Sur le système géré MVISION ePolicy Orchestrator (ePO), les traces MVISION EDR peuvent être soumises avec la journalisation de débogage du client DXL.
Client DXL : C'est un composant intégré de TA.
Effectuez les étapes ci-dessous pour activer la journalisation de débogage du client DXL :
- Ouvrez le catalogue de stratégies et cliquez sur Client McAfee DXL.
- Ouvrez la stratégie du client DXL.
- Dans le volet de gauche, cliquez sur Paramètres du journal client.
- Sélectionnez l'option Activer la journalisation de débogage et cliquez sur Enregistrer.
- Appliquer la stratégie.
Les fichiers de configuration du client DXL sont les suivants :
- DXL_local.config
Ce fichier est utilisé uniquement dans l'environnement MVISION ePO et les systèmes installés avec le courtier local DXL.
- DXL_property.config
Ce fichier contient les informations sur le courtier DXL, les informations sur le certificat du courtier DXL, l'URL du cloud EDR et l'ID et le port du courtier DXL.
Soumissions de trace MVISION EDR : L'agent MVISION EDR soumet les traces du client via le composant client DXL.
Cet article explique la journalisation de débogage du client DXL pour les soumissions EDR.
Les instructions ci-dessous sont enregistrées dans le fichier
dxl_service.log (
C:\ProgramData\McAfee\Data_Exchange_Layer\) :
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override version = 507
2022-06-20 12:03:06.217 [P15][Debug] DxlState: map size = 8
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/agent/syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: decode string 'Ac0B-9oANWh0dHBzOi8vYXBpLnNvYy5tY2FmZWUuY29tL2Nsb3VkcHJveHkvZGF0YWJ1cy9wcm9kdWNl'
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url = https://api.soc.mcafee.com/cloudproxy/databus/produce
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request called
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request: topic '/mcafee/bridge/traceEventCompressed' serviceId '' timeout '10000' corrid 'a90eac01-643e-4111-8839-54cb8a510fbf'
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: sendCloudEvent destination topic /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: m_cloudTokenTime 1655718940658637 timediff 461539240 m_cloudTokenTTL 600000000
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: process cloud event topic traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: encoded str:
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload string: {"byteCount":4236,"records":[{"message":{"headers":{"sourceId":"
"routingData":{"topic":"traceEventCompressed"}}]}
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: caPath = C:\ProgramData\McAfee\Data_Exchange_Layer\cloud_cacerts.cer
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload size: 4405
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: cloud send succeeded
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rcode 204
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rawlen = 0 rawdata =
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: postCloudResponse called
Le client MVISION EDR envoie un message ou une trace sur le sujet DXL :
"/mcafee/bridge/traceEventCompressed."
Comme cette action
«/mcafee/bridge/traceEventCompressed » fait partie de la liste de remplacement, le les données sont envoyées directement à
https://api.soc.mcafee.com/cloudproxy/databus/produce. Le code de réponse reçu est
204 et le journal affiche le message
"Cloud Send Succeeded".
Les informations de sujet pour les soumissions EDR sont mises à jour dans le fichier
DXL_property.config comme ci-dessous :
TopicOverrides= Acz4CNoAIi9tY2FmZWUvYnJpZGdlL3RyYWNlRGF0YUNvbXByZXNzZWSzdHJhY2VEYXRhQ29tcHJlc3NlZNoAIy9tY2FmZWUvYnJpZGdlL3RyYWNlRXZlbnRDb21wcm
zc2VktHRyYWNlRXZlbnRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdlbnQvc3luY0RhdGFSZXF1ZXN0r3N5bmNEYXRhUmVxdWVzdLsvbWNhZmVlL21hci9hZ2dTZWFyY2hSZXN1bH
vYWdnU2VhcmNoUmVzdWx02gAlL21jYWZlZS9tYXIvYWdnU2VhcmNoUmVzdWx0Q29tcHJlc3NlZLlhZ2dTZWFyY2hSZXN1bHRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdnU2Vhcm
NoUmVzdWx0RXJyb3JztWFnZ1NlYXJjaFJlc3VsdEVycm9yc7ovbWNhZmVlL21hci9yZWFjdGlvblJlc3VsdK5yZWFjdGlvblJlc3VsdNoAIC9tY2FmZWUvbWFyL3JlYWN0aW9uUmVzdWx0RX
Jyb3JztHJlYWN0aW9uUmVzdWx0RXJyb3Jz
Dans l'emplacement EDR, les traces soumises sont chiffrées via la ligne d'URL Cloud à partir du fichier
DXL_property.config :
CloudUrl=
Acz42gA1aHR0cHM6Ly9hcGkuc29jLm1jYWZlZS5jb20vY2xvdWRwcm94eS9kYXRhYnVzL3Byb2R1Y2U