Schritte zur minimalen Datenerfassung für Endpoint Security-Probleme
Technische Artikel ID:
KB86691
Zuletzt geändert am: 26.05.2021
Zuletzt geändert am: 26.05.2021
Umgebung
McAfee Endpoint Security (ENS) Adaptiver Bedrohungsschutz (ATP) 10.x
McAfee ENS Firewall 10.x
McAfee ENS Platform 10.x
McAfee ENS-Bedrohungsschutz 10.x
McAfee ENS-Webkontrolle 10.x
McAfee ENS Firewall 10.x
McAfee ENS Platform 10.x
McAfee ENS-Bedrohungsschutz 10.x
McAfee ENS-Webkontrolle 10.x
Zusammenfassung
Dieser Artikel enthält grundlegende Informationen über die Schritte für die minimale Datenerfassung bei der Behebung allgemeiner ENS-Probleme.
Stellen Sie sicher, dass alle Protokolle vom gleichen System erfasst werden, auf dem das Problem auftritt, und dass alle Protokolle zur selben Zeit erfasst werden. Die Zeitstempel der Protokollierungsdaten können zur Behebung des Problems verwendet werden.
Nicht übereinstimmende Protokolle von verschiedenen Systemen oder zu unterschiedlichen Zeitpunkten erfasste Protokolle können nicht zur Fehlerbehebung verwendet werden. Solche Protokolle können dazu führen, dass alle Protokolle zur minimalen Datenerfassung erneut erfasst werden müssen.
Je nach Problem sind möglicherweise die folgenden Tools erforderlich:
So verwenden SieAMTrace , um Protokollierungsdaten von AMCore zu erfassen:
AMTrace ausgeführt wird, führen Sie den folgenden Befehl aus, um alle aktiven Verfolgungen aufzulisten:
AMTrace -q
Eine Demonstration zum Erfassen vonAMTrace -Daten mit diesem Verfahren erhalten Sie im folgenden Video:
Zurück zum Anfang
So verwenden Sie Windows Performance Recorder (WPR):
Ausführen vonwprui.exe :
Eine Demonstration zum Erfassen von WPR-Daten mit diesem Verfahren erhalten Sie im folgenden Video:
Zurück zum Anfang
So verwenden Sie Process Monitor:
Eine Demonstration zum Erfassen von Process Monitor-Daten mit diesem Verfahren erhalten Sie im folgenden Video:
Anweisungen hierzu finden Sie unter KB91797 – Aktivieren der Debug-Protokollierung zur Fehlerbehebung von Endpoint Security-Problemen.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden Symptome auftreten:
AMTrace und Process Monitor:
AMTrace und Process Monitor:
AMTrace :
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden Symptome auftreten:
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden Symptome auftreten:
Führen Sie die Schritte in diesem Abschnitt aus, wenn ein Kernel-Speicherverlust im Zusammenhang mit einem McAfee-Prozess vermutet wird.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die Symptome Device Guard oder Credential Guard betreffen.
Führen Sie die Schritte zur Datenerfassung in diesem Abschnitt aus, wenn eine oder mehrere Komponenten von ENS nicht installiert werden können.
HINWEIS: Stellen Sie sicher, dass Sie die Daten während einer lokalen Installation von ENS erfassen. Führen Sie die Fehlerbehebung für jedes Modul als separates Produkt durch.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden Symptome auftreten:
Führen Sie die Schritte in diesem Abschnitt aus, wenn die Symptome mit TIE zusammenhängen:
Führen Sie die Schritte in folgendem Artikel durch KB90662 – Durchführung der Fehlerbehebung für eine Anwendung oder Netzwerkverkehr bei Verwendung von Endpoint Security-Firewall.
Zurück zum Anfang
Stellen Sie sicher, dass alle Protokolle vom gleichen System erfasst werden, auf dem das Problem auftritt, und dass alle Protokolle zur selben Zeit erfasst werden. Die Zeitstempel der Protokollierungsdaten können zur Behebung des Problems verwendet werden.
Nicht übereinstimmende Protokolle von verschiedenen Systemen oder zu unterschiedlichen Zeitpunkten erfasste Protokolle können nicht zur Fehlerbehebung verwendet werden. Solche Protokolle können dazu führen, dass alle Protokolle zur minimalen Datenerfassung erneut erfasst werden müssen.
WICHTIG: Die folgenden Dateien sind für den technischen Support erforderlich:
- Minimum Escalation Requirements- (MER-)Dateien mit Protokollierung der Fehlerbehebung für ENS sind für alle Probleme erforderlich. Informationen zur Protokollierung der Fehlerbehebung finden Sie unter Überprüfen, ob die ENS-Protokollierung der Fehlerbehebung aktiviert ist. Informationen zu MER-Dateien finden Sie unter KB59385 – Verwenden von MER-Tools mit unterstützten McAfee-Produkten. Die Protokollierung der Fehlerbehebung muss für das Real Protect
RC.log aktiviert sein, damit es generiert werden kann.
- Langsames Booten oder Starten
- Langsame Anmeldung
- Langsamer Anwendungsstart (reproduzierbar oder zufällig)
- Langsame Anwendungsleistung (reproduzierbar oder zufällig)
- Langsame Systemleistung (reproduzierbar oder zufällig)
- Systemabsturz oder Deadlock
- System-Fehlerüberprüfung (Bluescreen)
- Anwendungsabsturz oder Deadlock (reagiert nicht und wird nicht wiederhergestellt)
- Anwendungsabsturz
- Speicherleck (Benutzer- oder Kernelmodus)
- Probleme im Zusammenhang mit Device Guard oder Credential Guard
- Mindestens eine ENS-Komponente konnte nicht installiert werden
- Der Status von ENS lautet: Endpoint Security-Plattform wird nicht ausgeführt.
- DLL-Einschleusung von Drittanbietern
- Probleme im Zusammenhang mit Threat Intelligence Exchange (TIE)
- Probleme im Zusammenhang mit der ENS-Firewall
Je nach Problem sind möglicherweise die folgenden Tools erforderlich:
AMTrace – ein internes Tool zur Erfassung von Protokollierungsdaten vonAMCore (letzte Aktualisierung am 11. Oktober 2018)- Windows Performance Recorder – ein Tool von Microsoft
- Process Monitor: ein Tool von Microsoft
So verwenden Sie
- Vorbereiten von
AMTrace :- Laden Sie das ZIP-Paket
ENSDataCollect.zip aus dem Abschnitt Anhang dieses Artikels herunter. - Extrahieren Sie den Inhalt auf den Desktop.
- Laden Sie das ZIP-Paket
- Ausführen von
AMTrace :- Klicken Sie auf Start, geben Sie
cmd.exe in die Suchleiste ein, klicken Sie mit der rechten Maustaste aufcmd.exe in der Liste, und wählen Sie Als Administrator ausführen aus. - Wenn Sie zum Starten einer Verfolgung bereit sind, verwenden Sie die folgende Befehlsoption, die für den entsprechenden Abschnitt für die Datenerfassung erforderlich ist.
HINWEIS: Im Folgenden finden Sie die Pfade zu den Dateispeicherorten fürAMTrace.exe :C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace -Befehlsoptionen:- Führen Sie zum Verwenden der
AMTrace onboot -Option den folgenden Befehl aus:AMTrace.exe -b onboot -m 4GB HINWEISE:- Bei "GB" wird die Groß-/Kleinschreibung beachtet. In diesem Beispiel wird die Protokollgröße auf 4 GB beschränkt. 10 MB ist der Mindestwert und 2 GB der Standardwert, sofern nicht angegeben.
- Diese Option unterstützt nicht die unten beschriebenen alternativen Protokollierungsmodi.
- Um
AMTrace mit der Option jetzt zu verwenden, führen Sie den folgenden Befehl aus:
AMTrace.exe -b now -m 4GB
WICHTIG: DieAMTrace verwendet jetzt standardmäßig die Rollover-Option.Mit diesem Befehl wird das Tool angewiesen, eine Verfolgung sofort zu beginnen und die Protokollgröße auf 4 GB pro.etl -Datei zu begrenzen. Wenn das Protokoll 4 GB erreicht, wird ein neues Protokoll erstellt. Jedes Protokoll wird angefügt mit _1, _2usw., bis Sie die Verfolgung beenden, sich der Benutzer abmeldet oder Sie das System herunterfahren.
HINWEIS: Bei "GB" wird die Groß-/Kleinschreibung beachtet. - So verwenden Sie
AMTrace ohne die Rollover-Option:Wählen Sie die gewünschte Protokollierungsmethode für das aufzuzeichnende Problem aus:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
Der Modus Stoppen erstellt eine Verfolgungssitzung, die die Protokollierung beendet, sobald die Größenbeschränkung erreicht ist.
Der zirkuläre Modus erstellt eine Verfolgungssitzung, die in einer einzelnen Datei protokolliert wird. Nach Erreichen der maximalen Größe werden ältere Ereignisse überschrieben.HINWEIS: Bei "L" und "GB" wird die Groß-/Kleinschreibung beachtet.
- Beenden Sie die Verfolgung, und speichern Sie das Protokoll. Verwenden Sie den folgenden Befehl:
AMTrace -e - Wenn möglich, versucht
AMTrace , die resultierenden ETL-Dateien automatisch umzubenennen, um die Start- und Stoppzeit für die Protokollierung im Dateinamen anzugeben. Beispielsweise würdeamtrace_20200704.010203-010305.etl angeben, dass die Protokollierung am 2020-07-04 (4. Juli 2020) um 1:02:03 begonnen hat und bis 1:03:05 lief.
WennAMTrace die Datei nicht umbenennen kann, wenn die Protokollierung endet, kann die Datei manuell mit einem anderenAMTrace -Befehl umbenannt werden:
AMTrace.exe --datestamp *.etl
Dieser Befehl akzeptier Platzhalter (* oder? ), um mehrere Zeichen oder ein einzelnes Zeichen anzugeben. Mit diesem Befehl werden die angegebenen Dateien und die Start- und Endzeit in den Dateinamen aufgenommen. Er wirkt sich nicht auf Dateien aus, für die bereits ein Datumsstempel hinzugefügt wurde.
- Klicken Sie auf Start, geben Sie
Eine Demonstration zum Erfassen von
Zurück zum Anfang
So verwenden Sie Windows Performance Recorder (WPR):
Ausführen von
- Klicken Sie auf Start, geben Sie
cmd.exe in die Suchleiste ein, klicken Sie mit der rechten Maustaste aufcmd.exe in der Liste, und wählen Sie Als Administrator ausführen aus. - Geben Sie
wprui.exe ein, und drücken Sie die Eingabetaste, um WPR zu starten.- Informationen zum Windows SDK finden Sie unter https://developer.microsoft.com/de-de/windows/downloads/windows-10-sdk.
- Informationen zu Windows Assessment and Deployment Kit finden Sie unter https://msdn.microsoft.com/de-de/windows/hardware/commercialize/test/wpt/index.
- Verwenden Sie ein Leistungsszenario und andere Einstellungen, wie in der folgenden Tabelle empfohlen:
LeistungsproblemLeistungsszenarioDetailebeneProtokollierungsmodus
Einzuschließende Profile Anzahl der Iterationen Langsames Starten oder AnmeldenStartenSiehe untenDateiSichtung auf erster Ebene, CPU-Auslastung, Datei-E/A-Aktivität, Minifilter-E/A-Aktivität Mindestens 1 Hohe CPU-AuslastungAllgemeinSiehe untenDateiSichtung auf erster Ebene, CPU-Auslastung, Datei-E/A-Aktivität, Minifilter-E/A-Aktivität n. z. Die Anwendung reagiert langsam oder nicht mehr.Allgemein Siehe unten Datei Sichtung auf erster Ebene, CPU-Auslastung, Datei-E/A-Aktivität, Minifilter-E/A-Aktivität n. z.
Die Verwendung von WPR stellt eine zusätzliche Belastung für das System dar, was das ursprüngliche Problem, das Sie untersuchen möchten, ändern oder maskieren kann. Erfassen Sie zwei Datensätze mit unterschiedlichen Detailebenen. Verwenden Sie die Einstellung Light (Kurz) zum Anzeigen des Problems und die Einstellung Verbose (Ausführlich), damit ein Datensatz für eine tiefere Analyse geeignet ist. Erfassen Sie mindestens 30 Sekunden.
Erfassen Sie nach Möglichkeit ein WPR-Protokoll ohne das Problem, während Sie den gleichen Task für vergleichende Zwecke ausführen. Ein Datensatz ohne Vorhandensein von ENS ist erforderlich, um den Benchmark für die erwartete Leistung festzulegen.
Eine Demonstration zum Erfassen von WPR-Daten mit diesem Verfahren erhalten Sie im folgenden Video:
Zurück zum Anfang
So verwenden Sie Process Monitor:
- Vorbereiten von Process Monitor:
- Laden Sie Process Monitor unter der folgenden Adresse herunter: https://technet.microsoft.com/de-de/library/bb896645.aspx.
- Extrahieren Sie
Procmon.exe auf den Desktop.
- Ausführen von Process Monitor:
- Wenn Sie Process Monitor starten möchten, verwenden Sie die unten aufgeführte Option, die für den entsprechenden Abschnitt für die Datenerfassung erforderlich ist.
