Come risolvere i problemi delle macchine virtuali quando lo stato di protezione antimalware è disattivato o sconosciuto
Articoli tecnici ID:
KB84669
Ultima modifica: 2022-07-11 11:05:02 Etc/GMT
Ultima modifica: 2022-07-11 11:05:02 Etc/GMT
Ambiente
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Riepilogo
Dettagli di sfondo
I seguenti eventi di stato di protezione vengono inviati da entrambi:
I seguenti eventi di stato di protezione vengono inviati da entrambi:
- Una macchina virtuale (VM) per la Security Virtual Appliance (SVA)
- SVA to ePolicy Orchestrator (ePO), dove viene inserito in una tabella di database SQL
Eventi MOVE AV senza Agent 4.x
EVENT 37086 (VM non protetta)EVENT 37087
NOTA:Vedi anche il seguente articolo: KB77944-elenco di ID evento per Move senza Agent e Multi-Platform)
Da tale tabella, il connettore cloud per vSphere legge il contenuto e compila il ruolo dell'interfaccia utente di ePO (UI) .The del connettore di cloud per vSphere qui è solo per visualizzare il contenuto della tabella per segnalare lo stato di protezione delle macchine virtuali.Esistono diversi motivi per cui lo stato di protezione non viene segnalato correttamente. A causa dei diversi componenti coinvolti in questo ambiente, è importante seguire un metodo di risoluzione dei problemi che esegue le operazioni riportate di seguito:
- Guida l'utente attraverso le varie fasi coinvolte, per identificare correttamente la causa del problema.
- Fornire la soluzione per risolvere il problema.
- MOVE AV Agent non è configurato correttamente.
- MOVE policy senza Agent ha attivato il programma di scansione all'accesso (OAS).
- MOVE estensione AV senza Agent viene installata in ePO.
- L'evento parser servizio è in esecuzione.
- La registrazione dell'account di Cloud Connector per vSphere è stata completata correttamente.
Per assistenza, consultare le rispettive guide di prodotto nella sezione registrazione cloud account :
Per i documenti del prodotto, accedere al portale della documentazione del prodotto. - SVA e VM sono entrambi gestiti dallo stesso server ePO.
- VMware vCenter segnala correttamente la presenza di SVA per ogni host.
- La macchina virtuale è attivata. Quando la VM passa a uno stato di inattività, il driver viene scaricato, il
vsepflt che può contribuire a segnalare l'Agentless anti malware protection As Non attivo. - Assicurarsi che i seguenti eventi siano selezionati in ePO. Passare alle impostazioni del server, al filtraggio degli eventie quindi fare clic su modifica:
EVENT 37086 (VM protetta)EVENT 37087 (VM non protetta)
Soluzione 1
Risoluzione dei problemi della macchina virtuale
Avviare la risoluzione dei problemi da una VM che segnala lo stato di protezione errato in ePO. Prendere nota del nome della VM e dell'UUID (ID univoco) della VM in cui viene eseguita la risoluzione dei problemi. Queste informazioni possono essere trovate in ePO e vCenter.
Avviare la risoluzione dei problemi da una VM che segnala lo stato di protezione errato in ePO. Prendere nota del nome della VM e dell'UUID (ID univoco) della VM in cui viene eseguita la risoluzione dei problemi. Queste informazioni possono essere trovate in ePO e vCenter.
- Verificare che la VM stia segnalando le informazioni di sistema corrette a ePO:
- Accedere alla console di ePO.
- Fare clic sul Struttura dei sistemi e aprire il gruppo vSphere, quindi individuare la VM.
- Per visualizzare le proprietà del sistema, fare clic sulla VM.
- Fare clic sulla schedavirtualizzazione .
- Verificare che i dettagli della VM siano presenti e corretti.
- Verificare che siano installati gli strumenti di VMware.
NOTA:L'installazione degli strumenti di VMware è un prerequisito quando si utilizza Move AV Agent.
- Verifica mediante ePO:
Nel Struttura dei sistemi ePO, passare al gruppo vSphere, identificare il sistema e verificare che lo strumento VMware sia elencato nella colonna degli strumenti di VMware.
Se gli strumenti di VMware sono installati, segnala l' esecuzione.
- Verifica utilizzando VM:
In Installazione applicazioni, verificare che VMware strumento sia elencato. In caso contrario, download e installare ilVMware Open Virtualization Format (OVF) pacchetto software da: http://communities.VMware.com/community/VMTN/server/vSphere/automationtools/OVF.
- Verifica mediante ePO:
- Verificare che il
VMCI driver sia attivato.
L'installazione degli strumenti di VMware non installa automaticamente l'interfaccia(VMCI driver vsepflt.sys) di comunicazione della macchina virtuale. Pertanto, quando si installano gli strumenti di VMware, selezionare installazione personalizzatae, sotto ilVMCI driver, selezionare vShield driver.
Per verificare che il driver(vsepflt.sys) vShield sia installato, passare alla cartella seguente:C:\Windows\System32\drivers
- Attivare la registrazione di debug per ePO.
Prima di iniziare a risolvere i problemi, se è necessaria un'ulteriore analisi, attivare laOrion.log registrazione di debug per ePO nel file. Per informazioni su come attivare la registrazione di debug per l'estensione cloud Connector, consultare KB90072-come attivare la registrazione di debug per i connettori di cloud workload Security
- Verificare che il
VMCI driver (vsepflt ) sia caricato correttamente:
NOTA:Quando si ricarica il driver vShield, viene forzato a generare gli eventi. Questo test può essere utilizzato per verificare la corretta comunicazione.
- Accedere all'endpoint VM come amministratore.
- Aprire un prompt dei comandi, fare clic su Avvia , Esegui, digitare
cmd , quindi fare clic su OK. - Per scaricare il driver
vsepflt , digitare il comando seguente e premere INVIO:
fltmc unload vsepflt
- Per caricare il
vsepflt driver, digitare il comando seguente e premere INVIO:
fltmc load vsepflt
- Risincronizzare la SVA con ePO.
Per i comandi MA per la raccolta e l'invio di proprietà da SVA al server ePO, consultare le Opzioni della riga di comando di KB52707-McAfee Agent.
Il sistema ora Visualizza lo stato dellaantimalware protezione come SU.
- Verificare se gli eventi generati in precedenza raggiungono ePO:
- Accedere alla console di ePO.
- Fare clic su Menu , Reportistica, Registro eventi di minaccia e verifica se sono presenti gli eventi sopra citati.
- Verificare che l'indirizzo IP del sistema client venga trovato anche nei registri degli eventi di minaccia.
- Verificare se gli eventi generati sopra hanno modificato lo stato di protezione della macchina virtuale:
- Passare al nodo in ePO.
- Selezionare la scheda virtualizzazione , quindi verificare lo stato della
Agentless antimalware protezione. - Verificare che lo stato indichi SU.
- Verificare che EICAR possa essere rilevato nella macchina virtuale:
- Creare e testare la VM con un file di test EICAR. Per informazioni dettagliate, consultare KB59742-come utilizzare il file di test EICAR con McAfee prodotti.
- Accedere alla console di ePO.
- Fare clic su Menu , Reportistica , Registro eventi di minaccia e verificare che l'evento di minaccia sia presente.
Soluzione 2
Risoluzione dei problemi relativi a Security Virtual Appliance (SVA)
- Verificare che la SVA sia segnalata correttamente in ePO e che sia attivata:
- Accedere alla console di ePO.
- Dalla Struttura dei sistemi, selezionare il vSphere host e verificare se viene segnalata la SVA associata.
- Verificare che l' host sia elencato nel tipo di sistema di colonna.
- Dalla Struttura dei sistemi, accedere alle proprietà del sistema SVA e verificare che le proprietà SVA siano segnalate correttamente.
- Nella sezione Riepilogo, verificare che sia elencato l'indirizzo IP corretto.
- Nella sezione proprietà, verificare che tutti i dettagli siano elencati e siano corretti.
- Verificare che la SVA sia segnalata correttamente nel vCenter:
- Accedere a VMware vShield vCenter.
- Nella posizione Domestica, fare clic su Host e Cluster.
- Nel riquadro a sinistra, selezionare il host.
- Nel riquadro a destra, fare clic sulla scheda macchine virtuali .
- Individuare la SVA e verificare che lo stato nella colonna stato sia visualizzato
Powered On .
- Verificare la registrazione di SVAs con i rispettivi hypervisor (nel
VMware vCenter, SVAs sono elencati nellavShield scheda):- Accedere al client vSphere, quindi accedere a Home page e selezionare l'
vShield icona. Viene visualizzata una finestra di accesso. - Accedere con le credenziali per accedere alla console.
- Nel riquadro a sinistra, espandere
Datacenters . - Selezionare l'indirizzo
###.###.###.### IP del host. - Nel riquadro a destra, la scheda Riepilogo Visualizza e Mostra i dettagli delle macchine virtuali del servizio.
- Verificare che la SVA sia stata registrata correttamente.
Esempio di dettagli che la sezione macchine virtuali del servizio Mostra:
Nome Tipo MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Accedere al client vSphere, quindi accedere a Home page e selezionare l'
- Riavviare i servizi Move AV Agent SVA:
- Accedere a SVA con l'account root o Administrator.
- Al prompt dei comandi, digitare quanto segue:
Sudo service move restart
- Accedere alla console di ePO.
- Individuare la SVA nel Struttura dei sistemi.
- Verificare le proprietà del sistema SVA e verificare che la SVA stia comunicando correttamente.
- Verificare se lo stato della VM è stato modificato.
- Verificare che la data e l'ora di SVA siano in sincronia con ePO.
NOTA: Se il fuso orario SVA e ePO non è sincronizzato, gli eventi vengono rifiutati e il database non viene aggiornato.
Per informazioni dettagliate su come impostare l'ora in SVA, consultare "configurazione di SVA" nella guida del prodotto Move AV Agent per la versione in uso. Per individuare la documentazione del prodotto, consultare la sezione informazioni correlate riportata di seguito.
