ePolicy Orchestrator イベントおよびレポート コンテンツのトラブルシューティング方法
技術的な記事 ID:
KB53035
最終更新: 2022-03-02 01:54:52 Etc/GMT
最終更新: 2022-03-02 01:54:52 Etc/GMT
環境
McAfee ePolicy Orchestrator (ePO) 5.x
概要
この記事では、管理対象製品(クライアント)から ePO データベースへのパス イベントについて説明します。 これらの手順を使用して、不正確で予期しないイベント クエリー結果のイベント問題のトラブルシューティングを行うことができます。
次に、管理対象製品によるイベントの作成からデータベースへのパスについて説明します。
Managed product --> AgentEvents folder or MA database --> agent-to-server communication interval --> ePO Server Service --> ePO Events folder --> ePO Events Parser Service --> database or syslog server
イベントは、Endpoint Security(ENS)などの管理対象製品によって生成され、McAfee Agent に渡されます。 従来のプラグインを使用する一部の製品は、AgentEvents フォルダーにイベントを書き込みます。 McAfee Active Response、Data Loss Prevention 11.4 以降などの新しい製品は、従来の LPC プラグインの代わりに msgbus を使用します。 これらの新しい msgbus 製品がイベントを生成すると、イベントは AgentEvents フォルダーではなく Agent データベースに保存されます。 次に、イベントは、すぐに、または次のエージェント間通信間隔(ASCI)で、Agent ハンドラー (Apache サービス) にアップロードされます。 エージェント ハンドラーは、それらをサーバーの [イベント] フォルダに保存します。 EventParser サービス はイベントを処理し、データベース に書き込みます。 設定されている場合、EventParser サービスは、Syslog サーバーにイベントを Apache サービスがイベントを受信した後、転送します。
登録済み syslog サーバーを設定する方法については、ePolicy Orchestrator 製品ガイド を参照してください。
ePO 5.10:
https://docs.trellix.com/bundle/epolicy-orchestrator-5.10.0-interface-reference-guide/page/GUID-092B5092-305D-400D-BE22-8973139B2B7B.html
ePO 5.9:
https://docs.trellix.com/bundle/epolicy-orchestrator-5.9.x-product-guide/page/GUID-5C5332B3-837A-4DDA-BE5C-1513A230D90A.html
次に、管理対象製品によるイベントの作成からデータベースへのパスについて説明します。
イベントは、Endpoint Security(ENS)などの管理対象製品によって生成され、McAfee Agent に渡されます。 従来のプラグインを使用する一部の製品は、
登録済み syslog サーバーを設定する方法については、ePolicy Orchestrator 製品ガイド を参照してください。
ePO 5.10:
https://docs.trellix.com/bundle/epolicy-orchestrator-5.10.0-interface-reference-guide/page/GUID-092B5092-305D-400D-BE22-8973139B2B7B.html
ePO 5.9:
https://docs.trellix.com/bundle/epolicy-orchestrator-5.9.x-product-guide/page/GUID-5C5332B3-837A-4DDA-BE5C-1513A230D90A.html
解決策
以下に、イベントがたどるパスに関する特定の情報を示します。 特定の詳細に精通することは、潜在的な問題が発生している可能性のある場所を理解するのに役立ちます。
イベント フィルタリング
イベントは、ENS または McAfee Agent などの管理対象製品によって生成されます。 イベント フィルタリング 設定により、以下が決まります。
- イベントがエンドポイントで生成されるかどうか
および - イベントが登録済みの
Syslog サーバーにも転送される場合
- ePO コンソールにログオンします。
- [メニュー]、[設定]、[サーバー設定] をクリックします。
- [カテゴリの設定] 列の下にある イベント フィルタリング をクリックし、[編集] をクリックします。
- 必要に応じて、イベント ID の選択または解除を行います。 または、ePO、SIEM、またはその両方にのみ保存することを選択し、[保存] をクリックします。
有効または無効になったイベントのリストに変更が加えられると、この変更は ePO サーバーに保存されます。 次に、クライアントは
- Windows の場合:
C:\ProgramData\McAfee\Agent\ - Linux および macOS の場合:
/var/McAfee/agent/scratch
イベントは、以下のいずれかの方法で生成されます。
- MA
dll (ma_event_service.dll ) を呼び出すことによる、ENS などの管理対象製品。
または - 古いレガシー LPC プラグインを使用する製品は、
AgentEvents フォルダーにイベントを保存します。
- イベントの優先度が高い場合は、すぐにアップロードされます。 ([MA 一般ポリシー] > [イベント] タブで設定された優先イベント転送)。
注: エージェント イベント フォルダは、オペレーティング システムによって異なるエージェント ディレクトリ構造の下にあります。
- Windows の場合:
C:\ProgramData\McAfee\Agent\AgentEvents - Linux、macOS の場合:
/var/McAfee/agent/AgentEvents
- Windows の場合:
トラブルシューティング
エンドポイント
まず、次のいずれかの方法で、エンドポイントでイベントが生成されていることを確認します。
- AgentEvents フォルダー
- イベントを生成する製品が新しい
msgbus 製品である場合、MA データベース。
- エンドポイントでイベントを簡単にキャプチャできるように、エージェントがイベントを ePO サーバーにアップロードしないように一時的に設定します。 次のいずれかを実行して、アップロードを防止します。
注: 通常、これらのいずれかを実行せずに、エンドポイントでイベントのコピーをキャプチャするための十分な時間があります。
- クライアントで McAfee Agent サービスを停止します。
- ePO サーバーと エージェント ハンドラー (Apache サービス) で ePolicy Orchestrator サーバー サービスを停止します。
- クライアント システムでネットワーク アダプターを無効にします。
注: VSE/ENS アクセス保護、または MA 自己保護を使用すると、MA サービスを停止できなくなる場合があります。
- アクションを再現し、システム上で特定のイベントまたは一般的な検出イベントを生成します。 以下を参照してください。
- マカフィー製品で
EICAR マルウェア対策テスト ファイルを使用する方法 (KB59742) - SPAM 製品については、
GTUBE という類似のテスト ファイルを使用してください。 外部の電子メールアドレスから会社のアドレスに電子メールで送信し、 SPAM スキャナを通過させます。
GTUBE テスト ファイルは http://spamassassin.apache.org/gtube/ から入手できます。 AgentEvents フォルダーで、ePO サーバーへのアップロードを待機しているランダムな名前のファイルを探します。- MAR、EDR、DXL、DLP 11.4 以降などの
msgbus を使用する製品の場合、クライアントから MER 結果を収集する必要があります。 または、MA\db および\keystore ファイルを収集し、MER アナライザーを使用してイベントを表示します。 - イベントを開いて、イベントのプロパティを確認します。 ほとんどのイベントは典型的な xml ファイルです。 これらのファイルを開き、ブラウザまたは
Notepad++ などのテキスト エディタを使用してイベントの詳細を表示できます。
- マカフィー製品で
- 次のいずれかの方法を使用して、ePO サーバーへの接続を再度有効にします(手順 1 で実行したアクションに応じて)。
- クライアントで McAfee Agent サービスを開始します。
- エージェント ハンドラー サービスを開始します。
- クライアントでネットワーク アダプターを有効にします。
- 通常の優先度イベントは、通常のエージェントからサーバーへの通信間隔中にアップロードされます。 McAfee Agent ステータス モニター の イベントの送信 ボタンを使用して、これらをすぐにアップロードできます。
サーバー (ePO サーバーのエージェント ハンドラー、または他のサーバー)
イベントの受信:
McAfee Agent がイベントをアップロードした後、Apache サービスがイベントを受信します。 その後、ePO サーバーまたはリモート エージェント ハンドラーのいずれかで処理されます。 次に、ハンドラーはイベントを Events フォルダーに格納し、
I #10244 NAIMSERV Processed [Event] from <name of client system>:{75BCADA0-16B4-11EA-27C6-005056014A0F} in 0ms
イベント フォルダの場所:
イベントの解析または転送:
設定されている場合、イベントは syslog レシーバーに転送される可能性があります。 この場合、LogLevel 8 ( KB56207 を参照) が ePO サーバーまたはリモート エージェント ハンドラーで有効になっていると、eventparser_ .log ファイルに次のようなアクティビティが表示されます :
#07008 EVNTPRSR source\SyslogForwarder.cpp(371): Found cached work item data for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
脅威タイプのイベント(マルウェアが検出され、アクセス保護ルールがトリガーされた)の場合、イベントがThreat Event Log に表示されます。 ePO コンソールの [レポート] メニューの下に表示されます。 正常に解析されたイベントは、[クエリとレポート] の [イベント] クエリを使用してクエリできます。
イベント フローのトラブルシューティング:
#07008 EVNTPRSR source\SyslogForwarder.cpp(376): Construct new work item for tenant 1: bpsid=1, guid={00000000-0000-0000-0000-000000000000}, nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): Using cached connection for :6514
脅威タイプのイベント(マルウェアが検出され、アクセス保護ルールがトリガーされた)の場合、イベントが
イベント フローのトラブルシューティング:
- イベントがエンドポイントで生成されていません:
- イベントが
EvtFiltr.ini ファイルの無効なイベントの 1 つとしてリストされていないことを確認します。 - イベントを生成する可能性のあるアクションの再現を試み、
masvc_ .log ファイルでエラーを探します。 - イベントを生成する管理対象製品が実行されていることを確認します。
- イベントが
- イベントは ePO サーバーまたは エージェント ハンドラーに送信されていません:
- ハンドラーとの通信またはイベントの送信を試みた直後に、
masvc_ .log ファイルでエラーを探します。 Apache サービスが ePO サーバーまたはエージェント ハンドラーで実行されていることを確認します。
- ハンドラーとの通信またはイベントの送信を試みた直後に、
- イベントがエンドポイントから正常にアップロードされたことを確認した後、イベントは ePO に表示されません。
- クライアントが ePO サーバーまたはリモート エージェント ハンドラーと通信しているかどうかを確認します。
- クライアントがイベントを転送した直後に発生した可能性のあるエラーがないか、
eventparser_ .log ファイルを調べます。 eventparser log ファイルにエラーが見つかった場合は、イベントのコピーを取得してみてください。 ラボの ePO サーバーで正常に解析できるかどうかを確認してください。- イベントを生成した管理対象製品に最新の拡張ファイルがインストールされていることを確認します。
- 管理対象製品の別のレポート拡張ファイルがあるかどうかを確認します。 必要に応じて拡張ファイルをインストールします。
Syslog サーバーはイベントを受信しません:- クライアントが ePO サーバーまたはリモート エージェント ハンドラーと通信しているかどうかを確認します。
- イベントがクライアントから転送された直後に発生した可能性のあるエラーがないか、
eventparser_ .log ファイルを調べます。 - ePO コンソールで、登録済み
Syslog サーバーを編集し、[詳細] タブの [接続のテスト] オプションが成功することを確認します。
イベント プラグイン:
VSE、HIP、または DLP を介して生成されたイベントは、イベント パーサー プラグインを介して解析されます。 このプラグインは、管理対象製品の拡張ファイルをインストールしたときにインストールされます。 これらのプラグインは、データベースへのイベントの書き込みを担当し、
注: 一部の管理対象製品には、このプラグインを含む個別の レポート 拡張ファイルが含まれています。 たとえば、VirusScan Enterprise には管理拡張ファイルとレポート拡張ファイルがあります。 イベント解析プラグインは、レポート拡張ファイルを介してのみ追加されます。
不明なイベント:
ePO が
\DB\Plugin フォルダーの下にあるこのイベントに使用できるイベント パーサー プラグインはありません
またはEPORegisteredEventPlugins テーブル内に存在します
上記の状況では、不明なイベントと見なされます。 このイベントが発生すると、
デフォルトでは、不明なイベントはすべて削除されます。 ただし、ePO またはリモート ハンドラーを設定して、これらのイベントを一時フォルダーに保存することは可能です。
不明なイベントを保持するには、ePO サーバーとリモート エージェント ハンドラーで次の手順に従います。
注: この記事には、レジストリの起動または変更に関する情報が含まれています。
- 以下の情報はシステムの管理者が使用することを想定しています。レジストリの変更は元に戻せません。誤った変更を行うとシステム障害が発生する可能性があります。
- テクニカル サポートは、実行する前にレジストリのバックアップを取得すること、リストア方法について理解しておくことを強くお勧めします。詳細については、 advanced users 記事のレジストリ情報の Microsoft Windows を参照してください。
- 正規のレジストリ インポート ファイルであることが確認されていない REG ファイルを実行しないでください。
- Windows レジストリを開くには、Windows + R を押し、
regedit.exe と入力して、[OK] をクリックします。 - 次のキーに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- [DWORD]
DeleteUnknownEvents を追加します。 存在しない場合には、 - 値を 0 に設定します。 デフォルト値は 1 です。
- レジストリ エディタを終了します。
EventParser サービスを再起動します。
失敗したイベント:
注: 上記には、上記の不明なイベントのように、
これらのイベントは、削除または移動しない限り、
以前のドキュメント ID (Secured)
615924
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:
この記事は、次の言語で表示可能です: