Comment résoudre les problèmes liés aux événements et aux rapports ePolicy Orchestrator
Articles techniques ID:
KB53035
Date de la dernière modification : 2022-07-11 12:43:49 Etc/GMT
Date de la dernière modification : 2022-07-11 12:43:49 Etc/GMT
Environnement
McAfee ePolicy Orchestrator (ePO) 5.x
Synthèse
Cet article décrit le chemin d’accès des événements à partir d’un produit managé (client) vers la base de données ePO. Vous pouvez utiliser ces étapes pour résoudre les problèmes liés aux événements pour les résultats de requête d’événement incorrects et inattendus.
Les éléments suivants décrivent le chemin d’accès à partir de la création de l’événement par le produit managé vers la base de données :
Managed product --> AgentEvents folder or MA database --> agent-to-server communication interval --> ePO Server Service --> ePO Events folder --> ePO Events Parser Service --> database or syslog server
Les événements produit managés générés par Endpoint Security (ENS) sont transmis à la McAfee Agent. Certains produits qui utilisent un plug-in hérité écrivent des événements dans leAgentEvents dossier. Les produits plus récents, tels que McAfee Active Response et Data Loss Prevention 11.4 et versions ultérieures, utilisent msgbus à la place de la plug-in LPC héritée. Lorsque ces nouveaux msgbus produits génèrent un événement, l’événement est stocké dans la base de données agent au lieu du AgentEvents dossier. Les événements sont ensuite téléchargés vers le Gestionnaire de l'agent (Apache service), soit immédiatement soit au prochain intervalle de communication entre le serveur agent et le serveur (ASCI). Le gestionnaire d'agents les enregistre dans le dossier Evénements sur le serveur. Le EventParser service traite les événements, en les écrivant dans la base de données. S’il est configuré, le service EventParser transfère l’événement à un Syslog serveur une fois que le Apache service a reçu l’événement.
Consultez la rubrique correspondante Guide produit d’ePolicy Orchestratou pour obtenir des instructions sur la configuration d’un serveur Syslog enregistré, procédez comme suit :
Les éléments suivants décrivent le chemin d’accès à partir de la création de l’événement par le produit managé vers la base de données :
Les événements produit managés générés par Endpoint Security (ENS) sont transmis à la McAfee Agent. Certains produits qui utilisent un plug-in hérité écrivent des événements dans le
Consultez la rubrique correspondante Guide produit d’ePolicy Orchestratou pour obtenir des instructions sur la configuration d’un serveur Syslog enregistré, procédez comme suit :
Solution
Ce qui suit contient des informations spécifiques sur le chemin d’accès d’un événement. Familiarisez-vous avec les détails spécifiques pour savoir à quel endroit un problème potentiel peut se produire.
Filtrage des événements
Les événements sont générés via les produits managés, tels que ENS ou McAfee Agent. La configuration des paramètres de filtrage des événements détermine les éléments suivants :
- Indique si l’événement est généré sur le
poste client. Et - Si l’événement est également transféré à un serveur enregistré
Syslog
- Connectez-vous à la console ePO.
- Cliquez sur menu, Système, paramètres serveur.
- Cliquez sur filtrage des événements dans la colonne catégories de paramètres, puis cliquez sur modifier.
- Sélectionnez ou désélectionnez les ID d’événement, selon les besoins. Vous pouvez aussi choisir de les stocker dans ePO, dans SIEM, ou les deux, puis cliquez sur Enregistrer.
Une fois qu’une modification a été apportée à la liste des événements activés ou désactivés, cette modification est enregistrée sur le serveur ePO. Les clients le téléchargent ensuite à l’aide d’un fichier nommé
Le
- Pour Windows :
C:\ProgramData\McAfee\Agent\ - Pour Linux et macOS :
/var/McAfee/agent/scratch
Les événements sont générés à l’aide de l’une des méthodes suivantes :
- Un produit managé, par exemple ENS, appelle un MA
dll (ma_event_service.dll ).
Ou - Les produits qui utilisent l’ancien plug-in LPC hérité stockent les événements dans le
AgentEvents dossier.
- S’il s’agit d’un événement de priorité faible, il est conservé dans le dossier agent Events et est chargé sur le serveur ePO lors de l’intervalle de communication agent-serveur suivant.
- Si l’événement a une priorité élevée, il est chargé immédiatement. (La transmission des événements prioritaires est configurée sous MA stratégie général stratégie > Evénements).
