Como solucionar problemas de conteúdo de eventos e relatórios do ePolicy Orchestrator
Artigos técnicos ID:
KB53035
Última modificação: 2022-07-11 12:43:46 Etc/GMT
Última modificação: 2022-07-11 12:43:46 Etc/GMT
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.x
Resumo
Este artigo descreve o caminho que os eventos levam de um produto gerenciado (cliente) para o banco de dados do ePO. Você pode usar essas etapas para solucionar problemas de eventos incorretos e inesperados.
O procedimento a seguir descreve o caminho da criação do evento pelo produto gerenciado para o banco de dados:
Managed product --> AgentEvents folder or MA database --> agent-to-server communication interval --> ePO Server Service --> ePO Events folder --> ePO Events Parser Service --> database or syslog server
Os eventos de produto gerenciados gerados por Endpoint Security (ens) são passados para o McAfee Agent. Alguns produtos que usam um plug-in herdado gravam eventosAgentEvents na pasta. Produtos mais novos, coma McAfee Active Response e Data Loss Prevention 11.4 e posterior, usam msgbus em vez de plug-in de LPC legados. Quando esses produtos mais novos msgbus geram um evento, o evento é armazenado no banco de dados do Agent, e não na AgentEvents pasta. Os eventos são, então, carregados no manipulador de agentes (Apache Service), imediatamente ou no próximo intervalo de comunicação entre o agente e o servidor (ASCI). O Manipulador de agentes salva-os na pasta eventos no servidor. O EventParser serviço processa os eventos, gravando-os no banco de dados. Se configurado, o serviço EventParser encaminha o evento para um Syslog servidor depois que o Apache serviço recebe o evento.
Consulte o aplicável Guia de produto do ePolicy Orchestrator para obter instruções sobre como configurar um servidor de syslog registrado:
O procedimento a seguir descreve o caminho da criação do evento pelo produto gerenciado para o banco de dados:
Os eventos de produto gerenciados gerados por Endpoint Security (ens) são passados para o McAfee Agent. Alguns produtos que usam um plug-in herdado gravam eventos
Consulte o aplicável Guia de produto do ePolicy Orchestrator para obter instruções sobre como configurar um servidor de syslog registrado:
Solução
O seguinte contém informações específicas sobre o caminho adotado por um evento. Familiarizar-se com os detalhes específicos ajuda você a compreender onde um problema potencial pode estar ocorrendo.
Filtragem de eventos
Os eventos são gerados por meio dos produtos gerenciados, como ENS ou McAfee Agent. A configuração nas configurações de filtragem de eventos determina o seguinte:
- Se o evento é gerado no ponto de extremidade
Em - Se o evento também for encaminhado para um servidor registrado
Syslog
- Entre no console do ePO.
- Clique em menu, configuração, configurações do servidor.
- Clique em filtragem de eventos na coluna categorias de configurações e clique em Editar.
- Selecione ou cancele a seleção de IDs de evento, conforme o necessário. Ou opte por armazená-los somente no ePO, no SIEM ou em ambos, e clique em salvar.
Depois que uma alteração tiver sido feita na lista de eventos ativados ou desativados, essa alteração será salva no servidor ePO. Em seguida, os clientes o download usando um arquivo nomeado
O
- Por Windows:
C:\ProgramData\McAfee\Agent\ - Para o Linux e o macOS:
/var/McAfee/agent/scratch
Os eventos são gerados usando um dos métodos a seguir:
- Um produto gerenciado, como o ENS, chama um MA
dll (ma_event_service.dll ).
Ou - Os produtos que usam o plug-in LPC mais antigos armazenam eventos na
AgentEvents pasta.
- Se o evento for de baixa prioridade, ele será mantido na pasta de eventos do agente e é feito o upload para o servidor ePO no próximo ASCI.
- Se o evento for de alta prioridade, ele será carregado imediatamente. (Encaminhamento de evento de prioridade configurado sob a guia eventos de > da política geral do MA).