- Caricare e scaricare il driver e verificare che l'evento correlato raggiunga la SVA. Verificare in ogni fase che gli eventi vengono trasferiti:
- Arrestare il McAfee Agent sulla SVA. Per informazioni su come utilizzare gli switch della riga di comando con MA, consultare KB52707-McAfee Agent opzioni della riga di comando.
- Nella VM, scaricare e caricare il driver VMCI (VSEPFLT), che genera i seguenti eventi:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Accedere all'endpoint VM come amministratore.
- Aprire un prompt dei comandi, fare clic su Avvia , Esegui, digitare
cmd , quindi fare clic su OK. - Digitare i comandi seguenti e premere INVIO:
Fltmc unload vsepflt
Fltmc load vsepflt
- Verificare che l'evento venga generato. Al SVA, passare al percorso seguente e verificare che sia presente un evento correlato al driver arrestato.
MA 5.9 e versioni successive:
var/McAfee/Agent/AgentEvent
- Se l'evento non è presente, verificare che MA sia interrotto. Per informazioni su come utilizzare gli switch della riga di comando con MA, consultare
- Quindi provare a caricare e scaricare nuovamente il driver VSEPFLT. Se tali eventi non arrivano nella cartella dell'evento MA, risolvere il problema. Per ulteriori informazioni, consultare le Opzioni della riga di comando di KB52707-McAfee Agent.
- Attivare o disattivare la registrazione del livello di debug in SVA. Per informazioni dettagliate, consultare KB87799-come attivare la registrazione di debug per Move senza Agent e multi-platform tramite la riga di comando.
- Generare nuovamente l'evento scaricando e ricaricando il
vsepflt driver nella macchina virtuale, quindi raccogliere una SVA Mer. Per informazioni dettagliate, consultare KB80097-come generare il Move Antivirus file Mer senza Agent. - Disattiva la registrazione del livello di debug in SVA.
- Se tali eventi arrivano nella cartella eventi MA, inviare l'evento a ePO, quindi riavviare MA e imporre il policy. Al prompt dei comandi, digitare quanto segue:
sudo /opt/McAfee/cma/bin/cmdagent -P
NOTA: L'evento non è più presente nella cartella dell'evento SVA.
- Verificare che l'evento sia stato segnalato nel registro eventi di minaccia ePO. Questa azione conferma che l'evento sta raggiungendo ePO:
- Accedere alla console di ePO.
- Fare clic su Menu, Reportistica, registro eventi di minaccia. Per la macchina virtuale vengono visualizzati i seguenti eventi:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Nella console ePO, verificare lo stato della
Agentless antimalware protezione:- Accedere alla console di ePO.
- Fare clic su struttura dei sistemi, vSphere gruppo, quindi individuare la VM.
- Selezionare la macchina virtuale e fare clic su di essa per visualizzare le proprietà del sistema.
- Fare clic sulla scheda virtualizzazione .
- Verificare lo stato di
Agentless antimalware protezione.
- Avviare una sincronizzazione manuale del connettore Cloud per vSphere per verificare se il completamento è stato eseguito correttamente:
- Accedere alla console ePO e accedere all'account cloud registrato.
- Selezionare il nome dell'account e fare clic su
Sync . - Verificare l'ultimo stato di sincronizzazione.
- Determinare se è stato generato l'evento appropriato, ma non viene passato al database ePO:
- Identifica l'UUID della VM e archivia l'istanza SQL della tabella del database
MOVEAGNTLSS_PROTECTIONSTATUS ePO per lo stato. - Individuare la
PROTECTION_STATUS colonna e identificarla se viene visualizzata odisattivata per tale VM. - Disattiva la registrazione di debug per ePO Orion. log. Per informazioni dettagliate, consultare KB52369-come attivare la registrazione di debug e la dimensione del registro per Orion .log in ePolicy Orchestrator.
- Identifica l'UUID della VM e archivia l'istanza SQL della tabella del database
Se il problema rimane irrisolto
Se dopo aver seguito la procedura di risoluzione dei problemi descritta sopra il problema rimane irrisolto, procedere come segue:
- Si noti il risultato di ogni passaggio di risoluzione dei problemi menzionato sopra come passaggio o esito non riuscito.
- Fornire una copia di Orion .log con la registrazione di debug attivata.
- Contattare Assistenza tecnica e fornire questo numero di articolo (KB84669).
- Genera il
MOVE AntiVirus Agentless file Mer (SVA). Vedi KB80097-come generare il Move Antivirus file Mer senza Agent.
Importante: Per Assistenza tecnica sono necessari i seguenti file:
- File Minimum Escalation Requirements (MER) per il prodotto specifico. Per informazioni sul download di MERs per ogni prodotto, consultare l'articolo kb59385-come utilizzare gli strumenti Mer con i prodotti supportati.
- Altri file e registri richiesti dall'assistenza tecnica.
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Informazioni correlate
Eventi AV senza Agent 3.x (Move Agent non è più attivo 3.x )
- Evento 34431 (VM Protected)
- Evento 34432 (VM non protetta
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: