如何为 Trellix Agent 启用调试日志记录以对 Windows 进行故障排除
技术文章 ID:
KB82170
上次修改时间: 2023-05-12 12:41:30 Etc/GMT
上次修改时间: 2023-05-12 12:41:30 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
如何为 Trellix Agent 启用调试日志记录以对 Windows 进行故障排除
技术文章 ID:
KB82170
上次修改时间: 2023-05-12 12:41:30 Etc/GMT 环境
Trellix Agent (TA) 5.x Microsoft Windows 支持的操作系统。 注意: McAfee Agent 已在版本 5.7.7. 中更名到 TA 有关环境信息,请参阅 KB51573-Trellix Agent 支持平台 5.x。 摘要
技术支持排除故障时,系统可能会请求调试级别的日志文件。 此外,技术支持可能会请求以下任一项:
Windows 客户端上的注册表设置控制 TA 的日志级别。如果存在错误,调试日志记录会产生更多的日志条目。调试日志记录在诊断问题时可使功能更加精细。 由于调试日志记录生成了太多条目,因此您必须增大日志的大小,以捕获其他信息。 使用本文中的建议定义合适的日志大小。 日志大小确保日志写入到具有足够空间的驱动器中。 较大的日志文件大小比较小的日志文件更好,可确保捕获相关数据。如果日志太小,可能无法捕获相关数据。
TA 5.x 与先前版本在以下方面有所不同:
日志说明
TA 使用以下日志:
日志位置
日志存储在以下位置:
启用保护指南调试日志记录
您必须先启用相应的调试日志记录才能重现问题。 如果为无法重现的问题启用调试日志记录,它将无法提供足够的故障排除信息。如果您正在调查客户端和服务器问题,则必须先在客户端和服务器上启用调试日志记录,然后再重现问题。要成功捕获帮助调查问题所需的其他信息,需要这两种信息。 解决方案 1设置 TA 日志级别
有四种可能的日志级别:
日志级别设置方法有两种:
0 -已禁用日志记录
1 -日志级别设置为 Info 2 -日志级别设置为 调试 3 -日志级别设置为 跟踪 注意: 收集最小升级要求(MER)信息时,请执行以下操作:
解决方案 2启用 McTray 调试日志记录,创建调试日志以
注意: 注意:您必须 暂时 禁用自我保护以进行以下更改。您只能通过 TA 策略控制自我保护。本地系统无法更改此更改。 完成故障排除后,重新启用自我保护。
注意:: 本文包含有关打开或修改注册表的信息。
注意:
McTray 日志位于以下位置:
注意:为 McTray 的每个新实例创建单独的日志文件,包含多达 20 个历史文件,以及一个当前活动日志的文件。 每个日志文件会在运行时动态保存至 2 MB,直至调试日志记录关闭。 解决方案 3收集 ETL
有关升级或卸载 TA 的问题,请通过执行以下步骤收集 ETL:
附件免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|