mfetpd サービスの開始/停止に個別のイベント ID はありません。 ただし、次の回避策は、
mfetpd サービスのステータスを判断するのに役立ちます。
ePO でオンアクセス スキャンの開始/停止イベント ID を有効にします。
- ePO コンソールで、サーバー設定、イベント フィルタリング に移動します。
- イベント フィルタリング を編集し、エージェント転送:選択したイベントのみをサーバーに転送する オプションを選択します。
- 次のイベント ID を選択します。
- 1087: On-access scan started (Info)
- 1088: On-access scan stopped. (Info)
以下は、
mfetpd サービスがシステム上でローカルに停止したときのシーケンスです。 これらのエントリは、
/var/McAfee/ens/log/tp/mfetpd.log にあります(デバッグ ログが有効になっています)。
INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence
オンアクセス スキャンの開始/停止イベント ID が ePO で選択されていない場合、
mfetpd.log には次の行が含まれます。
DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088
mfetpd サービスが停止すると、イベント 1088 が生成され、ePO に送信されます。 ePO 脅威イベント ログでイベント 1088 を確認できます。
- Event ID: 1088
- イベントの説明: オンアクセス スキャンが停止しました
- イベント カテゴリ: スキャンが終了しました
[イベントの詳細] ページには、イベント 1088 の次の情報が表示されます。
- イベント カテゴリ: スキャンが終了しました
- Event ID: 1088
- 脅威の重大度: 情報
- 脅威名: なし
- 脅威の種類: なし
- 実行されたアクション: なし
- 処理された脅威: True
- アナライザー検出方法: OAS
- イベントの説明: オンアクセス スキャンが停止しました。
注:
- イベント フィルタリング の次のイベントは、ENSL には適用されません。
- 1064: Service was started (Info)
- 1065: Service ended (Info)
- DAT の更新が成功すると、オンアクセス スキャナーが停止および開始します。 したがって、イベント 1087 および 1088 はそれに応じて(通常は毎日)生成されます。 ただし、mfetpd サービスが停止すると、DAT は更新に失敗します。 そのため、ePO ではイベント 1088(サービス停止時に生成)のみが表示されます。
