如何对 ePolicy Orchestrator 事件报告内容进行故障排除
技术文章 ID:
KB53035
上次修改时间: 2022-04-22 12:41:24 Etc/GMT
上次修改时间: 2022-04-22 12:41:24 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
如何对 ePolicy Orchestrator 事件报告内容进行故障排除
技术文章 ID:
KB53035
上次修改时间: 2022-04-22 12:41:24 Etc/GMT 环境
McAfee ePolicy Orchestrator (ePO) 5.x
摘要
本文介绍事件从托管产品(客户端)到 ePO 数据库的路径。 您可以使用这些步骤对事件问题进行故障排除,排除错误和意外的事件查询结果。 以下信息说明了由托管产品创建事件到数据库的路径: 生成托管产品事件被Endpoint Security (ENS) 传递到事件McAfee Agent。 有些产品使用旧版插件事件写入到 请参阅适用ePolicy Orchestrator 产品手册有关如何配置已注册的 syslog 服务器的说明,请: 解决方案以下包含有关事件所使用路径的特定信息。 熟悉特定详细信息可帮助您了解潜在问题发生的位置。
事件过滤 事件通过托管产品(如 ENS 或 McAfee Agent) 生成。 中的配置事件过滤设置决定以下设置:
对已启用或已禁用事件列表进行了更改后,此更改会保存在 ePO 服务器上。 然后客户端使用名为
使用下列方法之一生成事件:
故障排除端点: 验证是否正在端点上生成以下任一事件:
注意:VSE/ENS 访问保护或 MA 自我保护可能会阻止您停止 MA 服务。
服务器(代理处理程序在ePO 服务器或其他服务器上)的故障排除 接收事件: 在 McAfee Agent上传事件之后,Apache服务将接收该事件。 然后,它会在代理处理程序ePO 服务器远程代理处理程序上进行处理。 The handler then stores the event in the Events folder, and we see logging similar to the following in the Ⅰ #10244 NAIMSERV 已处理 [事件]自客户端系统的名称>:{75BCADA0-16B4-11EA-27C6-005056014A0F} (以 0ms表示) 事件文件夹位置: 解析或转发事件: 如果已配置,则事件可能会转发至
有关未解析的事件的其他信息#07008 EVNTPRSR source\SyslogForwarder.cpp (376): 为租户 1 构建新的工作项目: bpsid=1, guid={000000-0000-0000-000000000} ,nodepath=1\2 #07008 MFEFIPS mfefips_SSLSubSys.cpp(230): 将缓存连接用于 :6514 有关相关文章,请参阅KB56207 - 数据收集 - 如何启用日志级别 8 以进行 ePolicy Orchestrator 故障排除. 对于威胁类型事件(检测到恶意软件,已触发访问保护规则),您可以在 对事件流进行故障排除:
事件插件: 针对 VSE、HIP 或 DLP 生成的事件会使用规则事件解析器 插件。 当您插件托管产品的扩展时,会安装该扩展。 这些插件负责将事件写入到数据库,并安装在 ePO 或 代理处理程序 安装文件夹下 注意:有些托管产品包含单独的报告此扩展包含此插件。 例如,VSE 具有管理扩展和报告扩展。 事件解析插件仅通过报告扩展添加。 当 未知事件: 如果 ePO 收到
在以上情况下,会考虑未知事件。 如果发生此事件,您可以在 默认情况下,将删除所有未知事件。 但是,可以配置 ePO 或远程处理程序,以便将这些事件存储在临时文件夹中。 若要保留未知事件,请遵循以下ePO 服务器代理处理程序: 注意:: 本文包含有关打开或修改注册表的信息。
Failed Events: Anytime the 注意:上述内容不包括 这些事件会保留在 以前的文档 ID (Secured)
615924
免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|