Remarque : Le dossier Evénements agent se trouve dans la structure de répertoire agent, qui diffère en fonction du système d’exploitation :
- Pour Windows :
C:\ProgramData\McAfee\Agent\AgentEvents - Pour Linux, macOS :
/var/McAfee/agent/AgentEvents
- Pour Windows :
Dépanner pour Endpoint :
Vérifiez que l’événement est généré sur le poste client dans l’une des options suivantes :
- Dossier AgentEvents
- Base de données MA, si le produit générant l’événement est un produit plus récent
msgbus
- Pour faciliter la capture de l’événement sur le poste client, empêchez temporairement le agent de charger les événements sur le serveur ePO. Pour empêcher le chargement, effectuez l’une des opérations suivantes :
Remarque : en général, il y a beaucoup de temps pour capturer une copie de l’événement sur le poste client sans effectuer l’une des opérations suivantes.
- Arrêtez le service McAfee Agent sur le client.
- Arrêtez le service du serveur ePolicy Orchestrator sur le serveur ePO et le gestionnaire d'agents (Apache service).
- Désactivez la carte réseau sur le système client.
Remarque : La protection de l’accès VSE/ENS ou l’autoprotection MA peut vous empêcher d’arrêter les services MA.
- Reproduisez l’action et générez l’événement spécifique ou un événement de détection générique sur le système. Reportez-vous aux articles suivants :
- Comment utiliser le
EICAR fichier de test Antimalware avec des produits McAfee. Voir : KB59742-utilisation du fichier de test EICAR avec les produits McAfee. - Pour les produits de SPAM, utilisez un fichier de test similaire appelé
GTUBE . Envoyez-la par e-mail à partir d’une adresse e-mail externe à l’adresse de votre entreprise afin qu’elle passe par le SPAM analyseur.
Téléchargez leGTUBE fichier de test à partir de la page d’accueil GTUBE. - Dans le
AgentEvents dossier, recherchez les fichiers portant un nom aléatoire qui sont en attente de chargement sur le serveur ePO. - Pour les produits tels que MAR, EDR, DXL, ou DLP 11.4 ou version ultérieure, qui utilisent
msgbus , vous devez collecter des résultats mer à partir du client. Vous pouvez, par contre, collecter l’agent\db de-récupération et\keystore les fichiers et utiliser l’analyseur de mer pour afficher l’événement. - Ouvrez l’événement pour vérifier les propriétés de l’événement. La plupart des événements sont des fichiers XML typiques. Vous pouvez ouvrir ces fichiers et afficher les détails de l’événement à l’aide d’un navigateur ou d’un éditeur de texte tel que
Notepad++ .
- Comment utiliser le
- Réactivez la connexion au serveur ePO à l’aide de l’une des méthodes suivantes (en fonction de l’action entreprise dans l’étape 1) :
- Démarrez le service McAfee Agent sur le client.
- Démarrez le service Gestionnaire de l'agent.
- Cliquez sur la carte réseau sur le client.
- Les événements de priorité normale sont téléchargés au cours de l’intervalle de communication Agent-serveur normal. Vous pouvez les charger immédiatement à l’aide du bouton Envoyer des événements du moniteur d’État McAfee Agent.
Dépannage pour le serveur (gestionnaire d'agents sur un serveur ePO ou un autre serveur)
Réception de l’événement :
Une fois que le McAfee Agent a chargé l’événement, le service Apache le reçoit. Elle est ensuite gérée sur le serveur ePO ou sur un gestionnaire d'agents à distance. Le gestionnaire stocke ensuite l’événement dans le dossier Evénements et la journalisation est similaire à ce qui suit dans
I #10244 NAIMSERV Processed [Event] from <name of client system>:{75BCADA0-16B4-11EA-27C6-005056014A0F} in 0ms
Emplacement du dossier Evénements :
Analyse ou transfert de l’événement :
Le
Si elle est configurée, l’événement peut être transféré au syslog récepteur. Dans ce cas, si LogLevel 8 est activé sur le serveur ePO ou le gestionnaire d'agents à distance, vous voyez une activité similaire à ce qui suit dans le eventparser_ .log fichier :
#07008 EVNTPRSR source\SyslogForwarder.cpp(371): Found cached work item data for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Pour un article connexe, voir KB56207-collecte de données-comment activer le niveau de journal 8 pour le dépannage d’ePolicy Orchestrator.
Pour les événements de type menace (logiciels malveillants détectés, règle de protection de l’accès déclenchés), l’événement s’affiche dans leThreat Event Log . Elle apparaît dans le menu génération de rapports de la console ePO. Tous les événements analysés avec succès peuvent être interrogés à l’aide d’une requête Evénements sous requêtes et rapports.
Résoudre les problèmes liés au flux d’événements :
Informations supplémentaires sur les événements qui ne sont pas analysés par
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
Pour un article connexe, voir KB56207-collecte de données-comment activer le niveau de journal 8 pour le dépannage d’ePolicy Orchestrator.