Nota: A pasta de eventos do agente está localizada na estrutura de diretórios do agente, que difere de acordo com o sistema operacional:
- Por Windows:
C:\ProgramData\McAfee\Agent\AgentEvents - Para Linux, macOS:
/var/McAfee/agent/AgentEvents
- Por Windows:
Solução de problemas para ponto de extremidade:
Verifique se o evento está sendo gerado no ponto de extremidade de uma das seguintes maneiras:
- Pasta AgentEvents
- O banco de dados do MA, se o produto que está gerando o evento for um produto mais novo
msgbus
- Para facilitar a captura do evento no ponto de extremidade, impeça temporariamente o agente de fazer upload dos eventos para o servidor ePO. Evite o upload realizando uma das seguintes ações:
Observação: geralmente, há bastante tempo para capturar uma cópia do evento no ponto de extremidade sem realizar uma dessas ações.
- Interrompa o serviço de McAfee Agent no cliente.
- Interrompa o serviço do servidor ePolicy Orchestrator no servidor ePO e Manipulador de agentes (Apache Service).
- Desativar o adaptador de rede no sistema cliente.
Nota: A proteção de acesso do VSE/ENS ou o MA AutoProtect pode impedi-lo de parar os serviços do MA.
- Reproduza a ação e gere o evento específico ou um evento de detecção genérico no sistema. Consulte o seguinte:
- Como usar o arquivo de teste de
EICAR Antimalware com produtos de McAfee. Consulte: KB59742-como usar o arquivo de teste EICAR com produtos de McAfee. - Para produtos de SPAM, use um teste semelhante arquivo chamado
GTUBE . Envie-o por e-mail a partir de um endereço de e-mail externo para o endereço da sua empresa para que ele passe pela mecanismo de varredura de SPAM.
Faça download doGTUBE arquivo de teste na página inicial do GTUBE. - Procure na pasta os
AgentEvents arquivos nomeados aleatoriamente que estão aguardando para serem carregados no servidor ePO. - Para produtos como MAR, EDR, do DXL, ou DLP 11.4 ou posterior, que usam
msgbus o, você precisa coletar resultados de Mer do cliente. Ou colete o MA\db e\keystore os arquivos e use o analisador do Mer para exibir o evento. - Abra o evento para revisar as propriedades do evento. A maioria dos eventos são arquivos XML típicos. Você pode abrir esses arquivos e exibir os detalhes do evento usando um navegador ou editor de texto, como o
Notepad++ .
- Como usar o arquivo de teste de
- Reative a conexão com o servidor ePO usando um dos métodos a seguir (dependendo da ação realizada na etapa 1):
- Inicie o serviço de McAfee Agent no cliente.
- Inicie o serviço Manipulador de agentes.
- Ativar o adaptador de rede no cliente.
- Os eventos de prioridade normal são carregados durante o intervalo de comunicação de Agent normal para o servidor. Você pode fazer upload dessas opções imediatamente usando o botão enviar eventos no Monitor de status do McAfee Agent.
Solução de problemas do servidor (manipulador de agentes no servidor EPO ou em outro servidor)
Recebendo o evento:
Depois que o McAfee Agent carregou o evento, o serviço de Apache o recebe. Em seguida, ele é tratado no servidor ePO ou em um Manipulador de agentes remoto. Em seguida, o manipulador armazena o evento na pasta de eventos , e vemos registro semelhante ao seguinte no
I #10244 NAIMSERV Processed [Event] from <name of client system>:{75BCADA0-16B4-11EA-27C6-005056014A0F} in 0ms
Local da pasta de eventos:
Análise ou encaminhamento do evento:
O
Se estiver configurado, o evento pode ser encaminhado para o syslog receptor. Nesse caso, se o LogLevel 8 estiver ativado no servidor ePO ou Manipulador de agentes remoto, você verá atividades semelhantes às seguintes na eventparser_ .log arquivo :
#07008 EVNTPRSR source\SyslogForwarder.cpp(371): Found cached work item data for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Para obter um artigo relacionado, consulte KB56207-Data Collection-como ativar o nível de registro 8 para solução de problemas do EPolicy Orchestrator.
Para eventos de tipo de ameaça (malware detectado, regra de proteção de acesso disparada), você vê o evento exibido noThreat Event Log . Ele é exibido no menu relatório no console do ePO. Qualquer evento que tenha sido analisado com êxito pode ser consultado usando uma consulta de eventos em consultas e relatórios.
Solucionar problemas de fluxo de evento:
Informações adicionais sobre eventos que não são analisados por
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Para obter um artigo relacionado, consulte KB56207-Data Collection-como ativar o nível de registro 8 para solução de problemas do EPolicy Orchestrator.
Para eventos de tipo de ameaça (malware detectado, regra de proteção de acesso disparada), você vê o evento exibido no
Solucionar problemas de fluxo de evento:
- O evento não é gerado no ponto de extremidade:
- Verifique se o evento não está listado como um dos eventos desativados no
EvtFiltr.ini arquivo. - Tentativa de reproduzir a ação que pode gerar o evento e procurar
masvc_ .log erros no arquivo. - Verifique se o produto gerenciado que gera o evento está em execução.
- Verifique se o evento não está listado como um dos eventos desativados no
- O evento não é enviado para o servidor ePO ou Manipulador de agentes:
- Procure na
masvc_ .log arquivo por erros logo após uma tentativa de comunicação com o manipulador ou envie o evento. - Verifique se o
Apache serviço está em execução no servidor EPO ou manipulador de agentes.
- Procure na
- O evento não fica visível no ePO após a verificação do upload com êxito do ponto de extremidade:
- Verifique se o cliente está se comunicando com o servidor ePO ou com um Manipulador de agentes remoto.
- Procure na
eventparser_ .log arquivo por erros que possam ter ocorrido apenas após o cliente encaminhar o evento. - Se houver erros no
eventparser log arquivo, tente obter uma cópia do evento. Verifique se ele pode ser analisado com êxito em um servidor ePO de laboratório. - Verifique se a última extensão está instalada para o produto gerenciado que gerou o evento.
- Verifique se há uma extensão de geração de relatórios separada para o produto gerenciado. Instale a extensão, se aplicável.
- O
Syslog servidor não recebe o evento:- Verifique se o cliente está se comunicando com o servidor ePO ou com um Manipulador de agentes remoto.
- Procure na
eventparser_ .log arquivo por erros que possam ter ocorrido apenas após o encaminhamento do evento do cliente. - No console do ePO, edite o servidor registrado
Syslog e verifique se a opção de conexão de teste na guia detalhes foi bem-sucedida
Plug-ins de evento:
Os eventos gerados para o VSE, o HIPs ou o DLP são analisados com um analisador de eventos plug-in. O plug-in é instalado quando você instala a extensão desse produto gerenciado. Esses plug-ins são responsáveis por gravar o evento no banco de dados e são instalados dentro da pasta de instalação do ePO ou do Manipulador de agentes em
Nota: Alguns produtos gerenciados contêm uma extensão de geração de relatórios separada que contém essa plug-in. Por exemplo, o VSE tem uma extensão de gerenciamento e uma extensão de geração de relatórios. A plug-in de análise de eventos é adicionada somente por meio da extensão de geração de relatórios.
Quando o
Eventos desconhecidos:
o ePO não sabe como analisar o evento se o ePO receber um
- Nenhuma plug-in do analisador de eventos está disponível para este evento na
\DB\Plugin pasta
Quanto - Ele existe na
EPORegisteredEventPlugins tabela
Na situação acima, ela é considerada um evento desconhecido . Quando esse evento acontece, é exibida uma atividade de registro semelhante à seguinte na
Por padrão, todos os eventos desconhecidos são excluídos. No entanto, é possível configurar o ePO ou um manipulador remoto para que ele armazene esses eventos em uma pasta temporária.
Para manter eventos desconhecidos, siga estas etapas no servidor ePO e em qualquer manipulador de Agent remoto:
Cuidado Este artigo contém informações sobre como abrir ou modificar o registro.
- As informações a seguir destinam-se a Administradores de Sistema. As modificações no registro são irreversíveis e podem causar falhas do sistema caso sejam executadas de forma incorreta.
- Antes de continuar, o Suporte técnico recomenda que você faça backup do seu registro e compreenda o processo de restauração. Para obter mais informações, consulte o artigo Microsoft Windows informações sobre o registro para usuários avançados.
- Não execute um arquivo REG que não esteja confirmado como um arquivo de importação de registro genuíno.
- Para abrir o registro do Windows, pressione Windows + R, digite
regedit.exe e clique em OK. - Navegue até a seguinte chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- Adicione o [DWORD]
DeleteUnknownEvents , se ainda não estiver presente. - Defina o valor como 0. O valor padrão é 1.
- Feche o editor do registro.
- Reinicie o
EventParser serviço.
Eventos com falha:
Nota: O acima não inclui eventos que o
Esses eventos permanecem na
ID do documento anterior (Secured)
615924
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: