Cómo solucionar problemas de máquinas virtuales cuando el estado de la protección antimalware está desactivado o desconocido
Artículos técnicos ID:
KB84669
Última modificación: 2022-07-11 11:05:08 Etc/GMT
Última modificación: 2022-07-11 11:05:08 Etc/GMT
Entorno
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Resumen
Detalles de fondo
Los siguientes eventos de estado de protección se envían de ambos:
Los siguientes eventos de estado de protección se envían de ambos:
- Una máquina virtual (VM) a Security virtual Appliance (SVA)
- SVA a ePolicy Orchestrator (ePO), donde se coloca en una tabla de base de datos SQL
MOVE eventos antivirus Agentless 4.x
EVENT 37086 (Máquina virtual desprotegida)EVENT 37087
NOTA: Consulte también el siguiente artículo: KB77944-List de ID de eventos para Move agentless y Multi-Platform)
En esa tabla, Cloud Connector para vSphere lee el contenido y rellena la función de la interfaz de usuario (IU) .The de ePO del conector Cloud para vSphere aquí solo se muestra el contenido de la tabla para informar del estado de protección de las máquinas virtuales.Existen varios motivos por los que el estado de la protección no se indica correctamente. Debido a los distintos componentes implicados en este entorno, es importante seguir un método de solución de problemas que haga lo siguiente:
- Le guiará a través de las distintas etapas implicadas para identificar correctamente dónde se encuentra la causa del problema.
- Proporcione la solución para solucionar el problema.
- MOVE AV Agentless está configurado correctamente.
- MOVE Directiva Agentless tiene activada la analizador en tiempo real (OAS).
- MOVE extensión AV Agentless está instalada en ePO.
- El servicio Event Parser se está ejecutando.
- El conector de nube para el registro de la cuenta de vSphere ha finalizado correctamente.
Para obtener ayuda, consulte las guías de productos correspondientes en la sección registro de cuentas de la nube :
Para obtener los documentos del producto, vaya al portal de documentación del producto. - SVA y la máquina virtual están administradas por el mismo servidor de ePO.
- VMware vCenter informa correctamente de la presencia de SVA por cada host.
- La máquina virtual está activada. Cuando la máquina virtual pasa a un estado de inactividad, el
vsepflt controlador se descarga, lo que puede contribuir a laAgentless anti malware protection generación de informes de as Desactivado. - Asegúrese de que los siguientes eventos estén seleccionados en ePO. Vaya a configuración del servidor, filtrado de eventosy, a continuación, Haga clic en Editar:
EVENT 37086 (Protección de VM)EVENT 37087 (Máquina virtual desprotegida)
Solución 1
Solución de problemas de la máquina virtual
Inicie la solución de problemas desde una máquina virtual que informe del estado de la protección incorrecta en ePO. Tome nota del nombre de la máquina virtual y el UUID (ID exclusivo) de la máquina virtual en la que se realiza la solución de problemas. Puede encontrar esta información en ePO y vCenter.
Inicie la solución de problemas desde una máquina virtual que informe del estado de la protección incorrecta en ePO. Tome nota del nombre de la máquina virtual y el UUID (ID exclusivo) de la máquina virtual en la que se realiza la solución de problemas. Puede encontrar esta información en ePO y vCenter.
- Verifique que la máquina virtual esté notificando la información de sistema correcta a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic en el Árbol de sistemas y abra el grupo de vSphere y, a continuación, localice la máquina virtual.
- Para mostrar las propiedades del sistema, haga clic en la máquina virtual.
- Haga clic en la fichaVirtualización .
- Verifique que los detalles de la máquina virtual estén presentes y sean correctos.
- Verifique que las herramientas de VMware estén instaladas.
NOTA: La instalación de herramientas de VMware es un requisito previo cuando se utiliza Move AV agentless.
- Verifique mediante ePO:
En el Árbol de sistemas de ePO, desplácese hasta el grupo vSphere, identifique el sistema y verifique que la herramienta de VMware aparezca en la columna de la herramienta VMware.
Si las herramientas de VMware están instaladas, informa de que se están ejecutando.
- Verifique mediante la máquina virtual:
En Agregar o quitar programas, compruebe que aparece VMware herramienta. Si no es así, descargue e instale elVMware Open Virtualization Format (OVF) paquete de software desde: http://communities.VMware.com/Community/VMTN/Server/vSphere/automationtools/OVF.
- Verifique mediante ePO:
- Verifique que el
VMCI controlador esté activado.
La instalación de las herramientas de VMware no instala automáticamente la interfaz(VMCI driver vsepflt.sys) de comunicación de máquina virtual. Por lo tanto, cuando instale las herramientas de VMware, seleccione instalación personalizaday, en elVMCI controlador, seleccione controladores de VShield.
Para verificar que el controlador(vsepflt.sys) de VShield está instalado, vaya a la siguiente carpeta:C:\Windows\System32\drivers
- Active el registro de depuración para ePO.
