EPO 4.0 EventLog Sorunu

Merhaba,

Event Log'lardan kastınız Windows System/Application/Security/... gibi loglarmıdır. Yoksa Threat Event Log 'dan mı bahsediyorsunuz ? Ek olarak ePO 4.0 kullanıyorum demişsiniz patch bilgisini verebilirmisiniz ?

 İyi çalışmalar dilerim

Öncelikle ilginiz için tşkler,

Mevcut sistem EPO 4.0 Patch 6, Eventloglardan kastım kaç tane threat bulundu, threat lerle ilgili mcafee ne gibi işlemler yaptı. kaç virus bulundu, vs..

Merhaba, Query'ler içersinde "McAfee Agent and VirusScan Enterprise (for Windows) Compliance Summary" ,  "VSE: Summary of Threats Detected in the Last 7 Days"  ve "VSE: Current DAT Adoption" gibi raporları alabiliyorsnız ilgili threat'leri de Threat Event Log içerisinden detaylı olarak görebilmeniz gerekiyor. McAfee Agent politikası içerisinde Events ve Logging ayarlarının doğru olduğundan emin olunuz.

Ek olarak size tavsiyem McAfee Agent'in yüklü olduğu bir bilgisayardan http://www.eicar.org/anti_virus_test_file.htm  adresindeki bir dosyayı download edip execute etmeye çalışınız. Normalde VSE bu virusu otamatik olarak tespit edip silecektir. Akabinde aynı bilgisayar üzerinde "McAfee Agent Status Monitor 'ü" açıp "Send Events" tıklayınız. Aşağıda normal olarak görmeniz gereken bilgiyi ekliyorum. 

Info Agent communication session closed 
Info No package received from ePO Server 
Info Agent is connecting to ePO server 
Info Agent is sending EVENT package to ePO server 
Info Agent communication session started 
Info Agent uploading 1 events to ePO Server 
Info Agent is looking for events to upload

Bu işlem sonrasında ePO database içerisinde ilgili Threat görünmesi gerekiyor ancak göremiyorsanız ilgili Event ePO içerisinde filter edilmiş olabilir. Bunu kontrol etmek için Configuration> Server Settings > Event Filtering menusune bakmaklısınız. Yapacağınız kontrol sonrası bilgi vermenizi rica ederim.

Kolay gelsin

merhabalar, söylediğiniz şekilde http://www.eicar.org/anti_virus_test_file.htm adresindeki bir dosyayı download edip execute ettim, ama VSE bunu bir virus olarak görmedi, dolayısıyla "Send Events" işlemini gerçekleştiremedim.

"McAfee ePolicy Orchestrator 4.0.0 Event Parser" servisini restart ettikten sonraki kayıtları göremiyorum. Bir şekilde eventlogları bir yerde tuttuğunu düşünüyorum. Örneğin "VSE: Summary of Threats Detected in the Last 7 Days" raporunda 25 Mart loglarını gosteriyor. Zamanı genişlettiğim zaman daha önceki kayıtları da gösteriyor.

Şu an için bu servisi restart etsem, muhtemelen 1 nisana kadar olan kayıtları gösterecek.

"Configuration> Server Settings > Event Filtering"  menusunde hiçbir değişiklik yapmadım, bu ayarları kontrol ettim.

sorun devam etmekte,

iyi gunler.

Merhaba,

VSE 'nin bu virusu yakalamaması mümkün değil ki keza size gönderdiğim logda sent edilen event VSE tarafından tespit edilen eicar virusune aittir. Öncelikle VSE'nin böyle bir virusu yakalamaması için On-Access Scanner disable olmalı ki sizde büyük ihtimalle McAfee McShield servisi stop durumda yada VSE konfigurasyonunuz hatalıdır. İlgili servisi start ediniz yada var olan sorunu tam olarak saptamak için tüm hataları söylemelisiniz. Örnek açılışta VSE ile ilgili hata veriyor ve VSE disable gibi. Daha fazla vakit kaybetmemeniz için tavsiyem supportunuz var ise  https://mysupport.mcafee.com adresinden kendi hesabınız ile logon olup Technical Support Chat  yaparak McAfee'den destek almanızdır. Bu Remote Chat esnasında onay verirseniz sisteminize bağlanıp müdehale edebilirler ve normalde size soracakları pek çok soruya kendileri kontrol edip görerek daha hızlı bir şekilde sorunu belirleyip çözebilirler.

İyi çalışmalar dilerim

mrblar,

yardımlarınız için çok teşekkür ederim.

iyi günler, iyi çalışmalar..