- So starten Sie Process Monitor sofort:
- Führen Sie
Procmon.exe aus. Daraufhin werden sofort Prozessinformationen erfasst. - Drücken Sie zum Beenden von Process Monitor STRG+E, oder klicken Sie auf File (Datei), und deaktivieren Sie Capture Events (Ereignisse erfassen). Drücken Sie erneut STRG+E, um die Datenerfassung fortzusetzen.
- Klicken Sie zum Speichern des Protokolls auf File (Datei), Save... (Speichern) (wählen Sie All Events (Alle Ereignisse) aus, und verwenden Sie das native PML-Format).
- Führen Sie
- So aktivieren Sie die Process Monitor-Option für die Startprotokollierung, falls dies für den relevanten Datenerfassungsabschnitt erforderlich ist:
- Öffnen Sie die Process Monitor-Konsole.
- Klicken Sie auf Options (Optionen).
- Klicken Sie auf Enable Boot Logging (Startprotokollierung aktivieren).
- Klicken Sie im Pop-up-Fenster auf OK. Beim nächsten Neustart wird ein Startverfolgungsprotokoll erstellt.
- Um das Protokoll zu speichern, führen Sie Process Monitor erneut aus, und klicken Sie auf File (Datei), Save... (Speichern) (wählen Sie All Events (Alle Ereignisse) aus, und verwenden Sie das native PML-Format).
- So starten Sie Process Monitor sofort:
- Wenn Sie Process Monitor starten möchten, verwenden Sie die unten aufgeführte Option, die für den entsprechenden Abschnitt für die Datenerfassung erforderlich ist.
Eine Demonstration zum Erfassen von Process Monitor-Daten mit diesem Verfahren erhalten Sie im folgenden Video:
- Langsames Booten oder Starten
- Langsame Anmeldung
- Starten Sie
AMTrace mit deronboot -Option. - Starten Sie Process Monitor, und aktivieren Sie die Option für die Startprotokollierung.
- Starten Sie das System neu.
- Reproduzieren Sie das Problem.
- Melden Sie sich beim System an.
- Beenden Sie
AMTrace , und speichern Sie das Protokoll. - Öffnen Sie Process Monitor, und speichern Sie das Startprotokoll.
- Führen Sie WPR aus.
- Konfigurieren Sie das Leistungsszenario Boot (Starten).
- Starten Sie die Erfassung.
- Starten Sie das System neu.
- Reproduzieren Sie das Problem.
- Melden Sie sich beim System an.
- Lassen Sie zu, dass WPR: Boot Trace (WPR: Startverfolgung) beendet wird.
- Erfassen Sie die gespeicherten ETL-Dateien.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden reproduzierbaren Symptome auftreten:
- Langsamer Anwendungsstart
- Langsame Anwendungsleistung
- Langsame Systemleistung
- Starten Sie Process Monitor.
- Starten Sie
AMTrace mit der Option jetzt. - Reproduzieren Sie das Problem.
- Beenden Sie
AMTrace , und speichern Sie das Protokoll. - Beenden Sie Process Monitor, und speichern Sie das Protokoll.
- Führen Sie WPR aus.
- Konfigurieren Sie das Leistungsszenario General (Allgemein).
- Starten Sie die Verfolgung.
- Reproduzieren Sie das Problem.
- Beenden Sie die Verfolgung.
- Erfassen Sie die gespeicherte ETL-Datei.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die folgenden Symptome zufällig auftreten:
- Langsamer Anwendungsstart
- Langsame Anwendungsleistung
- Langsame Systemleistung
- Starten Sie
AMTrace mit der Option Rollover. - Wenn das Problem auftritt, beenden Sie
AMTrace , und speichern Sie das Protokoll.
- Führen Sie WPR aus.
- Konfigurieren Sie das Leistungsszenario General (Allgemein) mit Memory (Speicher) als Protokollierungsmodus.
- Starten Sie die Verfolgung.
- Reproduzieren Sie das Problem.
- Speichern Sie die Verfolgung so bald wie möglich, nachdem Sie das Problem reproduzieren.
- Erfassen Sie die gespeicherte ETL-Datei.
- Systemabsturz oder Deadlock
- System-Bugcheck (Bluescreen)
-
Konfigurieren Sie das System so, dass ein vollständiges Speicherabbild (memory.dmp) erstellt wird. Siehe KB56023 – Erstellen eines Speicherabbilds zur Analyse durch technischen Support<.
- Konfigurieren Sie das System so, dass sich mithilfe der Tastatur ein Absturz erzwingen lässt. Siehe https://msdn.microsoft.com/de-de/library/windows/hardware/ff545499%28v=vs.85%29.aspx.
- Erstellen Sie eine Abbilddatei, wenn das Problem auftritt. Je länger Sie warten können, bevor Sie die Abbilddatei generieren, desto einfacher ist es, die Absturzbedingung im Abbild zu identifizieren.
- Konfigurieren Sie das System so, dass ein vollständiges Speicherabbild (memory.dmp) erstellt wird. Siehe KB56023 – Create a memory dump for analysis by Technical Support.
- Erfassen Sie die vollständige Abbilddatei, wenn der System-BugCheck (blauer Bildschirm) auftritt.
- Öffnen Sie eine Administrator-Eingabeaufforderung.
- Geben Sie
fltmc ein. - Erfassen Sie die Ausgabe des
fltmc -Befehls.
- Anwendung hängt oder Deadlock (reagiert nicht und wird nicht wiederhergestellt)
- Anwendungsabsturz
- Laden Sie ProcDump herunter von: https://docs.microsoft.com/de-de/sysinternals/downloads/procdump.
- Extrahieren Sie ProcDump auf den Desktop.
- Öffnen Sie eine Administrator-Eingabeaufforderung, und ändern Sie das Verzeichnis in
C:\Users\username\Desktop\Procdump . - Führen Sie den folgenden Befehl aus:
procdump -ma - Erfassen Sie die erstellte Abbilddatei, die sich im Ordner "
Procdump " befindet.
- Wenn der abstürzende Prozess ein ENS-Prozess ist, deaktivieren Sie den ENS-Selbstschutz.
- Laden Sie
ProcDump herunter von: https://docs.microsoft.com/en-us/sysinternals/downloads/procdump. - Extrahieren Sie
ProcDump auf den Desktop. - Öffnen Sie eine Administrator-Eingabeaufforderung, und ändern Sie das Verzeichnis in
C:\Users\username\Desktop\Procdump . - Führen Sie den folgenden Befehl aus:
procdump -ma -e ProcDump an, beim nächsten Absturz des Prozesses ein Abbild zu generieren. - Warten Sie, bis der Prozess erneut abstürzt.
- Erfassen Sie die erstellte Abbilddatei, die sich im Ordner "
Procdump " befindet. - Aktivieren Sie den ENS-Selbstschutz erneut.
Führen Sie die Schritte in diesem Abschnitt aus, wenn die Symptome mit einem Benutzermodus- oder Anwendungsspeicherverlust zusammenhängen. Erfassen Sie drei (3) Benutzermodus- oder Anwendungsabsturzabbilder zur Analyse.
- Laden Sie ProcDump herunter von: https://docs.microsoft.com/de-de/sysinternals/downloads/procdump.
- Extrahieren Sie ProcDump auf den Desktop.
- Identifizieren Sie den Prozessnamen, bei dem der Speicherverlust auftritt.
- Aktivieren Sie eine Stack-Verfolgung für den Prozess mit dem Speicherverlust. Siehe KB91252 – How to enable a stack trace using the gflags.exe utility.
- Warten Sie, bis der verdächtige Prozess eine hohe Speicherauslastung anzeigt.
- Öffnen Sie eine Administrator-Eingabeaufforderung, und ändern Sie das Verzeichnis in
C:\Users\username\Desktop\Procdump . - Führen Sie den folgenden Befehl aus:
procdump -ma - Erfassen Sie die erstellte Abbilddatei, die sich im Ordner "
Procdump " befindet. - Wiederholen Sie die Schritte, und erfassen Sie drei (3) Benutzermodus- oder Anwendungsabsturzabbilder zur Analyse.
- Deaktivieren Sie die Stack-Verfolgung für den Prozess, sobald alle Absturzabbilddateien erfasst wurden. Siehe KB91252 – How to enable a stack trace using the gflags.exe utility.
Führen Sie die Schritte in diesem Abschnitt aus, wenn ein Kernel-Speicherverlust im Zusammenhang mit einem McAfee-Prozess vermutet wird.
- Machen Sie sich selbst mit der Verwendung von
Poolmon undPerfmon sowie mit der in KB74951 – How to troubleshoot high memory use on systems with VirusScan Enterprise 8.8.x beschriebenen Konfiguration vertraut. - Konfigurieren Sie das System so, dass ein vollständiges Speicherabbild (memory.dmp) erstellt wird. Siehe KB56023 – Create a memory dump for analysis by Technical Support.
- Konfigurieren Sie das System so, dass sich mithilfe der Tastatur ein Absturz erzwingen lässt. Siehe https://msdn.microsoft.com/de-de/library/windows/hardware/ff545499%28v=vs.85%29.aspx.
- Starten Sie das System neu, für das ein Speicherverlust gemeldet wird.
- Verwenden Sie die Konfiguration für
Poolmon undPerfmon , die in KB74951 - How to troubleshoot high memory use on systems beschrieben ist. Starten Sie diePoolmon - undPerfmon -Datenerfassung. - Warten Sie, bis das System eine hohe Speicherauslastung anzeigt.
- Beenden Sie
Poolmon undPerfmon , und erfassen Sie die resultierenden Daten. - Erzwingen Sie, dass das System einen BugCheck durchführt, während die hohe Speicherauslastung weiterhin vorhanden ist.
- Erfassen Sie das Speicherabbild.
- Erfassen Sie die entsprechenden ENS-Daten für das aufgetretene Symptom, wie in diesem Artikel beschrieben.
- Außerdem können Sie eine ETW-Verfolgung (Ereignisverfolgung für Windows) mit dem folgenden Befehl erfassen, der in einer Administrator-Eingabeaufforderung ausgeführt wird:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
HINWEIS: Stellen Sie sicher, dass Sie die Daten während einer lokalen Installation von ENS erfassen. Führen Sie die Fehlerbehebung für jedes Modul als separates Produkt durch.
- Laden Sie das eigenstädige Paket von der folgenden Website für Produkt-Downloads herunter, und extrahieren Sie es: https://www.trellix.com/de-de/downloads/my-products.html?region=us.
- Starten Sie Process Monitor.
- Starten Sie
AMTrace mit der Rollover-Option. - Erstellen Sie das Problem erneut. Führen Sie die lokale Installation (
setupEP.exe ) als Administrator aus, und wählen Sie das einzelne Modul aus, für das Sie eine Fehlerbehebung durchführen möchten. - Beenden Sie
AMTrace , und speichern Sie das Protokoll. - Beenden Sie Process Monitor, und speichern Sie das Protokoll.
- Erfassen Sie eine MER-Datei (Minimum Escalation Requirements) (als Administrator ausführen).
- Der Status von ENS lautet: Endpoint Security-Plattform wird nicht ausgeführt.
- DLL-Einschleusung von Drittanbietern
- Starten Sie Process Monitor.
- Starten Sie
AMTrace mit der Option jetzt. - Öffnen und schließen Sie die ENS-Konsole, um das Problem erneut zu erstellen.
- Beenden Sie
AMTrace , und speichern Sie das Protokoll. - Beenden Sie Process Monitor, und speichern Sie das Protokoll.
- Erfassen Sie eine MER-Datei (als Administrator ausführen).
- Exportieren und erfassen Sie eine Kopie der zugewiesenen Richtlinie für Optionen von Endpoint Security – Allgemeingültig.
- Erfassen Sie die entsprechenden Daten basierend auf den in diesem Artikel beschriebenen Symptomen.
- Erfassen Sie außerdem das TIE-Server-Protokoll auf der TIE-Server-Appliance unter /var/McAfee/tieserver/logs/tieserver.log.
Zurück zum Anfang
Lösung
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Themenbezogene Informationen
McAfee Self-Service Supportability Orchestrator (SSO):
SSS Orchestratorist ein Datenerfassungs-Tool. Es bringt die oben genannten Support-Tools unter einem einzigen Orchestrator. Das Tool Ruft das richtige Tool zur richtigen Zeit auf und erleichtert die Datenerfassung. Mit diesem Tool wird der Kontext erfasst, in dem die Datenerfassung stattfindet. damit können Sie korrekte Telemetrie-Daten melden. Weitere Informationen finden Sie unter KB92519 – Self-Service Supportability Orchestrator data collection tool.
SSS Orchestratorist ein Datenerfassungs-Tool. Es bringt die oben genannten Support-Tools unter einem einzigen Orchestrator. Das Tool Ruft das richtige Tool zur richtigen Zeit auf und erleichtert die Datenerfassung. Mit diesem Tool wird der Kontext erfasst, in dem die Datenerfassung stattfindet. damit können Sie korrekte Telemetrie-Daten melden. Weitere Informationen finden Sie unter KB92519 – Self-Service Supportability Orchestrator data collection tool.
Anhang
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: