Risoluzione dei problemi relativi a eventi e rapporto di ePolicy Orchestrator
Articoli tecnici ID:
KB53035
Ultima modifica: 2022-07-11 12:43:47 Etc/GMT
Ultima modifica: 2022-07-11 12:43:47 Etc/GMT
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.x
Riepilogo
In questo articolo viene descritto il percorso che gli eventi intraprendono da un prodotto gestito (client) al database ePO. È possibile utilizzare la procedura descritta di seguito per risolvere i problemi relativi agli eventi non corretti e imprevisti query risultati.
Di seguito viene descritto il percorso dalla creazione dell'evento da parte del prodotto gestito al database:
Managed product --> AgentEvents folder or MA database --> agent-to-server communication interval --> ePO Server Service --> ePO Events folder --> ePO Events Parser Service --> database or syslog server
Gli eventi del prodotto gestito generati da endpoint Security (ENS) vengono trasmessi al McAfee Agent. Alcuni prodotti che utilizzano un legacy plug-in scrivono gli eventiAgentEvents nella cartella. I prodotti più recenti, ad esempio McAfee Active Response e Data Loss Prevention 11.4 e versioni successive, utilizzano msgbus invece il plug-in Legacy LPC. Quando questi prodotti più recenti msgbus generano un evento, l'evento viene memorizzato nel database Agent anziché AgentEvents nella cartella. Gli eventi vengono quindi caricati sul gestore Agent (servizio Apache), immediatamente o al successivo intervallo di comunicazione Agent-Server (ASCI). Il gestore Agent li salva nella cartella eventi del server. Il EventParser servizio elabora gli eventi, scrivendoli nel database. Se configurato, EventParser Service inoltra l'evento a un Syslog Server dopo che il Apache servizio ha ricevuto l'evento.
Vedi le informazioni applicabili Guida del prodotto di ePolicy Orchestrar per istruzioni su come configurare un server syslog registrato:
Di seguito viene descritto il percorso dalla creazione dell'evento da parte del prodotto gestito al database:
Gli eventi del prodotto gestito generati da endpoint Security (ENS) vengono trasmessi al McAfee Agent. Alcuni prodotti che utilizzano un legacy plug-in scrivono gli eventi
Vedi le informazioni applicabili Guida del prodotto di ePolicy Orchestrar per istruzioni su come configurare un server syslog registrato:
Soluzione
Di seguito sono contenute informazioni specifiche sul percorso intrapreso da un evento. Familiarizzare con i dettagli specifici ti aiuta a comprendere dove potrebbe verificarsi un potenziale problema.
Filtraggio degli eventi
Gli eventi vengono generati tramite i prodotti gestiti, ad esempio ENS o McAfee Agent. La configurazione all'interno delle impostazioni di filtraggio degli eventi determina quanto segue:
- Se l'evento viene generato sull'endpoint
E - Se l'evento viene inoltrato anche a un server registrato
Syslog
- Accedere alla console di ePO.
- Fare clic su menu, configurazione, impostazioni del server.
- Fare clic su filtraggio eventi nella colonna categorie di impostazioni, quindi fare clic su modifica.
- Selezionare o deselezionare gli ID evento, in base alle esigenze. In alternativa, scegliere di memorizzarle solo in ePO, in SIEM o in entrambi, quindi fare clic su Salva.
Dopo che è stata apportata una modifica all'elenco di eventi attivati o disattivati, questa modifica viene salvata sul server ePO. I client lo download quindi utilizzando un file denominato
Il
- Per Windows:
C:\ProgramData\McAfee\Agent\ - Per Linux e macOS:
/var/McAfee/agent/scratch
Gli eventi vengono generati utilizzando uno dei seguenti metodi:
- Un prodotto gestito, ad esempio ENS, chiama un MA
dll (ma_event_service.dll ).
Oppure - I prodotti che utilizzano i vecchi legacy LPC plug-in memorizzano gli eventi nella
AgentEvents cartella.
- Se l'evento è con priorità bassa, viene conservato nella cartella eventi agent e viene caricato sul server ePO al successivo ASCI.
- Se l'evento è di priorità elevata, viene caricato immediatamente. (Inoltro eventi con priorità configurata in MA generale policy > scheda eventi).
Nota: La cartella eventi agent si trova nella struttura di directory agent, che si differenzia a seconda del sistema operativo:
- Per Windows:
C:\ProgramData\McAfee\Agent\AgentEvents - Per Linux, macOS:
/var/McAfee/agent/AgentEvents
- Per Windows:
Risoluzione dei problemi per endpoint:
Verificare che l'evento venga generato sull'endpoint in uno dei seguenti elementi:
- Cartella AgentEvents
- Database di MA, se il prodotto che genera l'evento è un prodotto più recente
msgbus
- Per semplificare l'acquisizione dell'evento sull'endpoint, impedire temporaneamente al agent di caricare gli eventi nel server ePO. Per impedire il caricamento, eseguire una delle operazioni seguenti:
Nota: di solito, c'è un sacco di tempo per catturare una copia dell'evento sull'endpoint senza fare una di queste cose.
- Arrestare il servizio McAfee Agent sul client.
- Arrestare il servizio server di ePolicy Orchestrator nel server ePO e nel gestore degli agent (servizio Apache).
- Disattivare la scheda di rete nel sistema client.
Nota: La protezione dell'accesso di VSE/ENS o MA self-Protect potrebbe impedire l'arresto di servizi MA.
- Riprodurre l'azione e generare l'evento specifico o un evento di rilevamento generico nel sistema. Consultare quanto segue:
- Come utilizzare il file di test antimalware con i
EICAR prodotti McAfee. Vedi: KB59742-come utilizzare il file di test EICAR con McAfee prodotti. - Per i prodotti indesiderati, utilizzare un file di prova simile chiamato
GTUBE . Inviarlo tramite email da un indirizzo email esterno all'indirizzo dell'azienda, in modo da passare attraverso il programma di scansione di SPAM.
Scaricare ilGTUBE file di test dalla pagina di destinazione di GTUBE. - Cercare nella
AgentEvents cartella i file con nomi casuali in attesa di essere caricati sul server ePO. - Per i prodotti come MAR, EDR, DXL o DLP 11.4 o versioni successive, che utilizzano
msgbus , è necessario raccogliere i risultati Mer dal client. In alternativa, è possibile raccogliere i file di MA\db e e\keystore utilizzare l'analizzatore Mer per visualizzare l'evento. - Aprire l'evento per rivedere le proprietà dell'evento. La maggior parte degli eventi sono file XML tipici. È possibile aprire questi file e visualizzare i dettagli dell'evento utilizzando un browser o un editor di
Notepad++ testo, ad esempio.
- Come utilizzare il file di test antimalware con i
- Riattivare la connessione al server ePO utilizzando uno dei seguenti metodi (a seconda dell'azione intrapresa nel passaggio 1):
- Avviare il servizio McAfee Agent sul client.
- Avviare il servizio di gestione dei Agent.
- Attivare la scheda di rete sul client.
- Gli eventi di priorità normale vengono caricati durante il normale intervallo di comunicazione Agent-Server. È possibile caricarle immediatamente utilizzando il pulsante Invia eventi sul Monitor di stato McAfee Agent.
Risoluzione dei problemi per il server (gestore Agent sul server ePO o altro server)
Ricezione dell'evento:
Dopo che il McAfee Agent ha caricato l'evento, il servizio Apache lo riceve. Viene quindi gestito sul server ePO o su un gestore degli agent remoto. Il gestore archivia quindi l'evento nella cartella eventi e viene visualizzato un registro simile a quello riportato di seguito in
I #10244 NAIMSERV Processed [Event] from <name of client system>:{75BCADA0-16B4-11EA-27C6-005056014A0F} in 0ms
Percorso cartella eventi:
Analisi o inoltro dell'evento:
Il
Se configurato, l'evento potrebbe essere inoltrato al syslog Receiver. In questo caso, se LogLevel 8 è attivato nel server ePO o nel gestore Agent remoto, nel eventparser_ .log file viene visualizzata un'attività simile alla seguente:
#07008 EVNTPRSR source\SyslogForwarder.cpp(371): Found cached work item data for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Per un articolo correlato, Vedi l'articolo kb56207-Data Collection-come attivare il livello di registrazione 8 per la risoluzione dei problemi di ePolicy.
Per gli eventi di tipo minaccia (rilevato malware, regola di protezione dell'accesso attivata), viene visualizzato l'evento inThreat Event Log . Viene visualizzata nel menu reportistica della console ePO. Qualsiasi evento che è stato analizzato correttamente può essere sottoposto a query utilizzando gli eventi query in query e rapporti.
Risoluzione dei problemi relativi al flusso di eventi:
Ulteriori informazioni sugli eventi che non sono stati analizzati da
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Per un articolo correlato, Vedi l'articolo kb56207-Data Collection-come attivare il livello di registrazione 8 per la risoluzione dei problemi di ePolicy.
