Comment résoudre les problèmes liés aux machines virtuelles lorsque l’état de protection anti-malware est désactivé ou inconnu
Articles techniques ID:
KB84669
Date de la dernière modification : 2022-07-11 11:05:07 Etc/GMT
Date de la dernière modification : 2022-07-11 11:05:07 Etc/GMT
Environnement
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Synthèse
Informations de contexte
Les événements d’état de protection suivants sont envoyés à partir des deux éléments suivants :
Les événements d’état de protection suivants sont envoyés à partir des deux éléments suivants :
- Une machine virtuelle (VM) à l’appliance Secure Virtual Appliance (SVA)
- SVA à ePolicy Orchestrator (ePO), où il est placé dans une table de base de données SQL
MOVE les événements sans agent 4.x AV
EVENT 37086 (VM non protégée)EVENT 37087
REMARQUE : Consultez également l’article suivant : KB77944-list d’ID d’événement pour Move agent et multi-Platform)
Dans le tableau ci-dessous, le connecteur cloud pour vSphere lit le contenu et remplit le rôle d’interface .The utilisateur ePO du connecteur Cloud pour vSphere il s’agit uniquement d’afficher le contenu du tableau pour signaler l’état de protection des machines virtuelles.Plusieurs raisons peuvent expliquer que l’état de protection n’est pas correctement signalé. En raison des différents composants impliqués dans cet environnement, il est important de suivre une méthode de dépannage qui effectue les opérations suivantes :
- Vous guide tout au long des différentes étapes impliquées, afin d’identifier correctement la cause du problème.
- Fournissez la solution pour résoudre le problème.
- L’agent AV MOVE est configuré correctement.
- MOVE stratégie d’analyse à l’accès est activée analyseur (OAS).
- MOVE extension sans agent AV est installé dans ePO.
- Le service analyseur d’événements est en cours d’exécution.
- Le connecteur Cloud pour l’enregistrement de compte vSphere se termine correctement.
Pour obtenir de l’aide, reportez-vous aux guides produit correspondants dans la section enregistrement des comptes Cloud :
Pour les documents relatifs aux produits, accédez au portail de la documentation produit. - SVA et la machine virtuelle sont tous les deux managés par le même serveur ePO.
- VMware vCenter signale correctement la présence SVA pour chaque hôte.
- La machine virtuelle est activée. Lorsque la machine virtuelle passe à l’état inactif, le
vsepflt pilote est déchargé, ce qui peut contribuer à laAgentless anti malware protection génération de rapports en tant que Désactivée. - Assurez-vous que les événements suivants sont sélectionnés dans ePO. Accédez à paramètres serveur, filtrage d’événements, puis Cliquez sur modifier:
EVENT 37086 (Protection de la machine virtuelle)EVENT 37087 (VM non protégée)
Solution 1
Dépannage de la VM
Démarrez le dépannage à partir d’une machine virtuelle qui signale l’état de protection incorrect dans ePO. Notez le nom de la VM et l’UUID (ID unique) de la machine virtuelle sur laquelle la résolution des problèmes est effectuée. Vous pouvez trouver ces informations dans ePO et vCenter.
Démarrez le dépannage à partir d’une machine virtuelle qui signale l’état de protection incorrect dans ePO. Notez le nom de la VM et l’UUID (ID unique) de la machine virtuelle sur laquelle la résolution des problèmes est effectuée. Vous pouvez trouver ces informations dans ePO et vCenter.
- Vérifiez que la machine virtuelle signale les informations système correctes à ePO :
- Connectez-vous à la console ePO.
- Cliquez sur l’Arborescence des systèmes et ouvrez le groupe vSphere, puis recherchez la VM.
- Pour afficher les propriétés du système, cliquez sur la machine virtuelle.
- Cliquez sur l' ongletvirtualisation .
- Vérifiez que les détails de la machine virtuelle sont disponibles et corrects.
- Vérifiez que les outils VMware sont installés.
REMARQUE : L’installation de VMware Tools est requise lorsque vous utilisez Move sans agent av.