Pour les événements de type menace (logiciels malveillants détectés, règle de protection de l’accès déclenchés), l’événement s’affiche dans le
Résoudre les problèmes liés au flux d’événements :
- L’événement n’est pas généré sur le poste client :
- Vérifiez que l’événement n’est pas répertorié comme l’un des événements désactivés dans le
EvtFiltr.ini fichier. - Tentez de reproduire l’action qui peut générer l’événement et recherchez les
masvc_ .log erreurs éventuelles dans le fichier. - Vérifiez que le produit managé qui génère l’événement est en cours d’exécution.
- Vérifiez que l’événement n’est pas répertorié comme l’un des événements désactivés dans le
- L’événement n’est pas envoyé au serveur ePO ou au gestionnaire d'agents :
- Recherchez
masvc_ .log des erreurs dans le fichier, juste après une tentative de communication avec le gestionnaire ou d’envoi de l’événement. - Vérifiez que le
Apache service est en cours d’exécution sur le serveur ePO ou le gestionnaire d'agents.
- Recherchez
- L’événement n’est pas visible dans ePO après la vérification qu’il a été chargé avec succès à partir du terminal :
- Vérifiez que le client communique avec le serveur ePO ou un gestionnaire d'agents à distance.
- Recherchez dans le
eventparser_ .log fichier les erreurs qui peuvent se produire juste après le transfert de l’événement par le client. - Si le
eventparser log fichier contient des erreurs, essayez d’obtenir une copie de l’événement. Vérifiez si elle peut être analysée avec succès sur un serveur de laboratoire ePO. - Vérifiez que l'extension le plus récent est installé pour le produit managé qui a généré l’événement.
- Vérifiez s’il existe un extension de génération de rapports distinct pour le produit managé. Installez l'extension, le cas échéant.
- Le
Syslog serveur ne reçoit pas l’événement :- Vérifiez que le client communique avec le serveur ePO ou un gestionnaire d'agents à distance.
- Recherchez dans le
eventparser_ .log fichier les erreurs qui peuvent se produire juste après le transfert de l’événement à partir du client. - Dans la console ePO, modifiez le serveur enregistré
Syslog et vérifiez que l’option tester la connexion sous l’onglet Détails est réussie.
Plug-ins d’événements :
Les événements générés pour VSE, HIPs ou DLP sont analysés à l’aide d’une plug-in d’analyseur d’événements. Le plug-in est installé lorsque vous installez l'extension pour ce produit managé. Ces plug-ins sont responsables de l’écriture de l’événement dans la base de données et sont installés dans le dossier d’installation d’ePO ou du gestionnaire d'agents sous
Remarque : Certains produits managés contiennent un extension de génération de rapports distinct qui contient ce plug-in. Par exemple, VSE dispose d’un extension de gestion et d’un extension de génération de rapports. La plug-in d’analyse d’événements est ajoutée uniquement via la extension de génération de rapports.
Lorsque le
Evénements inconnus :
ePO ne sait pas comment analyser l’événement si ePO reçoit un
- Aucun plug-in d’analyseur d’événements n’est disponible pour cet événement dans le
\DB\Plugin dossier
ou - Il existe dans le
EPORegisteredEventPlugins tableau.
Dans la situation ci-dessus, il est considéré comme un événement inconnu . Lorsque cet événement se produit, une activité de journal similaire à la suivante s’affiche dans le
Par défaut, tous les événements inconnus sont supprimés. Cependant, il est possible de configurer ePO, ou un gestionnaire à distance, de manière à ce qu’il stocke ces événements dans un dossier temporaire.
Pour conserver les événements inconnus, suivez les étapes ci-dessous sur le serveur ePO et les gestionnaires de l'agent distants :
ATTENTION : Cet article contient des informations sur l’ouverture ou la modification du Registre.
- Les informations suivantes sont destinées aux administrateurs système. Les modifications apportées au Registre sont irréversibles et peuvent causer des défaillances du système si elles ne sont pas effectuées correctement.
- Avant de poursuivre, le Support technique vous recommande fortement de sauvegarder votre Registre et de bien connaître la procédure de restauration. Pour plus d’informations, reportez-vous à l’article Microsoft Windows informations de Registre pour les utilisateurs expérimentés.
- N'exécutez pas de fichier .REG si vous n'êtes pas certain qu'il s'agit d'un fichier d'importation de Registre authentique.
- Pour ouvrir le Registre Windows, appuyez sur Windows + R, saisissez
regedit.exe , puis cliquez sur OK. - Accédez à la clé suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- Ajoutez le [DWORD]
DeleteUnknownEvents s’il n’est pas déjà présent. - Définissez la valeur sur 0. La valeur par défaut est 1.
- Fermez l'éditeur du registre.
- Redémarrez le service
EventParser .
Evénements en échec :
Chaque fois que l'
Remarque : Ce qui précède n’inclut pas les
Ces événements restent dans le
ID du document précédent (Secured)
615924
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :