Cómo solucionar problemas de máquinas virtuales cuando el estado de la protección antimalware está desactivado o desconocido
Artículos técnicos ID:
KB84669
Última modificación: 13/10/2021
Última modificación: 13/10/2021
Entorno
Cloud Workload Security McAfee (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Resumen
Detalles de fondo
Los siguientes eventos de estado de protección se envían de ambos:
Los siguientes eventos de estado de protección se envían de ambos:
- Una máquina virtual (VM) a Security virtual Appliance (SVA)
- SVA a ePolicy Orchestrator (ePO), donde se coloca en una tabla de base de datos SQL
MOVE AV Agentless 4.x Evento
EVENT 37086 (Máquina virtual desprotegida)EVENT 37087
NOTA: Consulte también el siguiente artículo: KB77944-lista de ID de eventos para MOVE Agentless y para varias plataformas)
En esa tabla, Cloud Connector para vSphere lee el contenido y rellena la interfaz de usuario (IU) de ePO. La función del conector de nube para vSphere aquí solo se muestra el contenido de la tabla para informar del estado de protección de las máquinas virtuales.Existen varios motivos por los que el estado de la protección no se indica correctamente. Debido a los distintos componentes implicados en este entorno, es importante seguir un método de solución de problemas que haga lo siguiente:
- Le guiará a través de las distintas etapas implicadas para identificar correctamente dónde se encuentra la causa del problema.
- Proporcione la solución para solucionar el problema.
- MOVE AV Agentless está configurado correctamente.
- MOVE Directiva Agentless tiene activada la analizador en tiempo real (OAS).
- MOVE extensión AV Agentless está instalada en ePO.
- El servicio Event Parser se está ejecutando.
- El conector de nube para el registro de la cuenta de vSphere ha finalizado correctamente.
Para obtener ayuda, consulte las guías de productos correspondientes en la la sección Registrando cuentas de la nube
Para obtener los documentos del producto, vaya a la Portal de documentación de productos. - SVA y la máquina virtual están administradas por el mismo servidor de ePO.
- VMware vCenter informa correctamente de la presencia de SVA por cada host.
- La máquina virtual está activada. Cuando la máquina virtual vaya a un estado de inactividad, el
vsepflt el controlador se ha descargado, lo que puede contribuir a generar informes sobre elAgentless anti malware protection , Donde. - Asegúrese de que los siguientes eventos estén seleccionados en ePO. Vaya a Configuración del servidor, Filtrado de eventosy, a continuación, pulsar Editar:
EVENT 37086 (Protección de VM)EVENT 37087 (Máquina virtual desprotegida)
Solución 1
Solución de problemas de la máquina virtual
Inicie la solución de problemas desde una máquina virtual que informe del estado de la protección incorrecta en ePO. Tome nota del nombre de la máquina virtual y el UUID (ID exclusivo) de la máquina virtual en la que se realiza la solución de problemas. Puede encontrar esta información en ePO y vCenter.
Inicie la solución de problemas desde una máquina virtual que informe del estado de la protección incorrecta en ePO. Tome nota del nombre de la máquina virtual y el UUID (ID exclusivo) de la máquina virtual en la que se realiza la solución de problemas. Puede encontrar esta información en ePO y vCenter.
- Verifique que la máquina virtual esté notificando la información de sistema correcta a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic en el Árbol de sistemas y abra el grupo de vSphere y, a continuación, localice la máquina virtual.
- Para mostrar las propiedades del sistema, haga clic en la máquina virtual.
- Haga clic en la Virtualización pestaña.
- Verifique que los detalles de la máquina virtual estén presentes y sean correctos.
- Verifique que las herramientas de VMware estén instaladas.
NOTA: La instalación de Herramientas de VMware es un requisito previo cuando se utiliza MOVE AV Agentless.
- Verifique mediante ePO:
En el Árbol de sistemas de ePO, desplácese hasta el grupo vSphere, identifique el sistema y verifique que la herramienta de VMware aparezca en la columna de la herramienta VMware.
Si las herramientas de VMware están instaladas, informa utiliza.
- Verifique mediante la máquina virtual:
En Agregar o quitar programas, compruebe que aparece VMware herramienta. Si no es así, descargue e instale laVMware Open Virtualization Format (OVF) paquete de software de: http://communities.vmware.com/community/vmtn/server/vsphere/automationtools/ovf.
- Verifique mediante ePO:
- Verifique que la
VMCI el controlador está activado.
La instalación de las herramientas de VMware no instala automáticamente la interfaz de comunicación de máquina virtual(VMCI driver vsepflt.sys) . Por lo tanto, cuando instale las herramientas de VMware, seleccione Instalación personalizaday, en elVMCI controlador, seleccione Controladores de vShield.
Para verificar que el controlador de vShield(vsepflt.sys) está instalado, vaya a la siguiente carpeta:C:\Windows\System32\drivers
- Facilitar registro de depuración para ePO.
Antes de empezar a solucionar los problemas, si es necesario realizar más análisis, activar registro de depuración para ePO en laOrion.log File. Para obtener activar registro de depuración para la extensión Cloud Connector, consulte KB90072-cómo activar registro de depuración para los conectores de Cloud Workload Security
- Verifique que la
VMCI controladorvsepflt ) se ha cargado correctamente:
NOTA: Al volver a cargar el controlador de vShield, se fuerza la generación de los eventos. Esta prueba se puede utilizar para verificar la comunicación correcta.
- Inicie sesión en la máquina virtual del Endpoint como administrador.
- Abra una línea de comandos y haga clic en Inicio, Ejecutar, escriba
cmd y, a continuación, haga clic en Vale. - Para descargar el controlador
vsepflt , escriba el siguiente comando y pulse Intro:
fltmc unload vsepflt
- Para cargar el
vsepflt controlador, escriba el siguiente comando y pulse Intro:
fltmc load vsepflt
- Resincronización de SVA con ePO.
Para que los comandos MA recopilen y envíen propiedades de SVA al servidor de ePO, consulte KB52707-modificadores de línea de comandos McAfee Agent.
El sistema mostrará ahora elAnti-Malware Estado de la protección como RELATIVA.
- Compruebe si los eventos generados anteriormente están llegando a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic en Menú, Informes, Registro de eventos de amenazas y verifique si los eventos mencionados arriba están presentes.
- Compruebe que también está obteniendo la dirección IP del sistema cliente en los registros de eventos de amenazas.
- Compruebe si los eventos generados anteriormente han cambiado el estado de la protección de la máquina virtual:
- Desplácese hasta el nodo en ePO.
- Seleccione la opción Virtualización y, a continuación, compruebe el estado de la etiqueta
Agentless Anti-malware Protección. - Compruebe que el estado se muestra RELATIVA.
- Verifique que se pueda detectar EICAR en la máquina virtual:
- Cree y pruebe la máquina virtual con un archivo de prueba EICAR. Para obtener detalles, consulte KB59742-cómo utilizar el archivo de prueba EICAR con productos de McAfee.
- Inicie sesión en la consola de ePO.
- Haga clic en Menú, Informes, Registro de eventos de amenazas y verifique que el evento de amenaza esté presente.
Solución 2
Solución de problemas de Security virtual Appliance (SVA)
- Verifique que el SVA se notifique correctamente en ePO y que esté activado:
- Inicie sesión en la consola de ePO.
- En el Árbol de sistemas, seleccione el host de vSphere y compruebe si se ha registrado el SVA asociado.
- Confirme que ALOJAMIENTO aparece bajo el tipo de sistema columna.
- En el Árbol de sistemas, acceda a las propiedades del sistema SVA y confirme que las propiedades de SVA se notifiquen correctamente.
- En la sección Resumen, compruebe que se muestra la dirección IP correcta.
- En la sección Propiedades, compruebe que todos los detalles aparecen y son correctos.
- Verifique que el SVA se notifique correctamente en la vCenter:
- Inicie sesión en VMware vShield vCenter.
- En la ubicación Doméstico, haga clic en Alojamiento y Clústeres.
- En el panel de la izquierda, seleccione la host.
- En el panel de la derecha, haga clic en la opción Máquinas virtuales pestaña.
- Localice su SVA y verifique que el estado de la columna Estado muestre
Powered On .
- Verifique la registro de SVA con sus correspondientes hipervisores (en la
VMware vCenter, los SVA se enumeran en la listavShield ficha):- Inicie sesión en el cliente de vSphere y, a continuación, vaya a Doméstico y seleccione el
vShield botón. Aparecerá una ventana de inicio de sesión. - Inicie sesión con sus credenciales para acceder a la consola.
- En el panel de la izquierda, expanda
Datacenters . - Seleccione la dirección IP
###.###.###.### del host. - En el panel de la derecha, la pestaña Resumen muestra y muestra los detalles de las máquinas virtuales del servicio.
- Verifique que SVA se haya registrado correctamente.
Ejemplo de detalles que muestra la sección máquinas virtuales de servicio:
Nombre Escriba MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Inicie sesión en el cliente de vSphere y, a continuación, vaya a Doméstico y seleccione el
- Inicie los MOVE servicios SVA AV Agentless:
- Inicie sesión en SVA con la cuenta raíz o de administrador.
- En el símbolo del sistema, escriba lo siguiente:
Sudo service move restart
- Inicie sesión en la consola de ePO.
- Localice el SVA en el Árbol de sistemas.
- Verifique las propiedades del sistema de SVA y confirme que SVA se comunica correctamente.
- Compruebe si el estado de la máquina virtual ha cambiado.
- Verifique que SVA la fecha y la hora son en está sincronizado con ePO.
NOTA: Si las zonas horarias de SVA y ePO no están sincronizadas, los eventos se rechazan y la base de datos no se actualiza.
Para obtener detalles sobre cómo establecer la hora en SVA, consulte "configuración de la SVA" en la guía del producto MOVE AV Agentless para su versión. Consulte la sección información relacionada a continuación para saber dónde localizar la documentación del producto.
- Cargue y descargue el controlador y compruebe que el evento relacionado está llegando a la SVA. En cada etapa de la que se transfieran los eventos, compruebe lo siguiente:
- Detenga el McAfee Agent en SVA. Para saber cómo utilizar los modificadores de la línea de comandos con MA, consulte KB52707-modificadores de línea de comandos McAfee Agent.
- En la máquina virtual, descargue y cargue el controlador de VMCI (vsepflt), que genera los siguientes eventos:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Inicie sesión en la máquina virtual del Endpoint como administrador.
- Abra una línea de comandos y haga clic en Inicio, Ejecutar, escriba
cmd y, a continuación, haga clic en Aceptar. - Escriba los siguientes comandos y pulse Intro:
Fltmc unload vsepflt
Fltmc load vsepflt
- Compruebe que se ha generado el evento. En el SVA, desplácese hasta la siguiente ubicación y compruebe que existe un evento relacionado con el controlador detenido.
MA 5.9 y posteriores:
var/McAfee/Agent/AgentEvent
- Si el evento no está presente, asegúrese de que MA esté detenido. Para saber cómo utilizar los modificadores de la línea de comandos con MA, consulte
- A continuación, intente cargar y descargar de nuevo el controlador vsepflt. Si esos eventos no llegan a la carpeta de eventos de MA, solucione este problema. Ve KB52707-modificadores de línea de comandos McAfee Agent.
- Active o desactive el registro de nivel de depuración en SVA. Para obtener detalles, consulte KB87799-cómo activar el registro de depuración para MOVE Agentless y para varias plataformas a través de la línea de comandos.
- Vuelva a generar el evento descargando y cargando de nuevo el
vsepflt controlador en la máquina virtual y, a continuación, recopile una MER SVA. Para obtener detalles, consulte KB80097-cómo generar el archivo de MER Agentless de MOVE AntiVirus. - Desactive el registro de nivel de depuración en SVA.
- Si estos eventos llegan a la carpeta de eventos de MA, envíe el evento a ePO y, a continuación, reinicie MA e implemente la Directiva. En el símbolo del sistema, escriba lo siguiente:
sudo /opt/McAfee/cma/bin/cmdagent -P
NOTA: El evento ya no está presente en la carpeta de eventos de SVA.
- Verifique que el evento se notifique en el registro de eventos de amenazas de ePO. Esta acción confirma que el evento está llegando a ePO:
- Inicie sesión en la consola de ePO.
- Haga clic en Menú, Informes, Registro de eventos de amenazas. Se muestran los siguientes eventos para la máquina virtual:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- En la consola de ePO, verifique el estado de la
Agentless Anti-malware Protección- Inicie sesión en la consola de ePO.
- Haga clic en Árbol de sistemas, Grupo de vSpherey, a continuación, localice la máquina virtual.
- Seleccione la máquina virtual y haga clic en ella para que aparezcan las propiedades del sistema.
- Haga clic en la Virtualización pestaña.
- Verifique la
Agentless Anti-malware Estado de la protección.
- Iniciar una sincronización manual del conector para la nube de vSphere para ver si se completa correctamente:
- Inicie sesión en la consola de ePO y acceda a la cuenta de la nube registrada.
- Seleccione el nombre de la cuenta y haga clic en
Sync . - Compruebe el estado de la última sincronización.
- Determine si se ha generado el evento adecuado, pero no ha sido aprobado a la base de datos de ePO:
- Identificar el UUID de la máquina virtual e incorporar la instancia de SQL de la base de datos de ePO
MOVEAGNTLSS_PROTECTIONSTATUS tabla para el estado. - Localice la
PROTECTION_STATUS columna e identificar si muestra RELATIVA bien DONDE para esa máquina virtual. - Desactive el registro de depuración para ePO Orion. log. Para obtener detalles, consulte KB52369-cómo activar el registro de depuración y el tamaño del registro para Orion. log en ePolicy Orchestrator.
- Identificar el UUID de la máquina virtual e incorporar la instancia de SQL de la base de datos de ePO
Si el problema sigue sin resolverse
Si tras seguir los pasos de solución de problemas indicados, el problema sigue sin resolverse, haga lo siguiente:
- Tenga en cuenta el resultado de cada paso de solución de problemas mencionado anteriormente como aprobado o error.
- Proporcione una copia del archivo Orion. log con el registro de depuración activado.
- Póngase en contacto con Soporte técnico y proporcione este número de artículo (KB84669).
- Generar la
MOVE AntiVirus Agentless Archivo de MER (SVA). Ve KB80097-cómo generar el archivo de MER Agentless de MOVE AntiVirus.
IMPORTANTE: Se requieren los siguientes archivos para Soporte técnico:
- Archivos de Minimum Escalation Requirements (MER) para su producto específico. Para obtener información sobre cómo descargar el propio de los productos, consulte EL KB59385-cómo utilizar herramientas de MER con productos compatibles.
- Otros archivos y registros que solicite Soporte técnico.
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
- Si no es un usuario registrado, haga clic en Registrarse y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Información relacionada
ANTIVIRUS Agentless 3.x Eventos (MOVE Agentless 3.x es el fin de ciclo de vida)
- EVENTO 34431 (Protección de VM)
- EVENTO 34432 (Máquina virtual desprotegida
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro