以下列信息为参考,了解如何对 Windows、Linux 和 Solaris 操作系统启用 Host IPS 调试日志记录。
注意:Host IPS 调试日志将写入到以下目录中(具体取决于操作系统):
- Windows Vista(以及更高版本):C:\ProgramData\McAfee\Host Intrusion Prevention\
- Linux/Solaris:/opt/McAfee/hip/log
Windows 操作系统
通过 ePolicy Orchestrator (ePO) 策略启用调试日志记录(建议):
注意:如果要复制当前的 Host IPS 客户端 UI 策略,请修改复制策略以启用 Host IPS 调试日志记录,然后将该复制策略分配给单个系统。
- 登录到 ePO 控制台。
- 依次单击菜单、策略、策略目录。
- 在“产品”下拉列表中选择 Host Intrusion Prevention x.x.x 常规,并在“类别”下拉列表中选择客户端 UI (Windows)。
- 在策略的操作列下单击编辑设置。
- 单击故障排除选项卡。
- 将防火墙和 IPS 日志记录条目都设置为调试。
- 在“IPS 日志记录”字段中选择日志安全违规。
- 单击保存。
- 对系统执行 ePO 代理唤醒呼叫。
- 在客户端上通过 McAfee Agent 任务栏图标打开 Host IPS 客户端 UI。
注意:您还可以从以下路径访问可执行文件:
<Program Files>\McAfee\Host Intrusion Prevention\McAfeeFire.exe
- 验证 Host IPS 调试是否已启用(打开 Host IPS 客户端 UI 并依次单击帮助、故障排除):
验证 IPS 和防火墙日志记录是否设置为调试,以及日志安全违规是否已启用。 您也可以检查以下注册表值:
32 位:HKLM\Software\McAfee\HIP\Config\Settings\
64 位:HKLM\Software\Wow6432Node\McAfee\HIP\Config\Settings\
"Client_LogLevelFw"=dword:00000001 (1)
"Client_LogLevelIps"=dword:00000004 (4)
"ClientUI_IpsLogViolations"=dword:00000001 (1)
注意:
- 您也可以仅按照上述步骤 10 和 11 通过本地客户端 UI(而不修改 ePO 策略)来启用调试日志记录。 如果您关闭或锁定 Host IPS 客户端 UI,则可能会自动禁用日志记录。 Intel Security 建议您在对某个问题进行故障排除时仅通过该策略来启用调试日志记录,然后在完成时将它禁用。
- 此外,您也可以通过本地注册表使用 Regedit.exe 来启用 Host IPS 调试日志记录。 不需要重新启动 Host IPS 服务。 有关详细信息请见下文,另请参阅 KB51517 了解其他调试选项。 要通过注册表禁用调试日志记录,请删除此 debug_enabled DWORD 值,或将它设置为十进制值 0。
Linux/Solaris 操作系统
- 以 Root 访问权限登录到系统。
- 键入以下命令,并在每个命令之后按 ENTER 键。
/opt/McAfee/hip/hipts logging on
/opt/McAfee/hip/hipts message all:on
注意:您必须在每个命令后键入 Host IPS 客户端 UI 密码。 此密码由常规、客户端 UI 策略设置,或者您可以尝试默认密码 abcde12345。
- 要验证调试日志记录是否已启用,请键入以下命令并按 ENTER 键:
/opt/McAfee/hip/hipts status
注意:
- 日志记录应为 ON。
- 消息类型应该都设置为 ON。