Non è presente un ID evento separato per l'avvio/arresto del
mfetpd servizio. Tuttavia, la soluzione alternativa riportata di seguito può aiutare a determinare lo stato del
mfetpd servizio.
Attiva gli ID evento di avvio/arresto della scansione all'accesso in ePO:
- Nella console ePO, individuare le impostazioni del server, il filtraggio degli eventi.
- Modificare il filtraggio degli eventi e selezionare l'opzione Agent inoltra: solo gli eventi selezionati al server.
- Selezionare i seguenti ID evento:
- 1087: scansione all'accesso avviata (info)
- 1088: scansione all'accesso interrotta. Informazioni
Di seguito viene riportata la sequenza quando il
mfetpd servizio viene arrestato localmente nel sistema. È possibile trovare queste voci in
/var/McAfee/ens/log/tp/mfetpd.log (con la registrazione di debug attivata).
INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence
Se l'ID evento Start/Stop della scansione all'accesso non è selezionato in ePO,
mfetpd.log contiene la seguente riga:
DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088
Quando il servizio viene arrestato, l'
mfetpd evento 1088 viene generato e inviato a ePO. È possibile consultare l'evento 1088 nel registro eventi di minaccia ePO:
- ID evento: 1088
- Descrizione evento: scansione all'accesso interrotta
- Categoria evento: scansione terminata
La pagina Dettagli evento Mostra quanto segue per l'evento 1088:
- Categoria evento: scansione terminata
- ID evento: 1088
- Gravità delle minacce: informazioni
- Nome Minaccia: nessuno
- Tipo di minaccia: nessuno
- Azione intrapresa: nessuno
- Minaccia gestita: true
- Metodo di rilevamento dell'analizzatore: OAS
- Descrizione evento: scansione all'accesso interrotta.
NOTE:
- I seguenti eventi in Filtering eventi non sono applicabili a SL:
- 1064: servizio avviato (info)
- 1065: servizio terminato (info)
- Un aggiornamento DAT completato viene interrotto e viene avviato il programma di scansione all'accesso. Pertanto, gli eventi 1087 e 1088 vengono generati di conseguenza (normalmente giornalieri). Tuttavia, una volta arrestato il mfetpd servizio, il file dat non viene aggiornato. Pertanto, in ePO viene visualizzato solo l'evento 1088 (generato al momento dell'arresto del servizio).