- Vérifier à l’aide d’ePO :
Dans l'Arborescence des systèmes ePO, accédez au groupe vSphere, identifiez le système et vérifiez que l’outil VMware est répertorié dans la colonne VMware Tool.
Si les outils VMware sont installés, il indique qu’il est en cours d’exécution.
- Vérifier à l’aide de VM :
Dans Ajout/suppression de programmes, vérifiez que VMware outil figure dans la liste. Si ce n’est pas le cas, téléchargez et installez le logiciel package à partir de l'VMware Open Virtualization Format (OVF) adresse : http://Communities.VMware.com/Community/VMTN/Server/vSphere/automationtools/OVF.
- Vérifier à l’aide d’ePO :
- Vérifiez que le
VMCI pilote est activé.
L’installation de VMware Tools n’installe pas automatiquement l’interface(VMCI driver vsepflt.sys) de communication de la machine virtuelle. Ainsi, lorsque vous installez les outils VMware, sélectionnez configuration personnaliséeet, sous leVMCI pilote, sélectionnez VShield pilotes.
Pour vérifier que le pilote(vsepflt.sys) VShield est installé, accédez au dossier suivant :C:\Windows\System32\drivers
- Cliquez sur la journalisation de débogage pour ePO.
Avant de commencer le dépannage, si une analyse supplémentaire est nécessaire, activez la journalisation de débogage pour ePO dans leOrion.log fichier. Pour savoir comment activer la journalisation de débogage pour le connecteur cloud extension, reportez-vous à la section KB90072-procédure d’activation de la journalisation de débogage pour les connecteurs Cloud Workload Security
- Vérifiez que le
VMCI pilote (vsepflt ) est chargé correctement :
REMARQUE : Lorsque vous rechargez le pilote vShield, il force la génération des événements. Ce test peut être utilisé pour vérifier la bonne communication.
- Connectez-vous à la machine virtuelle Endpoint en tant qu’administrateur.
- Ouvrez une invite de commande, puis cliquez sur Démarrer, Exécuter, tapez
cmd , puis cliquez sur OK. - Pour décharger le pilote
vsepflt , saisissez la commande suivante, puis appuyez sur ENTREE :
fltmc unload vsepflt
- Pour charger le
vsepflt pilote, saisissez la commande suivante, puis appuyez sur ENTREE :
fltmc load vsepflt
- Resynchronisez SVA avec ePO.
Pour que les commandes MA collectent et envoient des propriétés de SVA au serveur ePO, reportez-vous à la section KB52707-McAfee Agent commutateurs de ligne de commande.
Le système affiche désormais l'Anti-Malware État de protection comme Actif.
- Vérifiez si les événements générés ci-dessus atteignent ePO :
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération de rapports, Le Journal des événements de menace et vérifiez que les événements mentionnés ci-dessus sont présent.
- Vérifiez que vous avez également obtenu l’adresse IP du système client dans les journaux des événements de menace.
- Vérifiez si les événements générés ci-dessus ont modifié l’état de protection de la machine virtuelle :
- Accédez au nœud dans ePO.
- Sélectionnez l’onglet virtualisation , puis vérifiez l’état de la
Agentless Anti-malware protection. - Vérifiez que l’état indique Actif.
- Vérifiez que le fichier EICAR peut être détecté dans la machine virtuelle :
- Créez et testez la machine virtuelle à l’aide d’un fichier de test EICAR. Pour plus d’informations, voir KB59742-utilisation du fichier de test EICAR avec les produits McAfee.
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération de rapports, Journal des événements de menace et vérifiez que l’événement de menace est présent.
Solution 2
Dépannage de l’appliance Secure Virtual Appliance (SVA)
- Vérifiez que le SVA est correctement signalé dans ePO et qu’il est activé :
- Connectez-vous à la console ePO.
- Dans la Arborescence des systèmes, sélectionnez l’hôte vSphere et vérifiez que la SVA associée est signalée.
- Vérifiez que l' hôte figure sous le type de système de colonne.
- Dans la Arborescence des systèmes, accédez aux propriétés du système SVA et vérifiez que les propriétés SVA sont correctement signalées.
- Dans la section synthèse, vérifiez que l’adresse IP correcte est répertoriée.
- Dans la section Propriétés, vérifiez que tous les détails sont répertoriés et corrects.
- Vérifiez que la SVA est correctement signalée dans le vCenter:
- Connectez-vous à VMware vShield vCenter.
- Dans l’emplacement du Domestique, cliquez sur Hôte et Clusters.
- Dans le volet de gauche, sélectionnez l’hôte.
- Dans le volet de droite, cliquez sur l’onglet ordinateurs virtuels .
- Localisez votre SVA et vérifiez que le statut dans la colonne Etat s’affiche
Powered On .
- Vérifiez l' enregistrement de SVAs avec leurs hyperviseurs respectifs (dans
VMware vCenter, le cas de la listevShield de l’onglet) :- Connectez-vous au client vSphere, puis accédez à Domicile et sélectionnez l'
vShield icône. Une fenêtre de connexion s’affiche. - Connectez-vous à l’aide de vos informations d’identification pour accéder à la console.
- Dans le volet gauche, développez
Datacenters . - Sélectionnez l’adresse
###.###.###.### IP de l’hôte. - Dans le volet de droite, l’onglet synthèse affiche et affiche les détails des machines virtuelles de service.
- Vérifiez que le SVA a été enregistré correctement.
Exemple de détails que la section service Virtual Machines affiche :
Nom Type MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Connectez-vous au client vSphere, puis accédez à Domicile et sélectionnez l'
- Redémarrez les services SVA de l’agent AV Move :
- Connectez-vous au SVA à l’aide du compte racine ou administrateur.
- A l’invite de commande, saisissez ce qui suit :
Sudo service move restart
- Connectez-vous à la console ePO.
- Recherchez le SVA dans l'Arborescence des systèmes.
- Vérifiez les propriétés du système SVA et assurez-vous que le SVA communique correctement.
- Vérifiez que l’état de la machine virtuelle a été modifié.
- Vérifiez que la date et l’heure SVA sont synchronisées avec ePO.
REMARQUE : Si le fuseau horaire SVA et ePO ne sont pas synchronisés, les événements sont rejetés et la base de données n’est pas mise à jour.
Pour plus d’informations sur la définition de l’heure dans SVA, reportez-vous à la section "configuration de SVA" dans le Guide produit Move antivirus sans agent correspondant à votre version. Reportez-vous à la section informations connexes ci-dessous pour savoir où trouver la documentation produit.
- Chargez et déchargez le pilote et vérifiez que l’événement associé atteint le SVA. Vérifiez à chaque étape à laquelle les événements sont transférés :
- Arrêtez le McAfee Agent sur le SVA. Pour savoir comment utiliser les commutateurs de ligne de commande avec MA, reportez-vous aux commutateurs de ligne de commande KB52707-McAfee Agent.
- Sur la machine virtuelle, déchargez et chargez le pilote VMCI (vsepflt), qui génère les événements suivants :
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Connectez-vous à la machine virtuelle Endpoint en tant qu’administrateur.
- Ouvrez une invite de commande, puis cliquez sur Démarrer, Exécuter, tapez
cmd , puis cliquez sur OK. - Saisissez les commandes suivantes et appuyez sur ENTREE :
Fltmc unload vsepflt
Fltmc load vsepflt
- Vérifiez que l’événement est généré. A l’SVA, accédez à l’emplacement suivant et vérifiez qu’un événement lié au pilote arrêté est présent.
MA 5.9 et versions ultérieures :
var/McAfee/Agent/AgentEvent
- Si l’événement n’est pas présent, assurez-vous que MA est arrêté. Pour savoir comment utiliser les commutateurs de ligne de commande avec MA, reportez-vous à la section
- Ensuite, essayez de charger et de décharger à nouveau le pilote vsepflt. Si ces événements n’arrivent pas dans le dossier de l’événement MA, corrigez ce problème. Voir KB52707-McAfee Agent des commutateurs de ligne de commande.