Antes de empezar a solucionar los problemas, si es necesario realizar más análisis, activar registro de depuración para ePO en elOrion.log archivo. Para obtener activar registro de depuración para la extensión Cloud Connector, consulte KB90072-How to activar el registro de depuración para los conectores de Cloud Workload Security
- Verifique que el
VMCI controlador (vsepflt ) esté cargado correctamente:
NOTA: Al volver a cargar el controlador de vShield, se fuerza la generación de los eventos. Esta prueba se puede utilizar para verificar la comunicación correcta.
- Inicie sesión en la máquina virtual del Endpoint como administrador.
- Abra una línea de comandos y haga clic en Iniciar, Ejecutar, escriba
cmd y, a continuación, haga clic en Correcto. - Para descargar el controlador
vsepflt , escriba el siguiente comando y pulse Intro:
fltmc unload vsepflt
- Para cargar el
vsepflt controlador, escriba el siguiente comando y pulse Intro:
fltmc load vsepflt
- Resincronización de SVA con ePO.
Para que los comandos MA recopilen y envíen propiedades de SVA al servidor de ePO, consulte KB52707-McAfee Agent modificadores de línea de comandos.
El sistema muestra ahora el estado de laAnti-Malware protección como Debe estar activo.
- Compruebe si los eventos generados anteriormente están llegando a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic Menú, Informes, El registro de eventos de amenazas y verifique si los eventos mencionados arriba están presentes.
- Compruebe que también está obteniendo la dirección IP del sistema cliente en los registros de eventos de amenazas.
- Compruebe si los eventos generados anteriormente han cambiado el estado de la protección de la máquina virtual:
- Desplácese hasta el nodo en ePO.
- Seleccione la pestaña Virtualización y, a continuación, verifique el estado de la
Agentless Anti-malware protección. - Compruebe que el estado se muestra Debe estar activo.
- Verifique que se pueda detectar EICAR en la máquina virtual:
- Cree y pruebe la máquina virtual con un archivo de prueba EICAR. Para obtener más información, consulte KB59742-cómo utilizar el archivo de prueba EICAR con productos de McAfee.
- Inicie sesión en la consola de ePO.
- Haga clic Menú, Informes, Registro de eventos de amenaza y verifique que el evento de amenaza esté presente.
Solución 2
Solución de problemas de Security virtual Appliance (SVA)
- Verifique que el SVA se notifique correctamente en ePO y que esté activado:
- Inicie sesión en la consola de ePO.
- En el Árbol de sistemas, seleccione el host de vSphere y compruebe si se ha registrado el SVA asociado.
- Confirme que el host aparece bajo el tipo de sistema de columnas.
- En el Árbol de sistemas, acceda a las propiedades del sistema SVA y confirme que las propiedades de SVA se notifiquen correctamente.
- En la sección Resumen, compruebe que se muestra la dirección IP correcta.
- En la sección Propiedades, compruebe que todos los detalles aparecen y son correctos.
- Verifique que el SVA se notifique correctamente en la vCenter:
- Inicie sesión en VMware vShield vCenter.
- En la ubicación Doméstico, haga clic en Host y Clústeres.
- En el panel de la izquierda, seleccione la host.
- En el panel de la derecha, haga clic en la pestaña máquinas virtuales .
- Localice su SVA y verifique que se muestre
Powered On el estado en la columna Estado.
- Compruebe el registro del SVA con sus hipervisores respectivos (en
VMware vCenter, la pestaña SVA se muestranvShield los siguientes):- Inicie sesión en el cliente de vSphere y, a continuación, vaya a Inicio y seleccione el
vShield icono. Aparecerá una ventana de inicio de sesión. - Inicie sesión con sus credenciales para acceder a la consola.
- En el panel de la izquierda, expanda
Datacenters . - Seleccione la dirección
###.###.###.### IP del host. - En el panel de la derecha, la pestaña Resumen muestra y muestra los detalles de las máquinas virtuales del servicio.
- Verifique que SVA se haya registrado correctamente.
Ejemplo de detalles que muestra la sección máquinas virtuales de servicio:
Nombre Tipo MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Inicie sesión en el cliente de vSphere y, a continuación, vaya a Inicio y seleccione el
- Reinicie la Move servicios SVA AV Agentless:
- Inicie sesión en SVA con la cuenta raíz o de administrador.
- En el símbolo del sistema, escriba lo siguiente:
Sudo service move restart
- Inicie sesión en la consola de ePO.
- Localice el SVA en el Árbol de sistemas.
- Verifique las propiedades del sistema de SVA y confirme que SVA se comunica correctamente.
- Compruebe si el estado de la máquina virtual ha cambiado.
- Verifique que la fecha y la hora de SVA estén sincronizadas con ePO.
NOTA: Si las zonas horarias de SVA y ePO no están sincronizadas, los eventos se rechazan y la base de datos no se actualiza.
Para obtener detalles sobre cómo establecer la hora en SVA, consulte "configuración del" de SVA en la guía del producto Move AV agentless para su versión. Consulte la sección información relacionada a continuación para saber dónde localizar la documentación del producto.
- Cargue y descargue el controlador y compruebe que el evento relacionado está llegando a la SVA. En cada etapa de la que se transfieran los eventos, compruebe lo siguiente:
- Detenga el McAfee Agent en SVA. Para saber cómo utilizar los modificadores de la línea de comandos con MA, consulte KB52707-McAfee Agent modificadores de línea de comandos.
- En la máquina virtual, descargue y cargue el controlador de VMCI (vsepflt), que genera los siguientes eventos:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Inicie sesión en la máquina virtual del Endpoint como administrador.
- Abra una línea de comandos y haga clic en Iniciar, Ejecutar, escriba
cmd y, a continuación, haga clic en Correcto. - Escriba los siguientes comandos y pulse Intro:
Fltmc unload vsepflt
Fltmc load vsepflt
- Compruebe que se ha generado el evento. En el SVA, desplácese hasta la siguiente ubicación y compruebe que existe un evento relacionado con el controlador detenido.
MA 5.9 y posteriores:
var/McAfee/Agent/AgentEvent
- Si el evento no está presente, asegúrese de que MA esté detenido. Para saber cómo utilizar los modificadores de la línea de comandos con MA, consulte
- A continuación, intente cargar y descargar de nuevo el controlador vsepflt. Si esos eventos no llegan a la carpeta de eventos de MA, solucione este problema. Consulte KB52707-McAfee Agent modificadores de línea de comandos.
- Active o desactive el registro de nivel de depuración en SVA. Para obtener más información, consulte KB87799-How to activar el registro de depuración para Move Agentless y para varias plataformas a través de la línea de comandos.
- Para volver a generar el evento, descargue y vuelva a cargar el
vsepflt controlador en la máquina virtual y, a continuación, recopile una Mer SVA. Para obtener más información, consulte KB80097-How to genera el archivo de Mer Agentless Move antivirus. - Desactive el registro de nivel de depuración en SVA.
- Si estos eventos llegan a la carpeta de eventos de MA, envíe el evento a ePO y, a continuación, reinicie MA e implemente la Directiva. En el símbolo del sistema, escriba lo siguiente:
sudo /opt/McAfee/cma/bin/cmdagent -P
NOTA: El evento ya no está presente en la carpeta de eventos de SVA.
- Verifique que el evento se notifique en el registro de eventos de amenazas de ePO. Esta acción confirma que el evento está llegando a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic Menú, Generación de informes, registro de eventos de amenazas. Se muestran los siguientes eventos para la máquina virtual:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- En la consola de ePO, verifique el estado de la
Agentless Anti-malware protección:- Inicie sesión en la consola de ePO.
- Haga clic en árbol de sistemas, vSphere grupoy, a continuación, localice la máquina virtual.
- Seleccione la máquina virtual y haga clic en ella para que aparezcan las propiedades del sistema.
- Haga clic en la pestaña Virtualización .
- Verifique el estado de la
Agentless Anti-malware protección.
- Inicie una sincronización manual del conector de nube para vSphere para ver si se completa correctamente:
- Inicie sesión en la consola de ePO y acceda a la cuenta de la nube registrada.
- Seleccione el nombre de la cuenta y haga clic en
Sync . - Compruebe el estado de la última sincronización.
- Determine si se ha generado el evento adecuado, pero no ha sido aprobado a la base de datos de ePO:
- Identifique el UUID de la máquina virtual y incorpore la instancia de SQL de la tabla de la base de datos
MOVEAGNTLSS_PROTECTIONSTATUS de ePO para el estado. - Localice la
PROTECTION_STATUS columna e identifique si aparece Seleccioneda o desactivada para dicha máquina virtual. - Desactive el registro de depuración para ePO Orion. log. Para obtener más información, consulte KB52369-How to activar registro de depuración y el tamaño del registro para Orion .log en ePolicy Orchestrator.
- Identifique el UUID de la máquina virtual y incorpore la instancia de SQL de la tabla de la base de datos
Si el problema sigue sin resolverse
Si tras seguir los pasos de solución de problemas indicados, el problema sigue sin resolverse, haga lo siguiente:
- Tenga en cuenta el resultado de cada paso de solución de problemas mencionado anteriormente como aprobado o error.
- Proporcione una copia del Orion .log con el registro de depuración activado.
- Póngase en contacto con Soporte técnico y proporcione este número de artículo (KB84669).
- Genere el archivo de
MOVE AntiVirus Agentless Mer (SVA). Consulte KB80097-cómo generar el archivo de Mer Agentless Move antivirus.
Importante: Se requieren los siguientes archivos para Soporte técnico:
- Archivos de Minimum Escalation Requirements (MER) para su producto específico. Para obtener información sobre cómo descargar el propio de los productos, consulte el KB59385-cómo usar herramientas de Mer con los productos compatibles.
- Otros archivos y registros que solicite Soporte técnico.
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Información relacionada
Eventos antivirus Agentless 3.x (Move agentless 3.x es el fin del ciclo de vida)
- Evento 34431 (protección de VM)
- Evento 34432 (máquina virtual no protegida
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: