Forum

EPO 4.0 EventLog So...
 
Bildirimler
Hepsini Temizle

EPO 4.0 EventLog Sorunu

7 Yazılar
2 Üyeler
0 Reactions
622 Görüntüleme
(@tmert)
Gönderiler: 4
Active Member
Konu başlatıcı
 

Merhaba Arkadaşlar,

Sistemimde EPO 4.0 kurulu. SQL SERVER ve EPO 4.0 iki ayrı sunucuda bulunmakta. Server Task, Audit Logları EPO web arayüzünden görebilmekteyim. Sadece Eventlogları göremiyorum. Sorunu çözmek için Sunucuları restart ettim, (Önce Sql server, ardından da EPO server), EPO server i restart ettikten sonra, restart ettiğim zamana kadar olan logları görebiliyorum. Ertesi gün geldim yine problem yok. Aradan iki üç gün geçti ve son 2-3 günün loglarını  görüntüleyemedim. Birkaç gün geçtikten sonra hiçbir değişme olmadı.

 Sorunun servislerden olduğunu düşündüm ve "McAfee ePolicy Orchestrator 4.0.0 Event Parser" servisini restart ettim. (EPO..\DB\logs klasöründe "eventparser_backup" dosyasının güncellenme tarihi, sunucuları restart ettiğim tarih görünüyordu.) Servisi restart ettikten sonra log dosyasının tarihi de değişmiş oldu. Ertesi gün geldiğimde log dosyasının güncellenme tarihinin 19.20 de kaldığını gördüm.Servisi her zaman restart etmem mi gerekiyor, ya da başka servisleri de restart etmem gerekecek mi?

Bu sorunun hakkında bilgisi olan arkadaşların yardımını beklıyorum.

Tşkler..

 

 
Gönderildi : 26/03/2010 14:58

(@SeckinDEMIR)
Gönderiler: 67
Trusted Member
 

Merhaba,


Event Log'lardan kastınız Windows System/Application/Security/... gibi loglarmıdır. Yoksa Threat Event Log 'dan mı bahsediyorsunuz ? Ek olarak ePO 4.0 kullanıyorum demişsiniz patch bilgisini verebilirmisiniz ?


 İyi çalışmalar dilerim

 
Gönderildi : 26/03/2010 19:19

(@tmert)
Gönderiler: 4
Active Member
Konu başlatıcı
 

Öncelikle ilginiz için tşkler,

Mevcut sistem EPO 4.0 Patch 6, Eventloglardan kastım kaç tane threat bulundu, threat lerle ilgili mcafee ne gibi işlemler yaptı. kaç virus bulundu, vs..

 

 
Gönderildi : 26/03/2010 21:05

(@SeckinDEMIR)
Gönderiler: 67
Trusted Member
 

Merhaba, Query'ler içersinde "McAfee Agent and VirusScan Enterprise (for Windows) Compliance Summary" ,  "VSE: Summary of Threats Detected in the Last 7 Days"  ve "VSE: Current DAT Adoption" gibi raporları alabiliyorsnız ilgili threat'leri de Threat Event Log içerisinden detaylı olarak görebilmeniz gerekiyor. McAfee Agent politikası içerisinde Events ve Logging ayarlarının doğru olduğundan emin olunuz.


Ek olarak size tavsiyem McAfee Agent'in yüklü olduğu bir bilgisayardan http://www.eicar.org/anti_virus_test_file.htm  adresindeki bir dosyayı download edip execute etmeye çalışınız. Normalde VSE bu virusu otamatik olarak tespit edip silecektir. Akabinde aynı bilgisayar üzerinde "McAfee Agent Status Monitor 'ü" açıp "Send Events" tıklayınız. Aşağıda normal olarak görmeniz gereken bilgiyi ekliyorum. 


Info Agent communication session closed 
Info No package received from ePO Server 
Info Agent is connecting to ePO server 
Info Agent is sending EVENT package to ePO server 
Info Agent communication session started 
Info Agent uploading 1 events to ePO Server 
Info Agent is looking for events to upload


 


Bu işlem sonrasında ePO database içerisinde ilgili Threat görünmesi gerekiyor ancak göremiyorsanız ilgili Event ePO içerisinde filter edilmiş olabilir. Bunu kontrol etmek için Configuration> Server Settings > Event Filtering menusune bakmaklısınız. Yapacağınız kontrol sonrası bilgi vermenizi rica ederim.


Kolay gelsin

 
Gönderildi : 29/03/2010 19:05

(@tmert)
Gönderiler: 4
Active Member
Konu başlatıcı
 

merhabalar, söylediğiniz şekilde http://www.eicar.org/anti_virus_test_file.htm adresindeki bir dosyayı download edip execute ettim, ama VSE bunu bir virus olarak görmedi, dolayısıyla "Send Events" işlemini gerçekleştiremedim.

"McAfee ePolicy Orchestrator 4.0.0 Event Parser" servisini restart ettikten sonraki kayıtları göremiyorum. Bir şekilde eventlogları bir yerde tuttuğunu düşünüyorum. Örneğin "VSE: Summary of Threats Detected in the Last 7 Days" raporunda 25 Mart loglarını gosteriyor. Zamanı genişlettiğim zaman daha önceki kayıtları da gösteriyor.

Şu an için bu servisi restart etsem, muhtemelen 1 nisana kadar olan kayıtları gösterecek.

"Configuration> Server Settings > Event Filtering"  menusunde hiçbir değişiklik yapmadım, bu ayarları kontrol ettim.

sorun devam etmekte,

iyi gunler.

 
Gönderildi : 01/04/2010 14:00

(@SeckinDEMIR)
Gönderiler: 67
Trusted Member
 

Merhaba,


VSE 'nin bu virusu yakalamaması mümkün değil ki keza size gönderdiğim logda sent edilen event VSE tarafından tespit edilen eicar virusune aittir. Öncelikle VSE'nin böyle bir virusu yakalamaması için On-Access Scanner disable olmalı ki sizde büyük ihtimalle McAfee McShield servisi stop durumda yada VSE konfigurasyonunuz hatalıdır. İlgili servisi start ediniz yada var olan sorunu tam olarak saptamak için tüm hataları söylemelisiniz. Örnek açılışta VSE ile ilgili hata veriyor ve VSE disable gibi. Daha fazla vakit kaybetmemeniz için tavsiyem supportunuz var ise  https://mysupport.mcafee.com adresinden kendi hesabınız ile logon olup Technical Support Chat  yaparak McAfee'den destek almanızdır. Bu Remote Chat esnasında onay verirseniz sisteminize bağlanıp müdehale edebilirler ve normalde size soracakları pek çok soruya kendileri kontrol edip görerek daha hızlı bir şekilde sorunu belirleyip çözebilirler.


İyi çalışmalar dilerim

 
Gönderildi : 01/04/2010 15:42

(@tmert)
Gönderiler: 4
Active Member
Konu başlatıcı
 

mrblar,

yardımlarınız için çok teşekkür ederim.

iyi günler, iyi çalışmalar..

 

 
Gönderildi : 05/04/2010 19:11

Paylaş: