Cómo solucionar problemas relacionados con el contenido de eventos e informes de ePolicy Orchestrator
Artículos técnicos ID:
KB53035
Última modificación: 2022-07-11 12:43:50 Etc/GMT
Última modificación: 2022-07-11 12:43:50 Etc/GMT
Entorno
McAfee ePolicy Orchestrator (ePO) 5.x
Resumen
En este artículo se describe la ruta que los eventos toman de un producto gestionado (cliente) a la base de datos de ePO. Puede utilizar estos pasos para solucionar problemas de eventos en busca de resultados de consultas de eventos inesperados y no válidos.
A continuación, se describe la ruta desde la creación del evento por parte del producto gestionado a la base de datos:
Managed product --> AgentEvents folder or MA database --> agent-to-server communication interval --> ePO Server Service --> ePO Events folder --> ePO Events Parser Service --> database or syslog server
Los eventos de productos gestionados generados por Endpoint Security (ENS) se pasan a la McAfee Agent. Algunos productos que utilizan un complemento heredado escriben eventos en laAgentEvents carpeta. Los productos más recientes, como McAfee Active Response y Data Loss Prevention 11.4 y posteriores, utilizan msgbus en lugar del complemento LPC heredado. Cuando estos productos nuevos msgbus generan un evento, el evento se almacena en la base de datos de Agent en lugar de en la AgentEvents carpeta. A continuación, los eventos se cargan en el controlador de agentes (Apache Service), ya sea de forma inmediata o en el siguiente intervalo de comunicación agente-servidor (ASCI). El Controlador de agentes los guarda en la carpeta de eventos del servidor. El EventParser servicio procesa los eventos y los escribe en la base de datos. Si se configura, el servicio EventParser reenvía el evento a un Syslog servidor una vez que el Apache servicio recibe el evento.
Consulte el correspondiente Guía del producto de ePolicy Orchestrator para obtener instrucciones sobre cómo configurar un servidor de syslog registrado:
A continuación, se describe la ruta desde la creación del evento por parte del producto gestionado a la base de datos:
Los eventos de productos gestionados generados por Endpoint Security (ENS) se pasan a la McAfee Agent. Algunos productos que utilizan un complemento heredado escriben eventos en la
Consulte el correspondiente Guía del producto de ePolicy Orchestrator para obtener instrucciones sobre cómo configurar un servidor de syslog registrado:
Solución
A continuación se incluye información específica sobre la ruta que realiza un evento. Familiarizarse con los detalles específicos le ayudará a comprender dónde puede estar ocurriendo un posible problema.
Filtrado de eventos
Los eventos se generan a través de los productos gestionados, como ENS o McAfee Agent. La configuración de la configuración de filtrado de eventos determina lo siguiente:
- Si el evento se genera en el Endpoint
Así - Si el evento también se reenvía a un servidor registrado
Syslog
- Inicie sesión en la consola de ePO.
- Haga clic en menú, configuración, configuración del servidor.
- Haga clic en filtrado de eventos en la columna categorías de configuración y haga clic en Editar.
- Seleccione o anule la selección de los ID de evento, según sea necesario. O bien, elija almacenarlos solo en ePO, en SIEM o ambos y, a continuación, haga clic en Guardar.
Tras realizar un cambio en la lista de eventos activados o desactivados, este cambio se guarda en el servidor de ePO. A continuación, los clientes lo descargan mediante un archivo con el nombre
El
- Para Windows:
C:\ProgramData\McAfee\Agent\ - Para Linux y macOS:
/var/McAfee/agent/scratch
Los eventos se generan mediante uno de los siguientes métodos:
- Un producto gestionado, como ENS, llama a un MA
dll (ma_event_service.dll ).
O - Los productos que utilizan el antiguo complemento LPC heredado almacenan eventos en la
AgentEvents carpeta.
- Si el evento tiene prioridad baja, se mantiene en la carpeta eventos de agente y se carga en el servidor de ePO en el siguiente ASCI.
- Si el evento tiene prioridad alta, se carga de forma inmediata. (Reenvío de eventos prioritario configurados en la pestaña MA general Policy > Events).
Nota: La carpeta eventos de agente se encuentra en la estructura de directorios del agente, que varía en función del sistema operativo:
- Para Windows:
C:\ProgramData\McAfee\Agent\AgentEvents - Para Linux, macOS:
/var/McAfee/agent/AgentEvents
- Para Windows:
Solución de problemas para Endpoint:
Verifique que el evento se esté generando en el Endpoint en cualquiera de las siguientes opciones:
- Carpeta AgentEvents
- Base de datos de MA si el producto que genera el evento es un producto más reciente
msgbus
- Para facilitar la captura del evento en el Endpoint, evite temporalmente que el agente cargue los eventos en el servidor de ePO. Evite la carga realizando una de las siguientes acciones:
Nota: normalmente, hay mucho tiempo para capturar una copia del evento en el Endpoint sin realizar una de estas cosas.
- Detenga el servicio de McAfee Agent en el cliente.
- Detenga el servicio del servidor de ePolicy Orchestrator en el servidor de ePO y Controlador de agentes (servicio de Apache).
- Desactive el adaptador de red en el sistema cliente.
Nota: La protección de acceso de VSE/ENS o la autoprotección de MA pueden impedir la detención de los servicios de MA.
- Reproduzca la acción y genere el evento específico o un evento de detección genérico en el sistema. Consulte lo siguiente:
- Cómo utilizar el
EICAR archivo de prueba antimalware con productos de McAfee. Véase: KB59742-cómo utilizar el archivo de prueba EICAR con productos de McAfee. - En el caso de los productos de SPAM, utilice un archivo de prueba similar llamado
GTUBE . Envíela por correo electrónico desde una dirección de correo electrónico externa a su dirección de la empresa para que pase por el analizador de SPAM.
Descargue elGTUBE archivo de prueba desde la Página de aterrizaje de GTUBE. - Busque en la
AgentEvents carpeta los archivos con nombres aleatorios que estén a la espera de cargarse en el servidor de ePO. - En el caso de productos como MAR, EDR, DXL o DLP 11.4 o posterior, que utilizan
msgbus , es necesario recopilar Mer resultados del cliente. O bien, recopile el MA\db y\keystore los archivos, y utilice el analizador de Mer para ver el evento. - Abra el evento para revisar las propiedades del evento. La mayoría de los eventos son archivos XML típicos. Puede abrir estos archivos y ver los detalles del evento mediante un navegador o un editor de texto como
Notepad++ .
- Cómo utilizar el
- Vuelva a activar la conexión con el servidor de ePO mediante uno de los métodos siguientes (según la acción realizada en el paso 1):
- Inicie el servicio de McAfee Agent en el cliente.
- Inicie el servicio Controlador de agentes.
- Active el adaptador de red en el cliente.
- Los eventos de prioridad normal se cargan durante el Agent normal al intervalo de comunicación del servidor. Puede cargarlos inmediatamente mediante el botón enviar eventos del monitor de Estado de McAfee Agent.
Solución de problemas de servidor (controlador de agentes en el servidor de ePO u otro servidor)
Recibiendo el evento:
Una vez que el McAfee Agent haya cargado el evento, el servicio de Apache lo recibirá. A continuación, se controla en el servidor de ePO o en un Controlador de agentes remoto. A continuación, el controlador almacena el evento en la carpeta eventos y vemos un registro similar al siguiente en la
I #10244 NAIMSERV Processed [Event] from <name of client system>:{75BCADA0-16B4-11EA-27C6-005056014A0F} in 0ms
carpeta de eventos:
Análisis o reenvío del evento:
El
Si se configura, es posible que el evento se reenvíe al syslog receptor. En este caso, si LogLevel 8 está activado en el servidor de ePO o en Controlador de agentes remoto, verá una actividad similar a la siguiente en el eventparser_ .log archivo :
#07008 EVNTPRSR source\SyslogForwarder.cpp(371): Found cached work item data for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Para obtener un artículo relacionado, consulte KB56207-recopilación de datos-cómo activar nivel de registro 8 para la solución de problemas de EPolicy Orchestrator.
En el caso de los eventos de tipo de amenaza (malware detectado, regla de protección de acceso activada), verá que el evento aparece en laThreat Event Log . Aparece en el menú informes de la consola de ePO. Cualquier evento que se haya analizado correctamente puede consultarse mediante una consulta de eventos en consultas e informes.
Solución de problemas de flujo de eventos:
Información adicional sobre eventos no analizados por
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Para obtener un artículo relacionado, consulte KB56207-recopilación de datos-cómo activar nivel de registro 8 para la solución de problemas de EPolicy Orchestrator.
En el caso de los eventos de tipo de amenaza (malware detectado, regla de protección de acceso activada), verá que el evento aparece en la
Solución de problemas de flujo de eventos:
- El evento no se genera en el Endpoint:
- Compruebe que el evento no aparece como uno de los eventos desactivados en el
EvtFiltr.ini archivo. - Intente reproducir la acción que puede generar el evento y busque errores en el
masvc_ .log archivo. - Verifique que el producto gestionado que genera el evento se esté ejecutando.
- Compruebe que el evento no aparece como uno de los eventos desactivados en el
- El evento no se envía al servidor de ePO ni Controlador de agentes:
- Busque errores en el
masvc_ .log archivo justo después de intentar comunicarse con el controlador o de enviar el evento. - Verifique que el
Apache servicio se esté ejecutando en el servidor de ePO o controlador de agentes.
- Busque errores en el
- El evento no es visible en ePO después de verificar que se ha cargado correctamente desde el Endpoint:
- Compruebe si el cliente se comunica con el servidor de ePO o con un Controlador de agentes remoto.
- Busque en el
eventparser_ .log archivo los errores que puedan haberse producido justo después de que el cliente haya reenviado el evento. - Si hay errores en el
eventparser log archivo, intente obtener una copia del evento. Compruebe si se puede analizar correctamente en un servidor de ePO de laboratorio. - Verifique que se haya instalado la extensión más reciente para el producto gestionado que generó el evento.
- Compruebe si hay una extensión de generación de informes independiente para el producto gestionado. Instale la extensión, si procede.
- El
Syslog servidor no recibe el evento:- Compruebe si el cliente se comunica con el servidor de ePO o con un Controlador de agentes remoto.
- Busque en el
eventparser_ .log archivo los errores que se hayan producido justo después de que el evento se haya reenviado desde el cliente. - En la consola de ePO, edite el servidor registrado
Syslog y verifique que la opción probar conexión de la pestaña detalles sea correcta.
Complementos de evento:
Los eventos que se generan para VSE, HIPs o DLP se analizan con un complemento Event Parser. El complemento se instala cuando se instala la extensión para ese producto gestionado. Estos complementos son responsables de escribir el evento en la base de datos y se instalan en la carpeta de instalación de ePO o Controlador de agentes en
Nota: Algunos productos gestionados contienen una extensión de generación de informes independiente que contiene este complemento. Por ejemplo, VSE tiene una extensión de administración y una extensión de generación de informes. El complemento de análisis de eventos solo se agrega a través de la extensión de generación de informes.
Cuando el
Eventos desconocidos:
ePO no sabe cómo analizar el evento si ePO recibe un
- No hay ningún complemento Event Parser disponible para este evento en la
\DB\Plugin carpeta
Bien - Se encuentra en la
EPORegisteredEventPlugins tabla
En la situación anterior, se considera un evento desconocido . Cuando se produzca este evento, verá el registro actividad similar a la siguiente en el
De forma predeterminada, se eliminan todos los eventos desconocidos. No obstante, es posible configurar ePO o un controlador remoto para que almacene estos eventos en una carpeta temporal.
Para mantener los eventos desconocidos, siga estos pasos en el servidor de ePO y en cualquier Controladores de agentes remoto:
PRECAUCIÓN: Este artículo contiene información sobre cómo abrir o modificar el registro.
- La información siguiente va dirigida a administradores de sistemas. Las modificaciones del Registro son irreversibles y podrían provocar un fallo del sistema si se realizan de modo incorrecto.
- Antes de continuar, Soporte técnico le recomienda encarecidamente crear una copia de seguridad del Registro y asegurarse de comprender el proceso de restauración. Para obtener más información, consulte el artículo Microsoft Windows información del registro para usuarios avanzados.
- No ejecute ningún archivo REG si no está seguro de que sea un archivo de importación del Registro auténtico.
- Para abrir el registro de Windows, pulse Windows + R, escriba
regedit.exe y haga clic en Aceptar. - Desplácese hasta la siguiente clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- Agregue el valor [DWORD]
DeleteUnknownEvents , si no está ya presente. - Establezca el valor en 0. El valor predeterminado es 1.
- Cierre el Editor del Registro.
- Reinicie el servicio
EventParser .
Eventos con error:
Nota: Lo anterior no incluye los eventos
Estos eventos permanecen en la
ID de documento anterior (Secured)
615924
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: