本文介绍几种用于监控 TIE 服务器部署的选项。
注意:从 TIE 服务器版本 2.1.0 ,主设备和从属操作的命名约定更改为主和辅助操作。例如:
主版成为 主
从属服务器成为 辅助服务器
以前版本的 TIE 服务器保持使用最初的主/从名称。 ePolicy Orchestrator - TIE 服务器运行状况的自动响应从 TIE 服务器 1.3.0 开始,您可以使用 ePolicy Orchestrator (ePO) 服务器事件来创建 ePO 自动响应,其中包括电子邮件通知以及其他可能的操作。
有一个名为
TIE 服务器监控的 ePO 服务器任务会每小时运行一次,并且当无法连接 TIE 服务器实例或这些实例的运行状况 API 没有响应时,它会创建事件。 当收到事件时,您必须创建匹配的 ePO 自动响应来进行应对。 生成的事件 ID 范围为 37175-37179。 每个 ID 都与给定的 TIE 服务器操作模式匹配,以便更好地进行故障排除。 依次单击
菜单、
自动响应、
New Response(新建响应)以创建自动响应。 将
事件类型设置为
服务器,按
事件 ID 等于 TIE 服务器范围
37175-37179 进行过滤,并选择
发送电子邮件操作。
注意:必须依次单击“菜单”、“服务器设置”和“邮件服务器”配置电子邮件帐户,以接收与自动响应有关的电子邮件。
ePO - 设备树中的产品信息:ePO 为 TIE 提供自定义的产品属性,包括有关 Advanced Threat Defense (ATD) 和 Global Threat Intelligence (GTI) 集成的相关指标。 您可以依次单击
系统树、
TIE 服务器装置的系统名称、
产品和
McAfee Threat Intelligence Exchange 服务器来查找这些指标。 以下屏幕截图显示了一个输出示例:
ePO - Data Exchange Layer 结构拓扑页面:
此页面自 Data Exchange Layer (DXL) 1.1 起开始提供,依次单击菜单、配置、服务器设置和 DXL 拓扑可找到此页面。 DXL 结构拓扑页面显示有关 DXL 属性、桥和服务的信息。 每个 DXL 代理还会显示 DXL 服务每秒处理的消息数。 以下屏幕截图显示了 TIE 服务的注册信息输出示例:
ePO Web API:
DXL 代理提供 ePO Web API 来报告连接的客户端数量。 任何监控解决方案都可以重复使用 ePO Web API 来在一段时间内监控服务及其运行状况,以便确定问题。 自 DXL 2.0 起,可以使用以下监控远程命令:
- dxl.broker.queryRegisteredServices:返回 DXL 已注册服务的列表
- dxl.client.fabricHeath.fabricHealthCommand:检索代理运行状况信息
运行状况功能从 TIE 服务器 2.0.0 开始,可以在
TIE 服务器拓扑页面上找到每个服务器的总体运行状况。 导航到
菜单、
配置、
服务器设置,然后选择
TIE 服务器拓扑管理部分。 您可以在这里查看每个 TIE 服务器实例的 DXL、ATD 和 GTI 连接状态。 此外,您还可以查看每个 TIE 服务器中的数据库版本是否兼容,以及安装的扩展版本与服务器扩展版本是否匹配。 对于从属服务器,您还可以查看数据库复制状态。
示例:
SAR 功能从 TIE 服务器 2.0.0 开始,系统会在装置上安装
sysstat 包,从而使
sar 命令可供使用。
MER 工具会将所有 sar 日志复制到
logs/sys/sar。 借助 sar 命令的本地副本或
sadf,可以使用这些文件执行多个查询。 要对此进行进一步简化,可以使用 ksar 工具生成
logs/sys/sar/ksar.txt 文件。