncity.com\/win\/2024\/05\/18\/windows-10-what-generates-masses-of-mat-debug-log-files\/#comment-16955\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a> (und weitere). Der Leser hat diverse AI-Bots befragt und Antworten erhalten, die Licht ins Dunkel bringen (wenn ich bing.com mit Copilot befragt, wirft dieser dagegen die Erl\u00e4uterungen aus obigem Text aus).<\/p>\n<p>Die <em>mat-debug*.log<\/em>-Dateien in Windows 10 werden vom Microsoft Application Compatibility Toolkit (MAT) erzeugt, wenn es zur Diagnose und Fehlerbehebung von Kompatibilit\u00e4tsproblemen mit Anwendungen unter dem Windows-Betriebssystem verwendet wird. Allerdings wird das MAT f\u00fcr Windows 10 nicht mehr angeboten. Es scheint aber ein Nachfolgetool f\u00fcr Windows 10 und Windows 11 zu geben, das Entwickler bei Microsoft und anderen Softwareherstellern zur Protokollierung nutzen.<\/p>\n<p>Diese Protokolldateien enthalten Informationen \u00fcber die von MAT durchgef\u00fchrten Kompatibilit\u00e4tstests und alle w\u00e4hrend des Prozesses aufgetretenen Probleme oder Fehler.\u00a0 Szenarien, bei denen log-Dateien erzeugt werden:<\/p>\n<ul>\n<li>Durchf\u00fchrung von Kompatibilit\u00e4tstests f\u00fcr bestimmte Anwendungen, um Kompatibilit\u00e4tsprobleme mit dem Windows-Betriebssystem zu ermitteln.<\/li>\n<li>Analyse von Berichten \u00fcber Anwendungsabst\u00fcrze und Erstellung detaillierter Protokolle, um die Grundursache des Problems zu ermitteln.<\/li>\n<li>Sammeln von Informationen \u00fcber Systemkonfigurationen, Softwareinstallationen und andere Faktoren, die die Anwendungskompatibilit\u00e4t beeinflussen k\u00f6nnen.<\/li>\n<li>Fehlerbehebung bei Kompatibilit\u00e4tsproblemen mit \u00e4lteren Anwendungen oder Software, die nicht vollst\u00e4ndig mit neueren Windows-Versionen kompatibel ist.<\/li>\n<\/ul>\n<p>Das ist dann auch die Erkl\u00e4rung, warum ich verschiedene Ursachen f\u00fcr die erzeugten log-Dateien gefunden habe. Und es schaut nicht so aus, als ob man da was steuern kann &#8211; der Entwickler hat die Hohheit, ob log-Dateien erzeugt werden oder nicht.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/05\/31\/windows-temp-ordner-werden-mit-aria-debug-xxx-log-files-geflutet\/\" rel=\"bookmark\">Windows-Temp-Ordner werden mit Aria-debug-xxx.log-Files geflutet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/30\/windows-10-11-edge-mllt-den-temp-ordner-mit-edge_bits_xxx-dateien-voll\/\" rel=\"bookmark\">Windows 10\/11: Edge m\u00fcllt den Temp-Ordner mit Edge_BITS_xxx-Dateien voll<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/07\/windows-temp-ordner-wird-mit-computername-yyymmdd-hhmm-log-dateien-geflutet\/\" rel=\"bookmark\">Windows Temp-Ordner wird mit \"Computername-yyyMMdd-hhmm.log\" Dateien geflutet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/22\/windows-login-an-domain-controller-wegen-temp-dateien-extrem-langsam\/\" rel=\"bookmark\">Windows: Login an Client in einer Domain wegen TEMP-Dateien extrem langsam<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich stelle noch ein Thema hier im Blog ein, auf das mich ein Leser Anfang Mai 2024 angesprochen hat. Er stellt fest, dass der Defender Core-Dienst unter Windows 10 Pro vor gut einem Monat unerwartet gestartet wurde. Seit dieser Zeit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/18\/windows-10-was-erzeugt-massenhaft-mat-debug-log-dateien\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,7459,7862,301],"tags":[4346,8477,24,3288],"class_list":["post-295239","post","type-post","status-publish","format-standard","hentry","category-app","category-software","category-stoerung","category-windows","tag-app","tag-log","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295239"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295239\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}