以下包含有关事件所使用路径的特定信息。 熟悉特定详细信息可帮助您了解潜在问题发生的位置。
事件过滤
事件通过托管产品(如 ENS 或 McAfee Agent) 生成。 中的配置
事件过滤设置决定以下设置:
- 是否在端点上生成事件
以及
- 如果事件也是转发给已注册的Syslog服务器
事件过滤是一种单一的全局配置,会影响所有代理,无论其产品或平台如何。 使用 ePO 控制台中的以下步骤并启用或禁用事件。 或者将事件发送到 SIEM(发送到 syslog 服务器)。
- 登录到 ePO 控制台。
- 点击菜单,配置,服务器设置.
- 点击事件过滤在 设置类别 列下,然后单击编辑.
- 根据需要选择取消选择事件 ID。 或者,选择将它们存储在 ePO 中、在 SIEM 中或存储在两者中,然后单击救.
注意:请参阅相关文章
KB54677 - 发送至 ePolicy Orchestrator 的事件 ID 的常规列表.
对已启用或已禁用事件列表进行了更改后,此更改会保存在 ePO 服务器上。 然后客户端使用名为
EvtFiltr.ini.
EvtFiltr.ini文件包含在 ePO 中的事件过滤配置中禁用的所有事件的列表。 如果
EvtFiltr.ini存储在客户端上的文件
不包含特定事件 ID,此事件可在客户端生成。
EvtFiltr.ini文件位于数据McAfee Agent目录下。 该位置因操作系统的不同而不同:
- 对于 Windows :C:\ProgramData\McAfee\Agent\
- 对于 Linux 和 macOS:/var/McAfee/agent/scratch
生成事件
使用下列方法之一生成事件:
- 托管产品(如 ENS)调用 MAdll (ma_event_service.dll).
或
- 使用旧版 LPC 设备插件将事件存储在AgentEvents文件夹。
更新产品,如 MAR、EDR 或 DLP11.4之后,这些事件会存储在 MA 数据库中(
..\ProgramData\McAfee\Agent\DB):
- 如果事件优先级较低,则它将在代理事件文件夹中存储,并将在下一次ePO 服务器上传至ASCI。
- 如果事件具有高优先级,会立即上传。 (在 MA 常规 策略下配置的优先级>事件转发)。
注意:代理事件文件夹位于代理目录结构下,具体取决于操作系统:
- 对于 Windows :C:\ProgramData\McAfee\Agent\AgentEvents
- 对于 Linux,macOS: /var/McAfee/agent/AgentEvents
故障排除端点:
验证是否正在端点上生成以下任一事件:
- AgentEvents文件夹
- MA 数据库,如果生成事件的产品是新的msgbus 产品
- 为了更轻松地捕获端点上的事件,请暂时阻止代理将事件上传到端点ePO 服务器。 通过执行以下操作之一防止上传:
注意:通常,有足够的时间捕获端点上事件的副本,无需执行以下一项操作。
- 停止McAfee Agent客户端上的客户端服务。
- 停止 代理处理程序 和 代理ePO 服务器(服务)上的 ePolicy Orchestrator Apache服务。
- 禁用客户端系统上的网络适配器。
注意:VSE/ENS 访问保护或 MA 自我保护可能会阻止您停止 MA 服务。
- 重现操作并生成系统上的特定事件或通用检测事件。 请参阅以下内容:
- 如何配合 McAfee 产品使用 EICAR 防恶意软件测试文件 参阅:KB59742 - 如何将 EICAR 测试文件与 McAfee 产品一使用.
- 对于 SPAM 产品,请使用名为GTUBE. 通过电子邮件将邮件从外部电子邮件地址发送到您的公司地址,以便通过垃圾邮件扫描程序。
下载GTUBE 测试文件(来自GTUBE 登录页面.
- 查找AgentEvents 文件夹,用于等待上传至文件列表的ePO 服务器。
- 对于诸如 MAR、EDR、DXL或 DLP 等产品11.4或更高版本,使用msgbus,则您需要从MER收集分析结果。 或者,收集 MA\db和\keystore文件,并使用 MER 器查看事件。
- 打开事件,以查阅事件的属性。 大多数事件都是典型的Xml文件。 您可以使用浏览器或文本编辑器打开这些文件并查看事件的详细信息,如Notepad++.
- 使用下列方法之一ePO 服务器与设备的连接(具体取决于步骤 1 中采取的操作):
- 在McAfee Agent启动代理服务。
- 启动代理处理程序服务。
- 在客户端上启用网络适配器。
- 正常代理与服务器之间的通信时间间隔内将上传正常优先级事件。 您可以使用发送事件按钮位于McAfee Agent状态监视器.
服务器(代理处理程序在ePO 服务器或其他服务器上)的故障排除
接收事件:
在 McAfee Agent上传事件之后,Apache服务将接收该事件。 然后,它会在代理处理程序ePO 服务器远程代理处理程序上进行处理。 The handler then stores the event in the
Events folder, and we see logging similar to the following in the
Server_.log:
Ⅰ #10244 NAIMSERV 接收 [Event] 自客户端系统名称>:{75BCADA0-16B4-11EA-27C6-005056014A0F}
Ⅰ #10244 NAIMSERV 已处理 [事件]自客户端系统的名称>:{75BCADA0-16B4-11EA-27C6-005056014A0F} (以 0ms表示)
事件文件夹位置:\DB\Events
解析或转发事件:
eventparser_.log当事件成功解析到数据库时,文件具有类似的日志活动:
#07008 EVNTPRSR Succeeded , C:\PROGRA~2\McAfee\EPOLIC~1\DB\Events\0b8af8eb-1340-470b-8d30-77cfde8bac61-mc_20200402175859651368200001688.txml.
如果已配置,则事件可能会转发至
syslog 接收机。 在这种情况下,如果在代理处理程序或远程代理处理程序ePO 服务器 LogLevel 8,则您可以在
eventparser_.log文件:
#07008 EVNTPRSR source\SyslogForwarder.cpp (371): 找到租户 1 的缓存工作项目数据: bpsid=1,guid={000000-0000-0000-00000-00000000},nodepath=1\2
#07008 EVNTPRSR source\SyslogForwarder.cpp (376): 为租户 1 构建新的工作项目: bpsid=1, guid={000000-0000-0000-000000000} ,nodepath=1\2
#07008 MFEFIPS mfefips_SSLSubSys.cpp(230): 将缓存连接用于 :6514
有关相关文章,请参阅
KB56207 - 数据收集 - 如何启用日志级别 8 以进行 ePolicy Orchestrator 故障排除.
对于威胁类型事件(检测到恶意软件,已触发访问保护规则),您可以在
Threat Event Log. 将显示在 ePO 控制台的 报告 菜单下。 任何成功解析的事件都可以通过 查询和报告 下的 事件查询 进行查询。
对事件流进行故障排除:
- 端点上未生成事件:
- 验证事件是否未作为已禁用事件之一列在EvtFiltr.ini文件。
- 尝试重现可生成事件的操作,并查看masvc_.log文件错误。
- 验证生成事件的托管产品正在运行。
- 事件未发送至 ePO 服务器或代理处理程序:
- 查找masvc_.log文件,以在尝试与处理程序通信或发送事件后出错。
- 验证Apache服务在代理处理程序ePO 服务器上运行。
- 验证事件已成功从端点上传后,事件在 ePO 中不可见:
- 验证客户端是否与代理处理程序ePO 服务器远程代理处理程序通信。
- 查找eventparser_.log文件,表明客户端转发事件后可能发生错误。
- 如果eventparser log文件,请尝试获取事件副本。 检查它能否在实验室实验室中成功ePO 服务器。
- 确认为生成事件的托管产品安装了最新扩展。
- 检查托管产品是否有单独的报告扩展。 安装扩展(如适用)。
- Syslog服务器未收到事件:
- 验证客户端是正在与 ePO 服务器还是远程 代理处理程序 通信。
- 查找eventparser_.log文件,表明事件从客户端转发后,可能刚刚发生错误。
- 在 ePO 控制台中,编辑 已注册Syslog服务器,并验证 详细信息 选项卡下的 测试连接 选项是否成功
事件插件:
针对 VSE、HIP 或 DLP 生成的事件会使用规则事件解析器 插件。 当您插件托管产品的扩展时,会安装该扩展。 这些插件负责将事件写入到数据库,并安装在 ePO 或 代理处理程序 安装文件夹下.\DB\Plugin文件夹。
注意:有些托管产品包含单独的报告此扩展包含此插件。 例如,VSE 具有管理扩展和报告扩展。 事件解析插件仅通过报告扩展添加。
当EventParser 服务器尝试处理事件,事件解析器 插件 但它会查看\DB\Plugin\文件夹。 如果不安装,它会尝试根据EPORegisteredEventPlugins表。 下载后,可事件解析器 插件事件解析事件。
未知事件:
如果 ePO 收到butL 事件。
- 在 事件解析器 插件,\DB\Plugin文件夹
或
- 此名称存在于EPORegisteredEventPlugins表
在以上情况下,会考虑未知事件。 如果发生此事件,您可以在eventparser_.log文件:
W #02796 EVNTPRSR Skipping virus_detection_event no plugin available.
默认情况下,将删除所有未知事件。 但是,可以配置 ePO 或远程处理程序,以便将这些事件存储在临时文件夹中。
若要保留未知事件,请遵循以下ePO 服务器代理处理程序:
注意:: 本文包含有关打开或修改注册表的信息。
- 要打开 Windows 注册表,请按 Windows+R ,键入 regedit.exe,然后单击还行。
- 导航到以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\EventParser\
- 添加 [DWORD]DeleteUnknownEvents,如果不存在。
- 将值设置为0. 默认值为 1。
- 关闭注册表编辑器。
- 重新启动EventParser服务。
设置值后,所有未知事件都转至\DB\Events\Unknown文件夹。
Failed Events:
Anytime the EventParser fails to parse an event, it goes into the \DB\Events\Debug folder.
注意:上述内容不包括EventParser跳过,对于上述未知事件。
这些事件会保留在Debug文件夹,除非将其删除或移动。 您可以通过将这些事件从Debug文件夹返回到根目录Events文件夹。