- Cliquez sur ou désactivez la journalisation de niveau débogage à la SVA. Pour plus d’informations, reportez -vous à la section KB87799-comment activer la journalisation de débogage pour Move agent et multi-Platform via la ligne de commande.
- Générez à nouveau l’événement en déchargeant et en rechargeant le
vsepflt pilote sur la machine virtuelle, puis collectez un mer SVA. Pour plus d’informations, voir KB80097-comment générer le fichier mer sans agent Move antivirus. - Désactivez la journalisation de niveau débogage à la SVA.
- Si ces événements arrivent dans le dossier de l’événement MA, envoyez l’événement à ePO, puis redémarrez MA et mettez en œuvre la stratégie. A l’invite de commande, tapez ce qui suit :
sudo /opt/McAfee/cma/bin/cmdagent -P
REMARQUE : L’événement n’est plus présent dans le dossier d’événement SVA.
- Vérifiez que l’événement est consigné dans le journal des événements de menace d’ePO. Cette action confirme que l’événement atteint ePO :
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération de rapports, Journal des événements de menace. Les événements suivants sont affichés pour la machine virtuelle :
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Dans la console ePO, vérifiez l’état de la
Agentless Anti-malware protection :- Connectez-vous à la console ePO.
- Cliquez sur arborescence des systèmes, vSphere groupe, puis recherchez la VM.
- Sélectionnez la machine virtuelle et cliquez dessus pour afficher les propriétés du système.
- Cliquez sur l’onglet virtualisation .
- Vérifiez l’état de
Agentless Anti-malware protection.
- Lancez une synchronisation manuelle du connecteur Cloud pour vSphere pour voir s’il se termine correctement :
- Connectez-vous à la console ePO et accédez au compte cloud enregistré.
- Sélectionnez le nom du compte et cliquez sur
Sync . - Vérifiez l’état de la dernière synchronisation.
- Déterminez si l’événement approprié a été généré, mais pas transmis à la base de données ePO :
- Identifiez l’UUID de l’ordinateur virtuel et archivez le instance SQL de la table de base de données
MOVEAGNTLSS_PROTECTIONSTATUS ePO pour connaître son état. - Localisez la colonne et identifiez-la
PROTECTION_STATUS si elle est activée ou désactivée pour cette VM. - Désactivez la journalisation de débogage pour ePO Orion. log. Pour plus d’informations, voir KB52369-comment activer la journalisation de débogage et la taille du journal pour Orion .log dans ePolicy Orchestrator.
- Identifiez l’UUID de l’ordinateur virtuel et archivez le instance SQL de la table de base de données
Si le problème persiste
Si, après avoir suivi les étapes de dépannage ci-dessus, le problème n’est pas résolu, procédez comme suit :
- Notez le résultat de chaque étape de dépannage mentionnée ci-dessus en réussite ou en échec.
- Fournissez une copie de l’Orion .log dans laquelle la journalisation de débogage est activée.
- Contactez Support technique et indiquez le numéro de cet article (KB84669).
- Générez le
MOVE AntiVirus Agentless fichier mer (SVA). Reportez -vous à la section KB80097-comment générer le fichier mer sans agent Move antivirus.
Important : Les fichiers suivants sont requis pour Support technique :
- Fichiers Minimum Escalation Requirements (MER) pour votre produit spécifique. Pour plus d’informations sur le téléchargement du l’article kb59385 pour chaque produit, reportez-vous à la section -How to use mer Tools with Supported Products.
- Autres fichiers et journaux demandés par le Support technique.
Pour contacter Support technique, accédez à la page créer une demande de service et connectez-vous au ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Informations connexes
Evénements sans agent 3.x AV (Move l’agent 3.x est en fin de vie)
- Événement 34431 (protection de la machine virtuelle)
- Evénement 34432 (VM non protégée
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :