Dieser Artikel enthält Hintergrundinformationen zur Funktionsweise der Kommunikation zwischen McAfee Agent und ePolicy Orchestrator (ePO). Außerdem finden Sie hier einige hilfreiche Schritte zur Fehlerbehebung, die Sie zur Diagnose von Kommunikationsfehlern durchführen können. Die Agent-Server-Kommunikation wird in der Regel als ASCI abgekürzt.
Allgemeine Übersicht über einen ASCI-Workflow:
In diesem Abschnitt wird der Workflow für eine erfolgreiche ASCI-Sitzung beschrieben, und es werden Beispiele für Protokolldateien aus
masvc_.log auf dem Endpunkt und s
erver_.log auf dem McAfee ePO-Server bereitgestellt. In den angegebenen Beispielen lautet der Name des Clients
MAClient und der Name des McAfee ePO-Servers
EPOServer.
MA startet eine ASCI-Sitzung, indem Eigenschaften von allen auf dem Endpunkt installierten Produkten erfasst werden. In diesem Beispiel ist MA das einzige Produkt, das auf dem Endpunkt installiert ist..
Im Protokoll
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) property.Info: Collecting Properties
masvc(1228.1240) publisher.Info: message wird nach <0> Sekunden gesendet.
masvc(1228.1240) property.Info: Property collection session initiated for PropsVersion with session id 5696.
masvc(1228.1240) property.Info: Properties received from EPOAGENT3000 provider
masvc(1228.1240) property.Info: Properties received from SYSPROPS1000 provider
masvc(1228.1240) property.Info: Finished Collecting Properties
Danach generiert MA eine von ePO verwendete Eigenschaftenversion (
PropsVersion), um festzustellen, ob der Client ein vollständiges Eigenschaftenpaket senden muss oder ob das von MA gesendete inkrementelle Paket akzeptabel ist.
In Protokoll
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) property.Info: Agent started performing ASCI
masvc(1228.1240) ahclient.Info: Scheduling spipe connection with "immediate" priority.
masvc(1228.1240) ahclient.Info: Start processing spipe connection request.
masvc(1228.1240) property.Info: Agent is sending PROPS VERSION package to McAfee ePO server
masvc(1228.1240) DataChannel.Manager.Info: DataChannel Service ignoring decoration of SPIPE package for: { PropsVersion }
MA fragt die Datei
MA.DB ab, die die Liste der verfügbaren Agenten-Handler (AH) enthält, und versucht, eine Verbindung mit dem AH mit der höchsten Priorität herzustellen.
Im Protokoll
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) ahclient.Info: Agent communication session started
masvc(1228.1240) ahclient.Info: Agent is connecting to ePO Server
masvc(1228.1240) ahclient.Info: Initiating spipe connection to site https://192.168.1.1:443/spipe/pkg?AgentGuid={ab7e05ec-51ea-11e7-3e72-005056011dfb}&Source=Agent_3.0.0&TenantId=E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc(1228.1240) crypto.Info: Negotiated Cipher : EDH-RSA-AES256-SHA256
masvc(1228.1240) ahclient.Info: connection initiated to site https://192.168.1.1:443/spipe/pkg?AgentGuid={ab7e05ec-51ea-11e7-3e72-005056011dfb}&Source=Agent_3.0.0&TenantId=E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc(1228.1240) ahclient.Info: Network library rc = <1008>, Agent Handler reports response code <202>.
masvc(1228.1240) ahclient.Info: Agent Handler doesn't have anything to send. Response code 202.
masvc(1228.1240) ahclient.Info: Spipe connection response received, network return code = 1008, response code 202.
masvc(1228.1240) property.Info: Package uploaded to ePO Server successfully
masvc(1228.1240) xml_generator.Info: ma_property_xml_generator_save_props_to_datastore
masvc(1228.1240) property.Info: Published property collect and send status message
masvc(1228.1240) ahclient.Info: Agent communication session closed
Der Agenten-Handler erhält die Eigenschaftenversion und sendet dem Client bei Annahme eine HTTP 202 (Accepted)-Antwort. Oder der Handler fordert möglicherweise an, dass der Client ein vollständiges Eigenschaftenpaket sendet.
Wenn der Computer beispielsweise aus der Systemstruktur in ePO gelöscht wurde, hätte er keine Eigenschaften, und er würde MA bitten, ein vollständiges Eigenschaftenpaket zu senden.
In der Beispielsdatei
Server_EPOServer.log auf dem Agenten-Handler wird gezeigt, dass der Server die inkrementellen Eigenschaften akzeptiert:
I #04412 NAIMSERV Received [PropsVersion] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB}
I #04412 NAIMSERV Using attached Props.xml props from node MACLIENT
I #04412 NAIMSERV Processing agent props for MACLIENT(AB7E05EC-51EA-11E7-3E72-005056011DFB)
I #04412 EPODAL System attribute change - Old value: 20180517180553 to New value: 20180517181443
I #04412 NAIMSERV Sending props response for agent MACLIENT, agent has up-to-date policy
I #04412 NAIMSERV Processed [PropsVersion] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB} in 31ms
I #04412 MOD_EPO epo request processed, rc=202, session ID=9, session time=31m
MA generiert dann eine Richtlinienmanifestanfrage und sendet sie an den Agenten-Handler. Das Richtlinienmanifest wird vom AH verwendet, um zu ermitteln, ob der Agent über aktuelle Richtlinien verfügt. Oder ob für ein oder mehrere Produkte ein neues Richtlinienpaket erforderlich ist.
Im Protokoll
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) io.service.Info: Next collect and send properties in 51 minutes and 10 seconds.
masvc(1228.1240) ahclient.Info: Scheduling spipe connection with "immediate" priority.
masvc(1228.1240) ahclient.Info: Start processing spipe connection request.
masvc(1228.1240) DataChannel.Manager.Info: DataChannel Service ignoring decoration of SPIPE package for : { PolicyManifestRequest }
masvc(1228.1240) ahclient.Info: Agent communication session started
masvc(1228.1240) ahclient.Info: Agent is connecting to ePO Server
masvc(1228.1240) ahclient.Info: Initiating spipe connection to site https://192.168.1.1:443/spipe/pkg?AgentGuid={ab7e05ec-51ea-11e7-3e72-005056011dfb}&Source=Agent_3.0.0&TenantId=E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
McAfee Agent sendet alle Ereignisse, die möglicherweise darauf warten, an ePO weitergeleitet zu werden. In diesem Beispiel zeigt das Endpunktprotokoll an, dass keine Ereignisse darauf warten, weitergeleitet zu werden.
Im Protokoll
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) event.Info: Agent is looking for events to upload
masvc(1228.1240) event.Info: Agent did not find any events to upload
Der Agenten-Handler überprüft die Richtlinienmanifestanfrage und stellt ihre Antwort für MA bereit.
Das Protokoll
Server_EPOServer.log auf dem Handler zeigt:
I #04412 NAIMSERV Received [PolicyManifestRequest] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB}
I #04412 NAIMSERV Processed [PolicyManifestRequest] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB} in 31ms
I #04412 NAIMSERV Signing agent response package with key Z0IONRUNRak+x0h273mXbWi4OFxCjysQyUhdunCsBbM=
I #04412 MOD_EPO epo request processed, rc=0, session ID=10, session time=47ms
McAfee Agent empfängt die Antwort auf die Richtlinienmanifestanfrage in Form eines neuen Richtlinienpakets. Anschließend wird die ASCI-Sitzung beendet.
In
masvc_MAClient.log auf dem Endpunkt wird Folgendes angezeigt:
masvc(1228.1240) ahclient.Info: connection initiated to site https://192.168.1.1:443/spipe/pkg?AgentGuid={ab7e05ec-51ea-11e7-3e72-005056011dfb}&Source=Agent_3.0.0&TenantId=E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc(1228.1240) ahclient.Info: Network library rc = <1008>, Agent Handler reports response code <200>.
masvc(1228.1240) ahclient.Info: Agent Handler reports spipe package received. Response code 200.
masvc(1228.1240) ahclient.Info: Spipe connection response received, network return code = 1008, response code 200.
masvc(1228.1240) policy.Info: Agent received POLICY package from ePO Server
masvc(1228.1240) ahclient.Info: Agent communication session closed
Identifizieren von ASCI-Fehlern in der Datei masvc_.log :
Wenn eine ASCI-Sitzung fehlschlägt, besteht der erste Schritt zur Problembehebung darin, die Fehlerbedingung in der Protokolldatei auf dem Client zu identifizieren. Das Protokoll, das auf dem Client überprüft werden muss, ist
masvc_>.log. Der Standardspeicherort dieses Protokolls lautet
C:\ProgramData\McAfee\Agent\Logs.
Verwenden Sie die folgende Vorgehensweise, um den Fehler zu isolieren:
- Öffnen Sie masvc_>.log auf dem Client mit dem ASCI-Fehler.
- Navigieren Sie zum Ende der Protokolldatei.
- Suchen Sie nach Agent stellt eine Verbindung mit dem ePO-Server her.
- Scrollen Sie von diesem Punkt nach unten, und suchen Sie nach einem Protokolleintrag, der zeigt, dass MA versucht, eine Verbindung mit einem Handler herzustellen. Es werden einige Zeilen geschrieben, die oben behandelt werden. Um diesen Abschnitt anzuzeigen, klicken Sie hier.
In den folgenden Abschnitten werden einige Beispiele für häufig auftretende Probleme und mögliche Fehler behandelt. Wenn Sie den Fehler identifiziert haben, können Sie die folgenden Lösungsabschnitte verwenden, die Sie durch die Fehlerbehebung führen.
In jedem Problemabschnitt unten wird eine bestimmte Fehlerbedingung hervorgehoben, bei der eine ASCI-Sitzung möglicherweise fehlschlägt, und einige häufige Ursachen und Lösungen bereitgestellt werden.
Es ist hilfreich zu beachten, dass MA di
libcurl -Bibliothek verwendet, um die Verbindung mit dem Agenten-Handler herzustellen, sodass viele ASCI-Sitzungen mit einem curl-Fehlercode fehlschlagen.
Eine komplette Liste der CURL-Fehlercodes finden Sie unter
https://curl.haxx.se/libcurl/c/libcurl-errors.html