En el sistema administrado MVISION ePolicy Orchestrator (ePO), los seguimientos de MVISION EDR se pueden enviar con el registro de depuración del cliente DXL.
Cliente DXL: es un componente integrado de TA.
Realice los pasos a continuación para habilitar el registro de depuración del cliente DXL:
- Abra el Catálogo de políticas y haga clic en McAfee DXL Client.
- Abra la política de cliente de DXL.
- En el panel izquierdo, haga clic en Configuración de registro del cliente.
- Seleccione la opción Habilitar registro de depuración y haga clic en Guardar.
- Aplique la directiva.
Los archivos de configuración del cliente de DXL son los siguientes:
- DXL_local.config
Este archivo se usa solo en el entorno y los sistemas de MVISION ePO instalados con el agente local de DXL.
- DXL_property.config
Este archivo contiene la información del bróker de DXL, la información del certificado del bróker de DXL, la URL de la nube de EDR y el ID y el puerto del bróker de DXL.
Envíos de seguimiento de MVISION EDR: el agente de MVISION EDR envía los seguimientos del cliente a través del componente DXL Client.
Este artículo explica el registro de depuración del cliente de DXL para los envíos de EDR.
Las siguientes declaraciones se registran en el archivo
dxl_service.log (
C:\ProgramData\McAfee\Data_Exchange_Layer\):
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override version = 507
2022-06-20 12:03:06.217 [P15][Debug] DxlState: map size = 8
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/agent/syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: decode string 'Ac0B-9oANWh0dHBzOi8vYXBpLnNvYy5tY2FmZWUuY29tL2Nsb3VkcHJveHkvZGF0YWJ1cy9wcm9kdWNl'
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url = https://api.soc.mcafee.com/cloudproxy/databus/produce
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request called
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request: topic '/mcafee/bridge/traceEventCompressed' serviceId '' timeout '10000' corrid 'a90eac01-643e-4111-8839-54cb8a510fbf'
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: sendCloudEvent destination topic /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: m_cloudTokenTime 1655718940658637 timediff 461539240 m_cloudTokenTTL 600000000
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: process cloud event topic traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: encoded str:
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload string: {"byteCount":4236,"records":[{"message":{"headers":{"sourceId":"
"routingData":{"topic":"traceEventCompressed"}}]}
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: caPath = C:\ProgramData\McAfee\Data_Exchange_Layer\cloud_cacerts.cer
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload size: 4405
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: cloud send succeeded
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rcode 204
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rawlen = 0 rawdata =
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: postCloudResponse called
El cliente MVISION EDR envía un mensaje o rastrea el tema de DXL:
"/mcafee/bridge/traceEventCompressed."
Como esta acción
"/mcafee/bridge/traceEventCompressed" es parte de la lista de anulación, el los datos se envían directamente a
https://api.soc.mcafee.com/cloudproxy/databus/produce. El código de respuesta recibido es
204 y el registro muestra el mensaje
"Cloud Send Succeeded".
La información del tema para los envíos de EDR se actualiza en el archivo
DXL_property.config de la siguiente manera:
TopicOverrides= Acz4CNoAIi9tY2FmZWUvYnJpZGdlL3RyYWNlRGF0YUNvbXByZXNzZWSzdHJhY2VEYXRhQ29tcHJlc3NlZNoAIy9tY2FmZWUvYnJpZGdlL3RyYWNlRXZlbnRDb21wcm
zc2VktHRyYWNlRXZlbnRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdlbnQvc3luY0RhdGFSZXF1ZXN0r3N5bmNEYXRhUmVxdWVzdLsvbWNhZmVlL21hci9hZ2dTZWFyY2hSZXN1bH
vYWdnU2VhcmNoUmVzdWx02gAlL21jYWZlZS9tYXIvYWdnU2VhcmNoUmVzdWx0Q29tcHJlc3NlZLlhZ2dTZWFyY2hSZXN1bHRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdnU2Vhcm
NoUmVzdWx0RXJyb3JztWFnZ1NlYXJjaFJlc3VsdEVycm9yc7ovbWNhZmVlL21hci9yZWFjdGlvblJlc3VsdK5yZWFjdGlvblJlc3VsdNoAIC9tY2FmZWUvbWFyL3JlYWN0aW9uUmVzdWx0RX
Jyb3JztHJlYWN0aW9uUmVzdWx0RXJyb3Jz
En la ubicación de EDR, los seguimientos enviados se cifran a través de la línea URL de la nube desde el archivo
DXL_property.config :
CloudUrl=
Acz42gA1aHR0cHM6Ly9hcGkuc29jLm1jYWZlZS5jb20vY2xvdWRwcm94eS9kYXRhYnVzL3Byb2R1Y2U