Per gli eventi di tipo minaccia (rilevato malware, regola di protezione dell'accesso attivata), viene visualizzato l'evento in
Risoluzione dei problemi relativi al flusso di eventi:
- L'evento non viene generato sull'endpoint:
- Verificare che l'evento non sia elencato come uno degli eventi disattivati nel
EvtFiltr.ini file. - Tentare di riprodurre l'azione che può generare l'evento e cercare gli
masvc_ .log errori nel file. - Verificare che il prodotto gestito che genera l'evento sia in esecuzione.
- Verificare che l'evento non sia elencato come uno degli eventi disattivati nel
- L'evento non viene inviato al server ePO o al gestore Agent:
- Cercare gli
masvc_ .log errori nel file subito dopo aver tentato di comunicare con il gestore o di inviare l'evento. - Verificare che il
Apache servizio sia in esecuzione sul server ePO o sul gestore Agent.
- Cercare gli
- L'evento non è visibile in ePO dopo aver verificato che sia stato caricato correttamente dall'endpoint:
- Verificare se il client comunica con il server ePO o con un gestore degli agent remoto.
- Cercare nel
eventparser_ .log file gli errori che potrebbero essersi verificati subito dopo che il client ha inoltrato l'evento. - Se nel
eventparser log file sono presenti errori, provare a ottenere una copia dell'evento. Verificare se può essere analizzato correttamente su un server lab ePO. - Verificare che l'estensione più recente sia installata per il prodotto gestito che ha generato l'evento.
- Verificare se è presente un'estensione di reportistica separata per il prodotto gestito. Installare l'estensione, se applicabile.
- Il
Syslog Server non riceve l'evento:- Verificare se il client comunica con il server ePO o con un gestore degli agent remoto.
- Esaminare il
eventparser_ .log file per individuare eventuali errori che potrebbero essersi verificati subito dopo l'inoltro dell'evento dal client. - Nella console ePO, modificare il server registrato
Syslog e verificare che l'opzione Test Connection nella scheda Dettagli abbia esito positivo.
Plug-in eventi:
Gli eventi generati per VSE, HIPs o DLP vengono analizzati con un evento parser plug-in. L'plug-in viene installato quando si installa l'estensione per il prodotto gestito. Questi plug-in sono responsabili della scrittura dell'evento nel database e vengono installati nella cartella di installazione del gestore ePO o Agent in
Nota: Alcuni prodotti gestiti contengono un'estensione di reportistica separata che contiene questo plug-in. Ad esempio, VSE dispone di un'estensione di gestione e di un'estensione di Reporting. L'analisi degli eventi plug-in viene aggiunta solo tramite l'estensione di Reporting.
Quando il
Eventi sconosciuti:
ePO non sa come analizzare l'evento se ePO riceve un
- Nessun evento parser plug-in è disponibile per questo evento
\DB\Plugin nella cartella
O - Esiste all'interno della
EPORegisteredEventPlugins tabella
Nella situazione di cui sopra, è considerato un evento sconosciuto . Quando si verifica questo evento, viene visualizzata l'attività di registro simile a quella riportata di seguito nel
Per impostazione predefinita, tutti gli eventi sconosciuti vengono eliminati. Tuttavia, è possibile configurare ePO o un gestore remoto in modo che memorizzi tali eventi in una cartella temporanea.
Per mantenere gli eventi sconosciuti, attenersi alla seguente procedura nel server ePO e in tutti i gestori di Agent remoti:
ATTENZIONE Questo articolo contiene informazioni sull'apertura o sulla modifica del registro di sistema.
- Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
- Prima di procedere, l'assistenza tecnica consiglia di eseguire un backup del registro e di acquisire informazioni sulle modalità di ripristino. Per ulteriori informazioni, consultare l'articolo informazioni sul Registro di sistema Microsoft Windows per utenti avanzati.
- Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.
- Per aprire il registro di Windows, premere Windows + R, digitare
regedit.exe e fare clic su OK. - Passare alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- Aggiungere il [DWORD]
DeleteUnknownEvents , se non è già presente. - Impostare il valore su 0. Il valore predefinito è 1.
- Chiudere l'editor del registro.
- Riavviare il
EventParser servizio.
Eventi non riusciti:
Ogni volta che il
Nota: Quanto sopra non include gli eventi
Questi eventi rimangono nella cartella a meno che non siano stati
ID documento precedente (Secured)
615924
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: