Generar un evento en ePO si un usuario detiene el servicio mfetpd localmente

Artículos técnicos ID: KB95370
Última modificación: 2022-07-04 09:56:00 Etc/GMT

Entorno

Prevención de amenazas Endpoint Security for Linux (ENSLTP) 10.7.x
ePolicy Orchestrator (ePO) 5.x

Resumen

Cuando un usuario detiene el mfetpd servicio mediante la ejecución del siguiente comando o de cualquier otra forma, prevención de amenazas deja de funcionar y el análisis no se produce.

# /opt/McAfee/ens/tp/init/mfetpd-control.sh stop

El administrador de ePO no recibe notificaciones sobre esta acción y no se genera ningún evento. La única forma de determinar este cambio es iniciar sesión en el sistema y comprobar el estado del mfetpd servicio.

Problema

Cuando se detiene el mfetpd servicio, los componentes de prevención de amenazas (por ejemplo, análisis en tiempo real, análisis bajo demanda, protección de acceso y prevención de exploit) no funcionan. Por lo tanto, el sistema no es reclamo.

Solución temporal

No hay ningún ID de evento independiente para iniciar o detener el mfetpd servicio. No obstante, la siguiente solución temporal puede ayudarle a determinar el estado del mfetpd servicio.

Active los ID de eventos de inicio/detención del análisis en tiempo real en ePO:

En la consola de ePO, desplácese hasta configuración del servidor, filtrado de eventos.
Edite el filtrado de eventos y seleccione la opción que reenvía el agente: solo los eventos seleccionados al servidor.
Seleccione los siguientes ID de evento:
- 1087: se ha iniciado el análisis en tiempo real (información)
- 1088: análisis en tiempo real detenido. Informaciones

A continuación se encuentra la secuencia cuando el mfetpd servicio se detiene de forma local en el sistema. Puede encontrar estas entradas en /var/McAfee/ens/log/tp/mfetpd.log (con el registro de depuración activado).

INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence

Si los ID de eventos de inicio/detención del análisis en tiempo real no están seleccionados en ePO, mfetpd.log contiene la siguiente línea:

DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088

Cuando el servicio se detiene, se genera el mfetpd evento 1088 y se envía a ePO. Puede ver el evento 1088 en el registro de eventos de amenazas de ePO:

ID de evento: 1088
Descripción del evento: análisis en tiempo real detenido
Categoría de evento: análisis finalizado

La página Detalles de evento muestra lo siguiente para el evento 1088:

Categoría de evento: análisis finalizado
ID de evento: 1088
Gravedad de la amenaza: información
Nombre de amenaza: ninguno
Tipo de amenaza: ninguno
Acción realizada: ninguna
Amenaza gestionada: true
Método de detección de analizador: OAS
Descripción del evento: análisis en tiempo real detenido.

NOTAS:

Los siguientes eventos de filtrado de eventos no son aplicables a ENSL:
- 1064: se ha iniciado el servicio (información)
- 1065: finalizó el servicio (info)
Se detiene una actualización de DAT correcta y se inicia la analizador en tiempo real. Por tanto, los eventos 1087 y 1088 se generan según corresponda (normalmente todos los días). No obstante, una vez detenido el mfetpd servicio, el archivo DAT no se actualiza. Por lo tanto, solo se ve en ePO el evento 1088 (generado en el momento de la detención del servicio).

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

Knowledge Center

Generar un evento en ePO si un usuario detiene el servicio mfetpd localmente

Entorno

Resumen

Problema

Solución temporal

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Generar un evento en ePO si un usuario detiene el servicio mfetpd localmente

Entorno

Resumen

Problema

Solución temporal

Descargo de responsabilidad

Productos implicados

Idiomas:

Wählen Sie Ihre Region

Title

Title