SSSO 产品版本 |
发行日期 |
SSSO 22.10 | 2022年12月 |
SSSO 21.9 | 9月2021 |
SSSO 21.4 | 2021 年 4 月 |
SSSO 20.11 | 2020年11月 |
SSSO 20.8 | 2020年8月 |
SSSO 1.0 | 2020年4月 |
自助服务保障性(Orchestrator)数据收集工具
技术文章 ID:
KB92519
上次修改时间: 2023/01/3
上次修改时间: 2023/01/3
环境
自助服务可支持性 Orchestrator (SSSO) 22.10 -数据收集工具
摘要
SSSO
SSSO 是工具的数据收集。它提供了多个 endpoint 客户在单个 orchestrator 下使用的可支持工具。该工具在合适的时间调用合适的工具,并简化了数据收集工作。 此工具会捕获发生数据收集的上下文,这有助于报告准确的遥测数据。
SSSO 工具可在 工具支持门户 登录页面上找到。
本文的最近更新
单击以展开您要查看的部分:
在以下情况下使用此工具:
SSSO 作为 .zip 名为 SSSO_1.0.0.xxx.zip 的文件。执行时,工具文件夹结构包含以下内容:
有四个 SSSO GUI 工作流可用:
命令行参数:
使用:SSSSLauncher.exe [选项 ...]
示例问题:当 Endpoint Security 进程在系统上占用较高 CPU 时,数据收集。
行动手册名称:ENS_Process_HighCPU_Level1.yml
行动手册的用途:
有关创建 EEDK 工作流的说明,请参阅《 SSSO 产品手册》中的 "SSSO GUI 工作流" 一节。
如何从 ePO 将 SSSO 部署到多个主机:
使用 ePO 部署 SSSO 的一站式解决方案是通过 EEDK 包。要使用该选项,请按照以下步骤操作:
随包一起提供的一组行动手册,可用于数据收集。
ENS 行动手册
VSE 行动手册
Trellix 代理行动手册
应用程序控制行动手册
Management for Optimized Virtual Environments (MOVE) Antivirus Playbooks
创作您自己的行动手册
创建您自己的行动手册并不难。文档文件夹下的playbook.yml 文件可帮助您轻松创建行动手册。
创建行动手册时,需要记住以下几点:
重要说明:
行动手册执行失败
由于许多原因,行动手册执行可能会失败。以下常见案例示例:
SSSO 是工具的数据收集。它提供了多个 endpoint 客户在单个 orchestrator 下使用的可支持工具。该工具在合适的时间调用合适的工具,并简化了数据收集工作。 此工具会捕获发生数据收集的上下文,这有助于报告准确的遥测数据。
SSSO 工具可在 工具支持门户 登录页面上找到。
本文的最近更新
日期 | 更新 |
2022年12月14日 | 添加了指向已更新的产品手册的链接。 |
2022年12月9日 | 为 SSSO 版本更新 22.10. |
单击以展开您要查看的部分:
- 当您打开包含技术支持的服务请求并需要数据收集时
- 当数据收集工作复杂或简单时
- 当您需要的工具或工具很多或难以使用时
- 问题为偶尔、随机或可按需
重复出现时 例子:- 捕获环境中随机发生的 高 CPU 问题的数据。此问题需要从 Trellix 和 Microsoft 的工具一起运行,且仅当 CPU 使用率很高时才会运行。
- 运行第三方应用程序启动时所需的 Trellix 和 Microsoft 工具来捕获该行为,以及第三方随机遇到访问被拒绝的故障和崩溃的地方。如果未发生故障,则不收集日志。
- 当某个第三方进程启动时,启用 Endpoint Security 和 Trellix Agent 的调试日志记录。在启动后两分钟内崩溃时,收集该第三方的进程转储。 禁用调试日志记录,并在发生崩溃时收集文件。 否则,请停止日志记录,直至下一次进程启动。
- Doc 文件夹-doc 文件夹由帮助文档组成。该
Playbook.yml 文件包含创建您自己的操作手册与该问题相关的步骤。该TelemetryData.txt 文件包含有关为产品改进和企业支持目的收集的遥测信息的详细信息。此文件是在根文件夹中创建的。 - "行动手册" 文件夹-由两个子文件夹组成,自定义和默认。默认文件夹包含一些根据客户升级而创作的行动手册。 编写新的行动手册后,使用自定义文件夹。
- 插件 文件夹-插件由两个子文件夹组成,自定义和默认。在默认文件夹中,有几个
PowerShell 用于监控特定用例的脚本。插件基本上PowerShell 是模块。您可以将自定义插件写入并保存到自定义文件夹。Internet 上有许多资源用于PowerShell 编写脚本。
注意: 执行时,会检查默认插件是否签名,但不会检查自定义插件是否签名。Trellix 不负责客户创建的自定义插件。
- 运行 文件夹-默认情况下,在解压缩
