Il n’existe aucun ID d’événement distinct pour le démarrage/l’arrêt du
mfetpd service. Toutefois, la solution temporaire suivante peut vous aider à déterminer l’état du
mfetpd service.
Activer les ID d’événement de démarrage/arrêt de l’analyse à l’accès dans ePO :
- Dans la console ePO, accédez à paramètres serveur, filtrage des événements.
- Modifiez le filtrage des événements et sélectionnez l’option agent les transferts : uniquement les événements sélectionnés vers le serveur.
- Sélectionnez les ID d’événement suivants :
- 1087 : début de l’analyse à l’accès (infos)
- 1088 : l’analyse à l’accès s’est arrêtée. Informations
La séquence ci-dessous est la séquence à laquelle le
mfetpd service est arrêté localement sur le système. Vous pouvez trouver ces entrées dans
/var/McAfee/ens/log/tp/mfetpd.log (avec la journalisation de débogage activée).
INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence
Si les ID d’événement de démarrage/arrêt de l’analyse à l’accès ne sont pas sélectionnés dans ePO,
mfetpd.log contient la ligne suivante :
DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088
Lorsque le service est arrêté, l'
mfetpd événement 1088 est généré et envoyé à ePO. Vous pouvez consulter l’événement 1088 dans le journal des événements de menace ePO :
- ID d’événement : 1088
- Description de l’événement : l’analyse à l’accès s’est arrêtée
- Catégorie d’événement : analyse terminée
La page Détails de l’événement affiche les éléments suivants pour l’événement 1088 :
- Catégorie d’événement : analyse terminée
- ID d’événement : 1088
- Gravité de la menace : informations
- Nom de la menace : aucun
- Type de menace : aucun
- Action entreprise : aucune
- Menace gérée : true
- Méthode de détection de l’analyseur : OAS
- Description de l’événement : l’analyse à l’accès s’est arrêtée.
REMARQUES :
- Les événements suivants sous le filtrage des événements ne s’appliquent pas à ENSL :
- 1064 : démarrage du service (infos)
- 1065 : le service s’est arrêté (informations)
- Une mise à jour des fichiers DAT réussie s’arrête et démarre l’analyseur à l’accès. Ainsi, les événements 1087 et 1088 sont générés en conséquence (normalement tous les jours). Toutefois, une fois le mfetpd Service arrêté, la mise à jour du fichier DAT échoue. Ainsi, seul l’événement 1088 (généré au moment de l’arrêt du service) est visible dans ePO.