Como solucionar problemas de máquinas virtuais quando o status da proteção do anti-malware é desativado ou desconhecido
Artigos técnicos ID:
KB84669
Última modificação: 2022-07-11 11:05:21 Etc/GMT
Última modificação: 2022-07-11 11:05:21 Etc/GMT
Ambiente
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Resumo
Detalhes do plano de fundo
Os eventos de status de proteção a seguir são enviados de:
Os eventos de status de proteção a seguir são enviados de:
- Uma máquina virtual (VM) para o appliance virtual de segurança (SVA)
- O SVA para o ePolicy Orchestrator (ePO), onde ele é colocado em uma tabela de banco de dados SQL
MOVE eventos sem agente 4.x de AV
EVENT 37086 (VM desprotegida)EVENT 37087
NOTA:Consulte também o seguinte artigo: KB77944-lista de IDs de evento para move sem agente e várias plataformas)
A partir dessa tabela, o conector de nuvem para vSphere lê o conteúdo e preenche a função de interface de usuário (UI) .The do ePO do conector de nuvem para vSphere aqui é apenas exibir o conteúdo da tabela para relatar o status de proteção das VMs.Há vários motivos pelos quais o status da proteção não é relatado corretamente. Devido aos diferentes componentes envolvidos nesse ambiente, é importante seguir um método de solução de problemas que faça o seguinte:
- Guia você através dos diferentes estágios envolvidos, para identificar corretamente onde está a causa do problema.
- Forneça a solução para superar o problema.
- MOVE AV agentless está configurado corretamente.
- MOVE política sem agente possui mecanismo de varredura de acesso (OAS) no momento da ativação.
- MOVE extensão do AV Agent sem agente está instalada no ePO.
- O serviço Analisador de eventos está em execução.
- O conector da nuvem para vSphere registro da conta foi concluído com êxito.
Para obter assistência, consulte os respectivos guias de produto na seção registrando contas na nuvem :
Para obter documentos do produto, vá para o portal de documentação do produto. - SVA e a VM são gerenciados pelo mesmo servidor ePO.
- VMware vCenter relata corretamente a presença do SVA para cada host.
- A VM está ligada. Quando a VM entra em estado de ociosidade, o driver é descarregado, o
vsepflt que pode contribuir para relatar o asAgentless anti malware protection Desativado. - Verifique se os eventos a seguir estão selecionados no ePO. Navegue até configurações do servidor, filtragem de eventose clique em Editar:
EVENT 37086 (VM protegida)EVENT 37087 (VM desprotegida)
Solução 1
Solução de problemas da VM
Inicie a solução de problemas a partir de uma VM que relate o status de proteção incorreto no ePO. Anote o nome da VM e o UUID (ID exclusivo) da VM na qual a solução de problemas é executada. Essas informações podem ser encontradas no ePO e vCenter.
Inicie a solução de problemas a partir de uma VM que relate o status de proteção incorreto no ePO. Anote o nome da VM e o UUID (ID exclusivo) da VM na qual a solução de problemas é executada. Essas informações podem ser encontradas no ePO e vCenter.
- Verifique se a VM está relatando as informações corretas do sistema para o ePO:
- Entre no console do ePO.
- Clique no Árvore de sistemas e abra o grupo vSphere e, em seguida, localize a VM.
- Para exibir as propriedades do sistema, clique na VM.
- Clique na guiavirtualização .
- Verifique se os detalhes da VM estão presentes e corretos.
- Verifique se as ferramentas VMware estão instaladas.
NOTA:A instalação de vmware ferramentas é um pré-requisito quando você usa o move AV agentless.
- Verifique usando o ePO:
No Árvore de sistemas do ePO, navegue até o grupo de vSphere, identifique o sistema e verifique se a ferramenta VMware está listada na coluna ferramenta VMware.
Se as ferramentas VMware estiverem instaladas, elas serão relatadas em execução.
- Verificar usando a VM:
Em Adicionar ou remover programas, verifique se a ferramenta VMware está listada. Se não estiver, download e instale oVMware Open Virtualization Format (OVF) pacote de software de: http://communities.VMware.com/Community/VMTN/Server/vSphere/automationtools/OVF.
- Verifique usando o ePO:
- Verifique se o
VMCI Driver está ativado.
A instalação das ferramentas VMware não instala automaticamente a interface(VMCI driver vsepflt.sys) de comunicação de máquina virtual. Assim, quando você instalar as ferramentas do VMware, selecione instalação personalizadae, noVMCI driver, selecione VShield drivers.
Para verificar se o driver(vsepflt.sys) da VShield está instalado, navegue até a seguinte pasta:C:\Windows\System32\drivers
- Ativar log de depuração para o ePO.
Antes de começar a solucionar o problema, se for necessária uma análise adicional, ative o registro em log de depuração para oOrion.log ePO no arquivo. Para saber como ativar o registro em log de depuração para a extensão do conector de nuvem, consulte KB90072-como ativar o registro em log de depuração para os conectores de Cloud Workload Security
- Verifique se o
VMCI Driver (vsepflt ) foi carregado corretamente:
NOTA:Quando você recarrega o driver de vShield, ele força os eventos a ser gerados. Esse teste pode ser usado para verificar a comunicação correta.
- Entre no Endpoint VM como administrador.
- Abra um prompt de comando, clique em Iniciar de de Executar, digite
cmd e clique em OK. - Para descarregar o driver
vsepflt , digite o comando a seguir e pressione Enter:
fltmc unload vsepflt
- Para carregar o
vsepflt Driver, digite o comando a seguir e pressione Enter:
fltmc load vsepflt
- Ressincronizar o SVA com o ePO.
Para que os comandos do MA coletem e enviem Propriedades do SVA para o servidor ePO, consulte Opções de linha de comando KB52707-McAfee Agent.
O sistema agora exibe o status daAnti-Malware proteção como NUM.
- Verifique se os eventos gerados acima estão alcançando o ePO:
- Entre no console do ePO.
- Clique em Menu de de Geração de relatórios, O log de eventos de ameaça e verificar se os eventos mencionados acima estão presentes.
- Verifique se você também está recebendo o endereço IP do sistema cliente nos logs de eventos de ameaça.
- Verifique se os eventos gerados acima alteraram o status de proteção da VM:
- Navegue até o nó no ePO.
- Selecione a guia virtualização e verifique o status da
Agentless Anti-malware proteção. - Verifique se o status mostra NUM.
- Verifique se o EICAR pode ser detectado na VM:
- Crie e teste a VM com um arquivo de teste EICAR. Para obter detalhes, consulte KB59742-como usar o arquivo de teste EICAR com produtos de McAfee.
- Entre no console do ePO.
- Clique em Menu de de Geração de relatórios de de Log de eventos de ameaça e verifique se o evento de ameaça está presente.
Solução 2
Solução de problemas do Security Virtual Appliance (SVA)
- Verifique se o SVA foi relatado corretamente no ePO e se ele está ativado:
- Entre no console do ePO.
- No Árvore de sistemas, selecione o vSphere host e verifique se o SVA associado é relatado.
- Confirme se o host está listado sob o tipo de sistema de coluna.
- No Árvore de sistemas, acesse as propriedades do sistema SVA e confirme se as propriedades do SVA estão relatadas corretamente.
- Na seção Resumo, verifique se o endereço IP correto está listado.
- Na seção Propriedades, verifique se todos os detalhes estão listados e se estão corretos.
- Verifique se o SVA foi relatado corretamente no vCenter:
- Entre em VMware vShield vCenter.
- No local Doméstica, clique em Host e Clusters.
- No painel esquerdo, selecione o host.
- No painel direito, clique na guia máquinas virtuais .
- Localize o SVA e verifique se o status na coluna Estado é exibido
Powered On .
- Verifique o registro do SVAS com seus respectivos hipervisores (no
VMware vCenter, SVAS estão listados navShield guia):- Entre no cliente do vSphere e vá para Início e selecione o
vShield ícone. Uma janela de logon é exibida. - Entre com suas credenciais para acessar o console do.
- No painel esquerdo, expanda
Datacenters . - Selecione o endereço
###.###.###.### IP do host. - No painel direito, a guia Resumo exibe e mostra detalhes de máquinas virtuais do serviço.
- Verifique se o SVA foi registrado corretamente.
Exemplo de detalhes que a seção de máquinas virtuais do serviço mostra:
Nome Tipo MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Entre no cliente do vSphere e vá para Início e selecione o
- Reinicie o move os serviços de SVA sem agente do AV:
- Entre no SVA com a conta raiz ou administrador.
- Em um prompt de comando, digite o seguinte:
Sudo service move restart
- Entre no console do ePO.
- Localize o SVA no Árvore de sistemas.
- Verifique as propriedades do sistema SVA e confirme se o SVA está se comunicando corretamente.
- Verifique se o status da VM foi alterado.
- Verifique se a data e a hora do SVA estão sendo sincronizadas com o ePO.
NOTA: Se o fuso horário do SVA e do ePO não estiver sincronizado, os eventos serão rejeitados e o banco de dados não será atualizado.
Para obter detalhes sobre como definir a hora no SVA, consulte "Configurando o SVA" no guia de produto do move AV sem agente para sua versão. Consulte a seção informações relacionadas abaixo para saber onde localizar a documentação do produto.
- Carregue e descarregue o driver e verifique se o evento relacionado está atingindo o SVA. Verifique em cada estágio se os eventos estão sendo transferidos:
- Interrompa o McAfee Agent no SVA. Para saber como usar as opções de linha de comando com o MA, consulte Opções de linha de comando KB52707-McAfee Agent.
- Na VM, descarregue e carregue o driver do VMCI (vsepflt), que gera os seguintes eventos:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Entre no Endpoint VM como administrador.
- Abra um prompt de comando, clique em Iniciar de de Executar, digite
cmd e clique em OK. - Digite os comandos a seguir e pressione Enter:
Fltmc unload vsepflt
Fltmc load vsepflt
- Verifique se o evento é gerado. No SVA, navegue até o local a seguir e verifique se um evento relacionado ao driver interrompido está presente.
MA 5.9 e versões posteriores:
var/McAfee/Agent/AgentEvent
- Se o evento não estiver presente, certifique-se de que o MA esteja interrompido. Para saber como usar as opções de linha de comando com o MA, consulte
- Em seguida, tente carregar e descarregar o driver vsepflt novamente. Se esses eventos não chegarem na pasta de eventos do MA, solucione esse problema. Consulte Opções de linha de comando KB52707-McAfee Agent.
- Ativar ou desativar o registro em log do nível de depuração no SVA. Para obter detalhes, consulte KB87799-como ativar o registro em log de depuração para move sem agente e multiplataforma por meio da linha de comando.
- Gere o evento novamente descarregando e recarregando o
vsepflt Driver na VM e, em seguida, colete um SVA Mer. Para obter detalhes, consulte KB80097-como gerar o MOVE AntiVirus arquivo do Mer Agent. - Desativar Registro em log do nível de depuração no SVA.
- Se esses eventos chegarem na pasta de eventos do MA, envie o evento para o ePO e reinicie o MA e imponha a política. No prompt de comando, digite o seguinte:
sudo /opt/McAfee/cma/bin/cmdagent -P
NOTA: O evento não está mais presente na pasta de eventos SVA.
- Verifique se o evento é relatado no log de eventos de ameaça do ePO. Essa ação confirma que o evento está alcançando o ePO:
- Entre no console do ePO.
- Clique em Menu, Relatório, registro de eventos de ameaça. Os eventos a seguir são mostrados para a VM:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- No console do ePO, verifique o status da
Agentless Anti-malware proteção:- Entre no console do ePO.
- Clique em árvore de sistemas, vSphere grupoe, em seguida, localize a VM.
- Selecione a VM e clique nela para abrir as propriedades do sistema.
- Clique na guia virtualização .
- Verifique o status da
Agentless Anti-malware proteção.
- Inicie uma sincronização manual do conector de nuvem para vSphere para ver se ela foi concluída com êxito:
- Entre no console do ePO e acesse a conta na nuvem registrada.
- Selecione o nome da conta e clique em
Sync . - Verifique o status da última sincronização.
- Determine se o evento apropriado foi gerado, mas não foi passado para o banco de dados do ePO:
- Identifique o UUID da VM e faça check-in na instância do SQL da tabela do banco de dados
MOVEAGNTLSS_PROTECTIONSTATUS do ePO para obter o status. - Localize a
PROTECTION_STATUS coluna e identifique se ela será mostrada ou desativada para essa VM. - Desativar log de depuração para o ePO Orion. log. Para obter detalhes, consulte KB52369-como ativar o registro em log de depuração e o tamanho do log para o Orion .log no ePolicy Orchestrator.
- Identifique o UUID da VM e faça check-in na instância do SQL da tabela do banco de dados
Se o problema permanecer não resolvido
Se, após seguir as etapas de solução de problemas acima, o problema permanecer Unsolved, faça o seguinte:
- Observe o resultado de cada etapa de solução de problemas mencionada acima como uma aprovação ou falha.
- Forneça uma cópia do Orion .log com registro em log de depuração ativado.
- Entre em contato com o Suporte técnico e forneça este número de artigo (KB84669).
- Gere o
MOVE AntiVirus Agentless MER arquivo (SVA). Consulte KB80097-como gerar o MOVE AntiVirus arquivo de Mer sem agentes.
Importante: Os arquivos a seguir são necessários paro Suporte técnico:
- arquivos do Minimum Escalation Requirements (MER) para seu produto específico. Para obter informações sobre como fazer download do MERs para cada produto, consulte KB59385-como usar as ferramentas do Mer com produtos compatíveis.
- Outros arquivos/registros, conforme solicitado pelo Suporte técnico.
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Informações relacionadas
Eventos sem agente 3.x AV (move sem agente 3.x está no fim da vida útil)
- Evento 34431 (protegido por VM)
- Evento 34432 (VM desprotegido
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: