Comment résoudre les problèmes de détection des postes clients et de connexion aux réponses
Articles techniques ID:
KB93645
Date de la dernière modification : 2021-09-23 20:36:21 Etc/GMT
Date de la dernière modification : 2021-09-23 20:36:21 Etc/GMT
Environnement
McAfee MVISION Endpoint détection et réponse (EDR) 3.x
Problème
Un ou plusieurs des problèmes suivants s’affichent :
/var/McAfee/dxlbroker/logs/IPE.log :
Dans le client Windows,\%programdata%\mcafee\Mar\data\Mar.log ou le client Linux ou MAC, /var/McAfee/Mar/data/mar.log , l’erreur suivante s’affiche :
\Server\logs\orion log :
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log Or /var/McAfee/dxl/DXL_service. log Affichez une ou plusieurs des erreurs suivantes :
- Le contenu n’est pas affiché dans la page de l’espace de travail de surveillance EDR.
- Les recherches en temps réel ne répondent pas.
- Une menace déclenchée ne remplit pas le tableau de bord.
- Aucun serveur n’est répertorié dans :
https://ui.soc.mcafee.com/support (or your geo logon)
Veuillez N’oubliez pas quehttps://ui.soc.mcafee.com n’est pas compatible avec multigeo. Vous devez vous connecter à votre gestionnaire GEO pour voir les serveurs connectés.
403 Forbidden Below minimum threshold 502 Bad Gateway
Dans le client Windows,
Could not send traces to cloud.
vpc URL from DXL cloud databus is empty Expected URL scheme 'http' Error trying to connect with vpc Failed to provision with IAM
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log Or /var/McAfee/dxl/DXL_service. log Affichez une ou plusieurs des erreurs suivantes :
DxlMQTTConnection: waitForConnection: error = 10060 : A connection attempt failed An existing connection was forcibly closed by the remote host
解决方案
- Vérifiez que les extensions appropriées sont installées et qu’elles sont à jour :
- Ouvrez le gestionnaire ePO, puis cliquez sur Textuel, Sus, Rogation.
- Vous devez avoir installé les versions les plus récentes des extensions suivantes. Installez et mettez à jour les extensions selon les besoins :
- Extension du client MVISION EDR
- MVISION EDR Endpoint snapshot Tool
- Extension MVISION EDR
- Vérifier que votre structure DXL s’affiche Reli:
- Activez Textuel. Prévu Configuration activez Structure Data Exchange Layer.
- Afficher les Tissé État.
- Si l’état de la structure affiche Reli, passez à l’étape suivante.
- Si l’état de la structure affiche aucun Broker n’est connecté ou d’autres problèmes de connexion, reportez-vous à la section « résolution des problèmes d’installation » dans le Guide d’installation de DXL.
- EDR les clients communiquent via votre service Broker DXL à EDR. Les services Broker DXL doivent se connecter correctement au back-end IAM/EDR pour que la communication fonctionne.
- Pour chacun de vos services Broker DXL, confirmez la structure DXL pour en savoir plus sur les erreurs :
- Cliquez sur le Service Broker au milieu de l’écran.
- Sélectionnez le Étendre onglet sur le côté droit de l’écran.
- Vérifiez si des messages d’erreur s’affichent.
Les messages d’erreur récents affichent des problèmes de communication ou d’alertes client :- Résolvez tous les problèmes de connectivité, puis passez à l’étape suivante.
- Si vous voyez
"error while sending http request: UnknownHostException "- Vérifiez que votre DNS du Service Broker DXL peut résoudre l’URL de l’API en adresse IP (URL de l’API à partir de l’étape 4c) :
- Pour chacun de vos services Broker DXL, confirmez la structure DXL pour en savoir plus sur les erreurs :
Exemple : «nslookup api.soc.mcafee.com "
- Si vous rencontrez des problèmes de dépannage, ouvrez une demande de service.
- Vérifiez la connectivité Endpoint, en particulier l’état de la connexion DXL :
- Activez Arborescence des systèmes, Sélectionner un client, Actions, DXL, Rechercher dans DXL.
- Affichez le message contextuel.
L’état correct est Etat de la connexion = connecté.- Si vous voyez un état de Etat de la connexion = connecté:
Passez à l’étape 6-Vérifiez les MVISION Cloud Bridge (paramètres serveur).
- Si vous voyez un état de Etat de la connexion = non connecté
- Recherchez des erreurs dans vos journaux DXL :
Reportez-vous à la section « Dépannage de l’installation » du Guide d’installation de Data Exchange Layer. - Si vous ne parvenez pas à résoudre l’erreur dans les journaux DXL, vous devez collecter les données avant d’ouvrir une demande de service. Pour plus d’informations, consultez : KB92052-données nécessaires pour les problèmes Data Exchange Layer (côté client).
- Recherchez des erreurs dans vos journaux DXL :
- Si vous voyez un état de Etat de la connexion = connecté:
- Vérifiez la connectivité Endpoint, en particulier l’état de la connexion DXL :
- Vérifiez et définissez vos bus de Cloud DXL (paramètres serveur), URL et proxy vers votre centre de données approprié.
- Ouvrez le gestionnaire ePO.
- Activez Textuel, Paramètres serveur, DXL Cloud bus.
- Vérifiez que votre centre de données est rempli avec les informations d’emplacement correctes, comme indiqué ci-dessous, corrigez les erreurs si nécessaire :
- aux Centre de données Ouest : https://api.soc.mcafee.com/cloudproxy/databus/produce
- Centre de données de l’est des U. S : https://api.soc.us-east-1.mcafee.com/cloudproxy/databus/produce
- Centre de données Francfort : https://api.soc.eu-central-1.mcafee.com/cloudproxy/databus/produce
- Centre de données de Sydney : https://api.soc.ap-southeast-2.mcafee.com/cloudproxy/databus/produce
- Centre de données du Canada : https://api.soc.ca-central-1.mcafee.com/cloudproxy/databus/produce
- Vérifiez que vos pare-feu et proxy serveur autorisent l’accès aux URL et aux ports répertoriés dans le Guide d’installation de EDR.
Configurez vos pare-feu et vos proxys pour autoriser l’ensemble du trafic répertorié dans ce guide.
- Vérifiez que le pont MVISION Cloud (paramètres serveur) est lié à l’aide du nom d’utilisateur et du mot de passe appropriés :
- Activez Textuel, Paramètres serveur, MVISION Cloud Bridge.
- L’État attendu est le suivant :
Ce serveur est lié
Si l’état ci-dessus ne s’affiche pas, revenez à la liaison du compte :- Supprimez les extensions suivantes :
- Extension MVISION EDR
- MVISION Cloud Bridge
- Réinstallez l’extension MVISION EDR.
Veuillez Cette action installe le pont MVISION Cloud.
- Liez le compte avec l’utilisateur et le mot de passe corrects.
- Supprimez les extensions suivantes :
- Affichez le compte lié et assurez-vous qu’il utilise le nom d’utilisateur correct pour votre compte.
Si le compte est incorrect, modifiez la version actuelle Paramètres de pont MVISION Cloud et insérez le nouveau nom d’utilisateur ou le mot de passe correct.
- Vérifiez les MVSION EDR (paramètres serveur) affiche l’état de Connexion réussie.
- Activez Textuel, Paramètres serveur, Paramètres MVISION EDR.
- Affichez les services de Cloud MVISION EDR.
L’État attendu est le suivant :
Etat de la connexion = Connexion réussie
Statut de la surveillance = vraies
Si ces paramètres ne s’affichent pas, consultez la sectionorion.log pour les erreurs et recherchez dans la base de connaissances des solutions à ces erreurs. Sinon, poursuivez le dépannage.
- Vérifiez les paramètres NTP entre EPO et DXL service Broker sont définis et qu’il n’y a pas de décalage entre l’horloge de temps actuelle.
Configurez les horloges de chaque serveur pour qu’elles correspondent à la même heure, sans aucune différence.
- Vérifiez qu’au moins un client EDR est déployé avec le plug-in de traçage activé :
- Sélectionnez l’arborescence des systèmes sur laquelle la configuration EDR est installée.
- Affiché Détails du système, Produits pour MVISION EDR.
- Dans la Matériels onglet, cliquez sur MVISION EDR.
- Prévu plug-ins, confirmez que TraceScanner signale comme Possible.
- Prévu Propriétés de EDR, vérifiez que la dernière communication de traçage est à jour (moins d’une heure).
- Si vous constatez des erreurs, ou si aucune trace n’est reportée :
Activez la journalisation de débogage (consultez la section informations connexes), reproduisez les problèmes et vérifiez vos clients.mar.log fichier pour les problèmes.
- Si les erreurs ne s’affichent pas et l’État est Verte
Passez à l’étape 10.
- Si vous ne voyez pas les erreurs et que le statut est Composantes
Assurez-vous que vos paramètres sont activés pour le traçage.
Pour plus d’informations, reportez-vous à la section « Configuration des stratégies de trace » du Guide produit EDR.
- Si vous constatez des erreurs, ou si aucune trace n’est reportée :
- Vérifiez que votre serveur ePO figure dans la page de support du gestionnaire EDR :
- aux Centre de données ouest
- Centre de données est U. S
- Centre de données de Francfort
- Centre de données de Sydney
- Centre de données du Canada
- Si vous voyez des erreurs ou si le serveur n’est pas répertorié :
Vérifiez lesorion.log etIPE.log pour les erreurs et recherchez dans la base de connaissances des solutions à ces erreurs.
- Si ePO est connecté à la page de support, mais que les traçages n’atteignent toujours pas le cloud :
- Ouvrez une session de ligne de commande sur le Service Broker exécutant IPE.
- Vérifiez que toutes les communications vers l’API sont correctement ouvertes à partir de la service Broker DXL :
- Si vous êtes protégé par un proxy :
Typecurl -x proxy:port -v -X POST -H "Content-Type:application/json; charset=utf-8" (étape 4c)> et appuyez sur entrée. - Si vous n’êtes pas protégé par un serveur proxy :
Typecurl -v -X POST -H "Content-Type:application/json; charset=utf-8" et appuyez sur entrée.
- Si vous êtes protégé par un proxy :
- Affichez la sortie de la commande ci-dessus. Une recherche correcte contient les éléments suivants :
CONNECT api.soc.eu-central-1.mcafee.com:443 HTTP/1.1
Host: api.soc.eu-central-1.mcafee.com:443
User-Agent: curl/7.29.0
Proxy-Connection: Keep-Alive
Content-Type:application/json; charset=utf-8
HTTP/1.0 200 Connection established
Proxy replied OK to CONNECT request
Successfully set certificate verify locations:
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
* subject: C=US; postalCode=97006; ST=OR; L=BEAVERTON; street=SUITE 100; street=20460 NW VON NEUMANN DRIVE; O=McAfee, Inc.; OU=Engineering; OU=Hosted by McAfee Inc.; OU=Multi-Domain SSL; CN=ui.soc.mcafee.com
* start date: 2019-05-22 00:00:00 GMT
* expire date: 2021-05-21 23:59:59 GMT
* subjectAltName: api.soc.eu-central-1.mcafee.com matched
* issuer: C=US; ST=CA; L=Santa Clara; O=McAfee, Inc.; CN=McAfee OV SSL CA 2
* SSL certificate verify ok.
POST /cloudproxy/databus/produce HTTP/1.1
User-Agent: curl/7.29.0
Host: api.soc.eu-central-1.mcafee.com
Accept: */*
Content-Type:application/json; charset=utf-8
- Si vous voyez des erreurs ou si le serveur n’est pas répertorié :
- Si vous voyez une réponse différente ou Connexion non valide s'
Vérifiez que l’inspection SSL est activée (vous devrez peut-être impliquer votre équipe réseau pour vérifier).
Veuillez L’inspection SSL n’est pas prise en charge pour EDR. - Si vous voyez la sortie ci-dessus, le problème est résolu.
- Si vous avez toujours des problèmes, ouvrez une demande de service.
Related Information
要联系技术支持, 请转至 "创建服务请求" 页面 ,然后登录到 ServicePortal。
- 如果您是注册用户,请键入您的用户 ID 和密码,然后单击 " 登录"。
- 如果您不是注册用户,请单击 " 注册 " 并填写相应的字段,以通过电子邮件将您的密码和说明发送给您。
Emplacements des journaux par défaut :
- Journal MAR (client EDR)
C:\ProgramData\McAfee\MAR\data\Mar.log
- Journal Orion (serveur EPO) :
\server\logs\orion.log
- Journaux du Service Broker DXL (Service Broker DXL) :
/var/McAfee/dxlbroker/logs/dxlbroker.log
- Journaux de service DXL (Service Broker DXL) :
var/McAfee/dxl/DXL_service.log
- Journaux IPE (Service Broker DXL) :
/var/McAfee/dxlbroker/logs/ipe.logs
Comment activer la journalisation de débogage EDR :
- Ouvrez votre stratégie de MVISION EDR.
- Cliquez sur l' Généralisé onglet et décochez la case Activez la protection des dossiers de données.
- Cliquez sur l' Tracé onglet et définir Niveau de journalisation À Corriger.
- Cliquez sur l' Frappe onglet
- Jeu Nivellement À Corriger.
- Jeu Taille de la mémoire tampon À an
- Jeu Taille maximale du fichier journal À 50 (MO)
- Appliquez la stratégie à votre client et vérifiez dans la
mar.log qui s’affiche P (par Pebug) génération de rapports dans le journal. - Reproduisez le problème ou procédez à la résolution du problème.
- Redéfinissez votre stratégie sur les valeurs par défaut lorsque le débogage est terminé.
- Ouvrez votre stratégie de MVISION EDR.
- Cliquez sur l' Généralisé onglet et cochez la case en regard de Activer la protection des dossiers de données
- Cliquez sur l' Tracé onglet et définir Niveau de journalisation À Informations.
- Cliquez sur l' Frappe onglet
- Jeu Nivellement À Informations
- Jeu Taille de la mémoire tampon À 20
- Jeu Taille maximale du fichier journal À 10 (MO)
- Appliquez la stratégie à votre client.
- Collectez les journaux comme demandé par Support technique.
Pour collecter le DXL à partir du serveur ePO, service Broker et EDR client que vous dépannez, reportez-vous aux ressources suivantes :
- serveur ePO : KB92065-ePO-MER Guide pas-à-pas.
- Service Broker DXL : KB82851-utilisation de l’outil MER Data Exchange Layer Server pour Linux ou UNIX.
- EDR client : L’article KB59385-utilisation des outils MER avec les produits McAfee pris en charge.
有关产品文档,请转至 产品文档门户。
Disclaimer
The content of this article originated in English. If there are differences between the English content and its translation, the English content is always the most accurate. Some of this content has been provided using Machine Translation translated by Microsoft.
Affected Products
Languages:
This article is available in the following languages: