如何为 Trellix Agent 启用调试日志记录以对 Windows 进行故障排除
技术文章 ID:
KB82170
上次修改时间: 2023-05-12 12:41:30 Etc/GMT
上次修改时间: 2023-05-12 12:41:30 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
如何为 Trellix Agent 启用调试日志记录以对 Windows 进行故障排除
技术文章 ID:
KB82170
上次修改时间: 2023-05-12 12:41:30 Etc/GMT 环境
Trellix Agent (TA) 5.x Microsoft Windows 支持的操作系统。 注意: McAfee Agent 已在版本 5.7.7. 中更名到 TA 有关环境信息,请参阅 KB51573-Trellix Agent 支持平台 5.x。 摘要
技术支持排除故障时,系统可能会请求调试级别的日志文件。 此外,技术支持可能会请求以下任一项:
Windows 客户端上的注册表设置控制 TA 的日志级别。如果存在错误,调试日志记录会产生更多的日志条目。调试日志记录在诊断问题时可使功能更加精细。 由于调试日志记录生成了太多条目,因此您必须增大日志的大小,以捕获其他信息。 使用本文中的建议定义合适的日志大小。 日志大小确保日志写入到具有足够空间的驱动器中。 较大的日志文件大小比较小的日志文件更好,可确保捕获相关数据。如果日志太小,可能无法捕获相关数据。
TA 5.x 与先前版本在以下方面有所不同:
日志说明
TA 使用以下日志:
日志位置
日志存储在以下位置:
启用保护指南调试日志记录
您必须先启用相应的调试日志记录才能重现问题。 如果为无法重现的问题启用调试日志记录,它将无法提供足够的故障排除信息。如果您正在调查客户端和服务器问题,则必须先在客户端和服务器上启用调试日志记录,然后再重现问题。要成功捕获帮助调查问题所需的其他信息,需要这两种信息。 解决方案 1设置 TA 日志级别
有四种可能的日志级别:
日志级别设置方法有两种:
0 -已禁用日志记录
1 -日志级别设置为 Info 2 -日志级别设置为 调试 3 -日志级别设置为 跟踪 注意: 收集最小升级要求(MER)信息时,请执行以下操作:
解决方案 2启用 McTray 调试日志记录,创建调试日志以
注意: 注意:您必须 暂时 禁用自我保护以进行以下更改。您只能通过 TA 策略控制自我保护。本地系统无法更改此更改。 完成故障排除后,重新启用自我保护。
注意:: 本文包含有关打开或修改注册表的信息。
注意:
McTray 日志位于以下位置:
注意:为 McTray 的每个新实例创建单独的日志文件,包含多达 20 个历史文件,以及一个当前活动日志的文件。 每个日志文件会在运行时动态保存至 2 MB,直至调试日志记录关闭。 解决方案 3收集 ETL
有关升级或卸载 TA 的问题,请通过执行以下步骤收集 ETL:
附件免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|