SSSO_1.0.0.xxx.zip 工具时,"运行" 文件夹不存在。在执行时SSSOLauncher.exe ,会自动创建该文件夹。此文件夹包含根据时间戳保存的压缩(.tgz )格式中执行的命令。输出。此压缩文件包含SSSO.log 、SSSO_Telemetry.xml 文件及其他转储文件或日志。这些文件取决于命令执行中使用的工具。 - "工具" 文件夹-"工具" 文件夹被分类为 "自定义" 和 "默认"。每个文件夹中都有子文件夹,即 x64 和 x86。默认工具附带有所有相关的 Trellix 工具。
通过运行更新工具工作流,可以将这些工具更新到最新版本。有关详细信息,请参阅《 SSSO 产品手册》或 "运行SSSOLauncher.exe 命令。-update
注意: 在执行时,系统会检查默认工具以进行签名,但不会检查自定义工具是否进行签名。Trellix 不负责客户创建的自定义工具。
License.txt -所用组件的许可证信息。此文件将作为参考添加。SSSOLauncher.exe -用于启动 SSSO 应用程序的主要可执行文件。它还接受命令行参数。要了解有关二进制文件的输入参数的详细信息,请参阅 doc 文件夹中的help.txt 文档。SSSO.log -运行 SSSOLauncher.exe 后生成的日志文件。它只显示上一次命令执行的日志输出。SSSO_Updater.log -运行SSSOLauncher.exe 后生成的更新程序日志文件。它仅显示上次执行的命令的自动更新和日志上载输出。SSSO_Telemetry.xml -此 XML 文件显示上次执行命令的遥测输出。Royalty-Free Tools License.txt - 此文件包含 SSSOend-user license agreement (EULA )。默认情况下,此文件不会出现在 root 文件夹中。首次执行此操作时,将显示 EULA 页面。 接受后,将在根文件夹中创建此文件。
- 收集 MER 工作流(SSSO 支持所有 GUI 和
WebMER 命令。行选项) - 行动手册执行工作流(在主机上运行 SSSO 行动手册)
- 创建 ePO Endpoint 部署工具包(EEDK)工作流
- 更新工具工作流
命令行参数:
使用:
Options | 描述 |
显示帮助详细信息。 | |
下载或更新第三方工具。 | |
指定要在手册中使用的进程名称。
Example: |
|
指定要在手册中使用的文件路径。
Example: |
|
运行指定的手册。
Example: |
|
无提示接受 SSSO EULA。 | |
指定要在手册中使用的 CPU 阈值。
示例: |
|
使用此开关可根据给定的有效服务请求(SR)编号,将结果自动上传到 Trellix 服务器。 示例: |
|
跳过对特定运行的 SSSO 二进制文件的自动升级。 | |
指定要在 YAML 中使用的延迟时间(以秒为单位)。
Example: |
|
指定要在 YAML 中使用的多个内存阈值(以 MB 为单位),以逗号分隔。 Example: |
|
创建 ePO 可部署的包。 | |
从 ePO 部署时,无提示地接受 注意: |
|
设置代理服务器详细信息。使用以下其中一个选项: 禁用代理设置;在不使用代理的情况下直接连接到 internet。
应用系统代理设置。 将代理设置为指定的 URL 和端口。 Example: |
|
关闭 SSSO 遥测。 | |
使用默认天数的事件日志运行所检测到的所有 Trellix 产品的 MER。 | |
指定必须为其收集 MER 的受支持的 Trellix 产品。 | |
要收集的应用程序日志、系统日志和安全/Security 日志的天数。指定 -1 以避免收集任何事件日志。
|
|
从 MER 结果文件中删除 IP 地址、MAC 地址、域名和计算机名称。 | |
使用此开关可从正则表达式文件或正则表达式参数清理 MER 日志。 |
在 Air-有空隙环境中运行 SSSO:
有关在 air-有空隙环境中 SSSO 执行的详细工作流,请参阅《 SSSO 产品手册》。行动手册名称:
行动手册的用途:
- 运行
SSSOLauncher.exe 。 - 在您接受 EULA 后,选择行动手册
ENS_Process_HighCPU_Level1.yml 。更多详细信息,请参阅《 SSSO 产品手册》 ,并查看 "操作手册执行工作流一节(在主机上运行 SSSO 行动手册)。"
注意: 该SSSOLauncher.exe 可执行文件会等待 CPU 使用率破坏40% 阈值。 - 重现问题,并等待 CPU 违反阈值。
- 在系统上启动完全 Endpoint Security 按需扫描。
注意:触发完全按需扫描时,CPU 利用率超过阈值限制。 "SSSOLauncher.exe 开始收集PerfCounters Procmon "、"" 和AMTrace "" 数据。最后,收集 MER 日志。
- 执行完成后,导航到
SSSO_1.0.0.xxx\run 。
注意: 输出日志会显示在文件中SSSO.log 。该文件在 root 目录SSSO_1.0.0.xxx\run\<timestamp>.tgz 中找到。该文件显示执行的命令的输出,并显示不同的内部工具活动。 所有第三方工具生成的报告都压缩到了一个SSSO_1.0.0.xxx\run\<timestamp>.tgz 文件中。
- 如果您使用该选项
-sr:<SR number> ,收集的数据会自动上载到特定的服务请求(SR)。
例如:使用 "" 选项-SR: 1–123456789 ,您可以将收集的数据上载到相应的 SR 1 –123456789。
如何从 ePO 将 SSSO 部署到多个主机:
使用 ePO 部署 SSSO 的一站式解决方案是通过 EEDK 包。要使用该选项,请按照以下步骤操作:
- 将包
SSSO 上传到 ePO 中的主存储库。_EEDK.zip - 选择系统树中的系统或组的列表。
Run Client Task Now 单击操作、代理、立即运行客户端任务创建任务。- 在立即运行客户端任务窗口中,选择产品 Trellix
Agent ,任务类型为 产品部署,然后单击 创建新的任务。 - 在 "运行客户端任务" 页面上,选择以下项:
- 目标平台
- 产品与
Self Service Supportability 1.0.0.xxx
- 提供命令行选项
-acceptThirdPartyEULA ,并提供相应的命令行参数以运行行动手册。例如:
-acceptThirdPartyEULA -play <Playbook_Name.yml>
- 提供相应的命令。行选项来运行特定的行动手册。
示例:您运行ENS_Process_HighCPU_Level1.yml 以收集 CPU 阈值为40%的数据mcsheild.exe 。命令。如下所示:
-acceptThirdPartyEULA -play ENS_Process_HighCPU_Level1.yml -procname:mcshield.exe -threshold:40
注意: 任何带双引号(")的参数都必须以反斜杠为前缀 \。例如:
acceptthirdpartyeula -MERprods \"Endpoint Security\"
包和命令。行信息示例:
注意:- 如果存在任何 SSSO 失败,您可以在
SSSO_Updater.log 和SSSO.log 中%ProgramData%\McAfee\SSSO 查看。 - 输出日志的位置为
%ProgramData%\McAfee\SSSO\<Timestamp>.tgz 。 - 以下内容适用于需要使用 EEDK 包在客户端上执行的任何手册。 您必须先接受客户端系统上第三方工具的 EULA。
- 您无法使用
LiveKD.exe ePO 运行行动手册和NotMyFault.exe 引用。
- 如果存在任何 SSSO 失败,您可以在
注意:
- 所有行动手册都需要安装的最低
PowerShell 版本 3.0 或更高版本。 - 如果启用漏洞利用防护功能,则会将 PowerShell mustn't 中的规则 执行策略绕过策略 配置为 阻止。
- 对于所有与内存相关的行动手册,如果安装了以下任一产品,则必须在执行行动手册之前禁用自我保护。
- Endpoint Security (ENS)
- VirusScan Enterprise (VSE)
- 基本行动手册
- 高级行动手册
基本 | |
操作手册名称 | 操作手册说明 |
检查是否接受了第三方工具 EULA。 运行行动手册之前要安装的任何软件: 否 |
|
高级 | |
操作手册名称 | 操作手册说明 |
显示所有 Trellix 工具的使用。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控指定进程( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
在任何日志文件中查找模式。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控进程崩溃( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
使用来 收集: 进程转储、 MER。 运行行动手册之前要安装的任何软件: 否 |
|
监控进程挂起( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控进程的事件: ( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控进程的事件: ( 收集: 运行操作手册之前要安装的任何软件: 是的1 |
|
收集指定进程的多个故障转储。 运行行动手册之前要安装的任何软件: 否 |
|
在检测给定进程的内存泄漏和给定的内存阈值( 收集: 运行操作手册之前要安装的任何软件: 是的1、2 |
1 | 需要安装才能运行 |
2 | 需要安装 Windows 开发工具包(WDK)才能运行 |
ENS 行动手册
基本 | |
操作手册名称 | 行动手册说明 |
收集特定事件 ID 的数据。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控 ePO 部署 ENS 的安装失败情况。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
MONITORS 指定 ENS 进程
运行行动手册之前要安装的任何软件: 否的 CPU 使用率 ( ( 收集: |
|
在检测给定 ENS 进程的内存泄漏时有用。
运行操作手册之前要安装的任何软件: 是的1收集以下内容: |
|
用于收集慢速按需扫描(ODS)的转储。 收集: 多个 运行行动手册之前要安装的任何软件: 否 |
|
操作手册监控该流程: ( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控整个系统的 CPU 使用率。 收集: 运行操作手册之前要安装的任何软件: 是的2 |
|
高级 | |
操作手册名称 | 操作手册说明 |
收集特定事件 ID 和消息的数据。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
收集 ENS 防火墙配置、策略和 运行行动手册之前要安装的任何软件: 否 |
|
监控独立安装 ENS 的安装失败情况。 收集: 运行操作手册之前要安装的任何软件: 是的2 |
|
监控指定 ENS 进程的 CPU 使用率: ( 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控指定的 ENS 进程( 收集:如果存在阈值破坏,则完全内存转储。 运行行动手册之前要安装的任何软件: 否 |
|
监控进程是否需要很长时间才能启动。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
为 ENS Windows 配置引导日志。由于是手动执行的,因此用户必须在重新启动后执行 收集: 运行行动手册之前要安装的任何软件: 否 |
|
此操作手册必须在 收集: 运行行动手册之前要安装的任何软件: 否 |
1 |
要运行该
|
2 | 需要安装 Windows 评估和部署工具包(ADK)才能运行 |
VSE 行动手册
操作手册名称 | 操作手册说明 |
监控事件 ID 21,该事件与应用程序的执行被拒绝有关,并在发生此事件时收集 MER 文件。 运行行动手册之前要安装的任何软件: 否 |
|
通过运行 运行行动手册之前要安装的任何软件: 否 |
|
可用于设置所需的日志级别。 运行行动手册之前要安装的任何软件: 否 |
Trellix 代理行动手册
基本 | |
操作手册名称 | 操作手册说明 |
在检测给定 Trellix 代理进程的内存泄漏时非常有用。 收集多个内存阈值的: 运行操作手册之前要安装的任何软件: 是的1 |
需要安装 Windows 调试工具才能运行
|
应用程序控制行动手册
基本 | |
操作手册名称 | 操作手册说明 |
按应用程序控制监控执行被拒绝事件。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
收集: 运行行动手册之前要安装的任何软件: 否 |
|
为指定的帐模块设置所需的日志级别。 运行行动手册之前要安装的任何软件: 否 |
|
高级 | |
操作手册名称 | 操作手册说明 |
监控指定的应用程序控制进程( 收集: 运行操作手册之前要安装的任何软件:是的2 |
|
在检测给定应用程序控制进程的内存泄漏时非常有用。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控应用程序控制的安装失败情况。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
按应用程序控制监控包更改防护事件。 收集: MER。 运行行动手册之前要安装的任何软件: 否 |
|
通过应用程序控制对任何二进制文件监控执行保护事件。 收集: MER。 运行行动手册之前要安装的任何软件: 否 |
|
在检测给定应用程序控制进程的内存泄漏时非常有用。 收集: 运行操作手册之前要安装的任何软件:是的1 |
|
收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控系统崩溃以进行应用程序控制。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控系统崩溃以进行应用程序控制。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
Zips 在执行 MACC_ 运行行动手册之前要安装的任何软件: 否 |
|
按应用程序控制监控写入拒绝事件。 收集: 运行行动手册之前要安装的任何软件: 否 |
需要安装 WDK 才能运行
|
|
2 | 需要安装 Windows ADK 才能运行 |
Management for Optimized Virtual Environments (MOVE) Antivirus Playbooks
基本 | |
操作手册名称 | 操作手册说明 |
更改 MOVE 模块的 收集: 运行行动手册之前要安装的任何软件: 否 |
|
高级 | |
操作手册名称 | 操作手册说明 |
监控32位 MOVE 客户端安装失败。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
监控64位 MOVE 客户端安装失败。 收集: 运行行动手册之前要安装的任何软件: 否 |
|
在检测给定 MOVE 进程的内存泄漏时非常有用。 收集:随时间 变化的MER、多个 |
需要安装 Windows 调试工具才能运行
|
创作您自己的行动手册
创建您自己的行动手册并不难。文档文件夹下的
创建行动手册时,需要记住以下几点:
- 在简单任务中概述您的用例。 分解所需的内容以及所需的时间。
- 遵循文件
doc\playbook.yml 中所述的约定。 - 避免在软件中
YAML 使用制表符空间。以下是官方YAML 网站的常见问题解答:
"Tabs have been outlawed, since different editors and tools treat them differently. And since indentation is so critical to proper interpretation of YAML, this issue is just too tricky to even attempt. Indeed, Guido van Rossum of Python has acknowledged that allowing TABs in Python source is a headache for many people."
- SSSO 支持知名工作流的行动手册,其中包括特定于产品的工作流。
- 用户特定的或特定于产品的工作流可缩短自动补救或有效数据收集的时间。
- SSSO 还支持根据您的需求构建自定义行动手册。
- "行动手册" 还支持根据时间、事件或外部触发器调用不同的工具。
操作系统 | SSSO 工具 21.9 及更高版本 |
客户端 | |
Microsoft Windows 11 | 是 |
Microsoft Windows 10 版本 21H2 Microsoft Windows 10 版本 21H1 Microsoft Windows 10 版本 20H2 10 月2020更新 Microsoft Windows 10 版本 2004 5 月2020更新 Microsoft Windows 10 版本 1909 2019年11月更新 Microsoft Windows 10 版本 1903 2019年5月更新 (64位,32位) |
是 |
Microsoft Windows 8 (64位、32位) | 是 |
Microsoft Windows 7 (64位、32位) | 是 |
Microsoft Windows Vista (64位、32位) | 不 |
服务器 | |
Microsoft Windows Server 2022 | 是 |
Microsoft Windows Server 2019 | 是 |
Microsoft Windows Server 2016 | 是 |
Microsoft Windows Server 2012 R2 | 是 |
Microsoft Windows Server 2012 | 是 |
Microsoft Windows Server 2008 Release 2 (64-bit) | 是 |
Microsoft Windows Server 2008 | 不 |
产品 | 调试日志记录文章 |
应用程序控制 | KB90755-用于对 Application Control 进行故障排除的最小数据收集 |
MOVE | KB87799-如何通过命令。行为 MOVE 无代理和多平台启用调试日志记录 |
ENS | KB91797-启用用于对 Endpoint Security 问题进行故障排除的调试日志记录 |
- 如果您尝试使用 Application Control (应用程序控制启用)执行 SSSO 工具,则可能会发现某些拒绝。
- 您需要将 Trellix 证书添加为受信任的发布者。有关详细信息,请参阅 KB94861-如何将 SSSO 工具与帐启用配合使用。
- "
Another Instance of Self Service Supportability Orchestrtor is already running. "
注释: 您一次只能运行 SSSO 的一个实例。
- "
Unsupported OS! SSSO requires Windows 7/ Windows 2008 R2 or above. "
Blocking Execution.
注释: SSSO 只能在 "支持操作系统" "部分列出的操作系统上运行。在旧操作系统版本上运行 SSSO 会返回不受支持的操作系统错误。
- "
PowerShell version not supported! Please upgrade PowerShell version is less than 3.0 or higher version.
Blocking Execution. "
评论:
- 对于除 "收集 MER 工作流" 以外的所有工作流,
PowerShell 版本必须 3.0 或更高版本。 - 如果启用 漏洞利用防护 功能,则会将 PowerShell mustn't 中的规则 执行策略绕过策略 配置为 阻止。
- "
Self Service Supportability Orchestrtor validation Failed! Exiting."
注释: 如果 SSSO 文件夹中存在任何未经授权的文件,则会出现此错误。要了解失败的原因,请查看日志。
- "
Self Service Supportability Orchestrtor validation Failed! "
Invalid File SSSSO_1.0.0.1522/test.xml
Blocking SSSO Execution!
注释: 您无法从区分大小写的路径运行 SSSO。如果路径中的任何文件夹区分大小写,请参阅下面的内容。
行动手册执行失败
由于许多原因,行动手册执行可能会失败。以下常见案例示例:
- "
ENS Self Protection not disabled "- 对于所有与内存相关的行动手册,如果安装了 ENS 或 VSE,则必须在运行行动手册之前禁用自我保护。
- "
Required tool missing "- 请确保已安装所需的软件,并且操作手册中的路径设置正确。
- 有关其他错误,请查看日志以了解详细信息。您可以单击 "摘要" 页面上的 " 查看日志" 文件夹 。
- "
Waiting for Process to Launch - Memory Playbooks. "- 在 "行动手册" 中(如
MA_Process_MemoryLeak.yml 启用或禁用gFlags ),SSSO 会停止该进程并预期其重新启动。 - 理想情况下,该进程会自动启动。但是,如果操作手册在短时间内运行多次,则有时可能无法启动进程。
- 在此情况下,SSSO 正在等待进程启动。如果您发现进程在很长一段时间内未启动,请检查并手动启动该进程。如果它是一项服务
masvc.exe ,请通过 Windows 服务控制管理器启动它。
- 在 "行动手册" 中(如
相关信息
已知问题
相关文章 | 问题说明 |
- | 问题: SSSO 在非英语操作系统上不起作用。脚本中使用的关键字不会自动翻译为外语。
解决方法: 您可以手动调整脚本(例如 使用 " |
- | 问题: SSSO 自动更新无法从较早的版本进行。您无法从版本 21.4 或更早版本更新 SSSO。
解决方法: 您可以从工具门户下载最新的 SSSO 包(ZIP)并运行它。 |
KB92811 | 问题: 解决方案: 您必须将第三方工具放在该 |
- | 问题: 当 SSSO 通过带括号的路径运行时,SSSO Create EEDK 工作流失败。
解决方法: 将 SSSO Orchestrator 复制到路径中不含括号的文件夹中,然后运行 EEDK 工作流。 |
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。