Este artigo fornece informações básicas sobre como a comunicação funciona entre o McAfee Agent e o ePolicy Orchestrator (ePO). Ele também fornece algumas etapas úteis de solução de problemas que você pode tomar para diagnosticar falhas de comunicação. A comunicação agente-servidor é geralmente abreviada como ASCI.
Visão geral de alto nível de um fluxo de trabalho do ASCI:
Esta seção descreve o fluxo de trabalho para uma sessão do ASCI bem-sucedida e fornece exemplos de arquivo de registro no
masvc_.log no ponto de extremidade e no s
erver_.log no servidor de McAfee ePO. Nos exemplos fornecidos, o nome do cliente é
MAClient e o nome do servidor McAfee ePO é
EPOServer.
O MA começa uma sessão do ASCI coletando propriedades de todos os produtos instalados no ponto de extremidade. Neste exemplo, o MA é o único produto instalado no ponto de extremidade.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240Inspetor. INF Coletando Propriedades
masvc1228.1240editor. Info: a mensagem será enviada após <0>alguns segundos.0>
masvc1228.1240Inspetor. Info: sessão de coleta de propriedades iniciada para PropsVersion com a ID de sessão 5696.
masvc1228.1240Inspetor. Info: Propriedades recebidas do provedor de EPOAGENT3000
masvc1228.1240Inspetor. Info: Propriedades recebidas do provedor de SYSPROPS1000
masvc1228.1240Inspetor. INF Coleta de propriedades concluída
Em seguida, o MA gera uma versão de propriedade (
PropsVersion) consumido pelo ePO para determinar se o cliente precisa enviar um pacote de propriedade completo. Ou, se o pacote incremental enviado pelo MA for aceitável.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240Inspetor. Informações: Agent iniciou a execução do ASCI
masvc1228.1240) ahclient. Info: programação de spipe conexão com prioridade "imediata".
masvc1228.1240) ahclient. Info: Iniciar processamento solicitação de conexão spipe.
masvc1228.1240Inspetor. Info: Agent está enviando o pacote de versão PROPs para McAfee ePO Server
masvc1228.1240) DataChannel.Manager.Info: o serviço DataChannel está ignorando a decoração do pacote de SPIPE para: { PropsVersion }
MA interroga o
MA.DB arquivo que contém a lista de manipuladores de Agent disponíveis (AH) e tenta se conectar ao AH com a prioridade mais alta.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240) ahclient. Informações: sessão de comunicação de Agent iniciada
masvc1228.1240) ahclient. INF O Agent está se conectando ao servidor ePO
masvc1228.1240) ahclient. Informações: Iniciando a conexão do spipe com o site https://192.168.1.1: 443/spipe/pkg? AgentGuid = {ab7e05ec-51ea-11e7-3e72-005056011dfb} & Source = Agent_3.0.0& Tenantid = E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc1228.1240criptografia. Info: criptografia negociada: EDH-RSA-AES256-SHA256
masvc1228.1240) ahclient. Info: conexão iniciada para o site https://192.168.1.1: 443/spipe/pkg? AgentGuid = {ab7e05ec-51ea-11e7-3e72-005056011dfb} & Source = Agent_3.0.0& Tenantid = E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc1228.1240) ahclient. Info: Network Library RC = <1008>, manipulador de agentes relata o código de resposta <202>.202> 1008>
masvc1228.1240) ahclient. Informações: Manipulador de agentes não tem nada a ser enviado. Código de resposta 202.
masvc1228.1240) ahclient. Info: resposta de conexão Spipe recebida, código de retorno de rede = 1008, código de resposta 202.
masvc1228.1240Inspetor. INF Pacote carregado no servidor do ePO com êxito
masvc1228.1240) xml_generator. Informações: ma_property_xml_generator_save_props_to_datastore
masvc1228.1240Inspetor. Info: Propriedade publicada coletar e enviar mensagem de status
masvc1228.1240) ahclient. Info: Agent sessão de comunicação fechada
O manipulador de agentes recebe a versão props e, se aceito, envia ao cliente uma resposta HTTP 202 (aceita). Ou o manipulador pode solicitar que o cliente envie um pacote de propriedade completo.
Por exemplo, se o computador tiver sido excluído da Árvore de sistemas no ePO, ele não terá nenhuma propriedade e solicitará que o MA envie um pacote de propriedades completo.
Como
Server_EPOServer.log arquivo no Manipulador de agentes mostra que o servidor está aceitando as props incrementais:
I #04412 NAIMSERV Recebido [PropsVersion] do MACLIENT: {AB7E05EC-51EA-11E7-3E72-005056011DFB}
I #04412 NAIMSERV usando props anexados. xml props no nó MACLIENT
I #04412 NAIMSERV processando props de agente do MACLIENT (AB7E05EC-51EA-11E7-3E72-005056011DFB)
I #04412 EPODAL Alteração de atributo de sistema - valor antigo: 20180517180553 para novo valor: 20180517181443
I #04412 NAIMSERV Envio de resposta de props para o agente MACLIENT, o agente possui uma política atualizada
I #04412 NAIMSERV Processado [PropsVersion] de MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB} em 31ms
#04412 MOD_EPO solicitação do ePO processada, RC = 202, ID da sessão = 9, tempo da sessão = 31m
Em seguida, o MA gera uma solicitação de manifesto de política e a envia para o Manipulador de agentes. O manifesto de política é usado pelo AH para determinar se o agente possui políticas atualizadas. Ou, se precisar de um novo pacote de política para um ou mais produtos.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240) io.service.Info: próxima coleta e envio de propriedades em 51 minutos e 10 segundos.
masvc1228.1240) ahclient. INF Programação da conexão spipe com prioridade "imediata".
masvc1228.1240) ahclient. Info: Iniciar processamento solicitação de conexão spipe.
masvc1228.1240) DataChannel.Manager.Info: o serviço DataChannel está ignorando a decoração do pacote SPIPE para: {PolicyManifestRequest}
masvc1228.1240) ahclient. Informações: sessão de comunicação de Agent iniciada
masvc1228.1240) ahclient. Info: Agent está se conectando ao servidor ePO
masvc1228.1240) ahclient. Informações: Iniciando a conexão do spipe com o site https://192.168.1.1: 443/spipe/pkg? AgentGuid = {ab7e05ec-51ea-11e7-3e72-005056011dfb} & Source = Agent_3.0.0& Tenantid = E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
O McAfee Agent envia quaisquer eventos que possam estar aguardando para serem encaminhados para o ePO. Neste exemplo, o registro do ponto de extremidade mostra que nenhum evento está aguardando para ser encaminhado.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240eventos. Info: Agent está procurando eventos a serem carregados
masvc1228.1240eventos. INF Agent não encontrou eventos para fazer upload
O manipulador de agentes revisa a solicitação do manifesto de política e fornece sua resposta ao MA.
O registro
Server_EPOServer.log no manipulador mostra:
I #04412 NAIMSERV Received [PolicyManifestRequest] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB}
I #04412 NAIMSERV Processed [PolicyManifestRequest] from MACLIENT:{AB7E05EC-51EA-11E7-3E72-005056011DFB} in 31ms
I #04412 NAIMSERV Signing agent response package with key Z0IONRUNRak+x0h273mXbWi4OFxCjysQyUhdunCsBbM=
I #04412 MOD_EPO epo request processed, rc=0, session ID=10, session time=47ms
McAfee Agent recebe a resposta para a solicitação do manifesto da política na forma de um novo pacote de política. Em seguida, ele finaliza a sessão ASCI.
O registro
masvc_MAClient.log no ponto de extremidade, mostra:
masvc1228.1240) ahclient. Info: conexão iniciada para o site https://192.168.1.1: 443/spipe/pkg? AgentGuid = {ab7e05ec-51ea-11e7-3e72-005056011dfb} & Source = Agent_3.0.0& Tenantid = E46AF86C-AA4A-4243-B4D5-5BA313376CC4.
masvc1228.1240) ahclient. Info: Network Library RC = <1008>, manipulador de agentes relata o código de resposta <200>.200> 1008>
masvc1228.1240) ahclient. Informações: Manipulador de agentes de relatórios do spipe pacote recebido. Código de resposta 200.
masvc1228.1240) ahclient. Info: resposta de conexão Spipe recebida, código de retorno de rede = 1008, código de resposta 200.
masvc1228.1240Policy. Info: Agent pacote de políticas recebido do servidor ePO
masvc1228.1240) ahclient. INF Sessão de comunicação Agent fechada
Identificação de falhas de ASCI no masvc_.log arquivo
:
Se uma sessão do ASCI estiver falhando, a primeira etapa para resolver o problema será identificar a condição de erro no arquivo de log no cliente. O registro que precisa ser examinado no cliente é o
masvc_>.log. O local padrão desse log é
C:\ProgramData\McAfee\Agent\Logs.
Use a seguinte abordagem para isolar o erro:
- Abrir o masvc_>.log no cliente que apresenta falha no ASCI.
- Navegue até a parte inferior do arquivo de registro.
- Pesquisar Agent is connecting to ePO Server.
- Role para baixo a partir deste ponto e procure uma entrada de log que mostre o MA tentando se conectar a um manipulador. Ele grava algumas linhas que são mostrado acima.
As seções a seguir abrangem alguns exemplos de problemas e erros comuns que você pode encontrar. Depois de identificar o erro, use as seções da solução para orientá-lo durante a solução de problemas do erro.
Cada seção de problema abaixo destaca uma condição de erro específica que uma sessão do ASCI pode falhar e apresenta algumas causas e soluções comuns.
É útil observar que o MA usa o
libcurl biblioteca para estabelecer conexão com o Manipulador de agentes, tantas sessões ASCI falham com um código de erro de rotação.
Para obter uma lista completa de códigos de erro da ONDULAção, consulte
https://curl.haxx.se/libcurl/c/libcurl-errors.html