Comment résoudre les problèmes liés aux machines virtuelles lorsque l’état de protection anti-malware est désactivé ou inconnu
Articles techniques ID:
KB84669
Date de la dernière modification : 13/10/2021
Date de la dernière modification : 13/10/2021
Environnement
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Synthèse
Informations de contexte
Les événements d’état de protection suivants sont envoyés à partir des deux éléments suivants :
Les événements d’état de protection suivants sont envoyés à partir des deux éléments suivants :
- Une machine virtuelle (VM) à l’appliance Secure Virtual Appliance (SVA)
- SVA à ePolicy Orchestrator (ePO), où il est placé dans une table de base de données SQL
MOVE sans agent AV 4.x Ceux
EVENT 37086 (VM non protégée)EVENT 37087
Veuillez Consultez également l’article suivant : KB77944-liste d’ID d’événement pour MOVE agent et multi-plate-forme)
A partir de ce tableau, le connecteur cloud pour vSphere lit le contenu et renseigne l’interface utilisateur ePO. Le rôle du connecteur cloud pour vSphere ici est uniquement d’afficher le contenu du tableau pour signaler l’état de protection des machines virtuelles.Plusieurs raisons peuvent expliquer que l’état de protection n’est pas correctement signalé. En raison des différents composants impliqués dans cet environnement, il est important de suivre une méthode de dépannage qui effectue les opérations suivantes :
- Vous guide tout au long des différentes étapes impliquées, afin d’identifier correctement la cause du problème.
- Fournissez la solution pour résoudre le problème.
- L’agent AV MOVE est configuré correctement.
- MOVE stratégie d’analyse à l’accès est activée analyseur (OAS).
- MOVE extension sans agent AV est installé dans ePO.
- Le service analyseur d’événements est en cours d’exécution.
- Le connecteur Cloud pour l’enregistrement de compte vSphere se termine correctement.
Pour obtenir de l’aide, reportez-vous aux guides produit correspondants dans Enregistrement des comptes cloud section
Pour les documents produit, accédez à la page Portail de la documentation produit. - SVA et la machine virtuelle sont tous les deux managés par le même serveur ePO.
- VMware vCenter signale correctement la présence SVA pour chaque hôte.
- La machine virtuelle est activée. Lorsque la machine virtuelle passe à l’état inactif, le
vsepflt le pilote est déchargé, ce qui peut contribuer à la génération de rapportsAgentless anti malware protection tant Connexion. - Assurez-vous que les événements suivants sont sélectionnés dans ePO. Accédez à Paramètres serveur, Filtrage des événements, puis sur Cliquez sur Modifier:
EVENT 37086 (Protection de la machine virtuelle)EVENT 37087 (VM non protégée)
Solution 1
Dépannage de la VM
Démarrez le dépannage à partir d’une machine virtuelle qui signale l’état de protection incorrect dans ePO. Notez le nom de la VM et l’UUID (ID unique) de la machine virtuelle sur laquelle la résolution des problèmes est effectuée. Vous pouvez trouver ces informations dans ePO et vCenter.
Démarrez le dépannage à partir d’une machine virtuelle qui signale l’état de protection incorrect dans ePO. Notez le nom de la VM et l’UUID (ID unique) de la machine virtuelle sur laquelle la résolution des problèmes est effectuée. Vous pouvez trouver ces informations dans ePO et vCenter.
- Vérifiez que la machine virtuelle signale les informations système correctes à ePO :
- Connectez-vous à la console ePO.
- Cliquez sur l’Arborescence des systèmes et ouvrez le groupe vSphere, puis recherchez la VM.
- Pour afficher les propriétés du système, cliquez sur la machine virtuelle.
- Cliquez sur l' Virtualisation onglet.
- Vérifiez que les détails de la machine virtuelle sont disponibles et corrects.
- Vérifiez que les outils VMware sont installés.
Veuillez L’installation de Outils VMware est une condition préalable à l’utilisation de MOVE sans agent AV.
- Vérifier à l’aide d’ePO :
Dans l'Arborescence des systèmes ePO, accédez au groupe vSphere, identifiez le système et vérifiez que l’outil VMware est répertorié dans la colonne VMware Tool.
Si les outils VMware sont installés, il signale utilisation.
- Vérifier à l’aide de VM :
Dans Ajout/suppression de programmes, vérifiez que VMware outil figure dans la liste. Si ce n’est pas le cas, téléchargez et installez leVMware Open Virtualization Format (OVF) package du logiciel à partir de : http://communities.vmware.com/community/vmtn/server/vsphere/automationtools/ovf.
- Vérifier à l’aide d’ePO :
- Vérifiez que le
VMCI le pilote est activé.
L’installation de VMware Tools n’installe pas automatiquement l’interface de communication de la machine virtuelle.(VMCI driver vsepflt.sys) . Ainsi, lorsque vous installez les outils VMware, sélectionnez Configuration personnaliséeet sous l'VMCI pilote, sélectionnez Pilotes vShield.
Pour vérifier que le pilote vShield(vsepflt.sys) est installé, accédez au dossier suivant :C:\Windows\System32\drivers
- Activer journalisation de débogage pour ePO.
Avant de commencer à dépanner, si une analyse supplémentaire est nécessaire, activez journalisation de débogage pour ePO dans leOrion.log pièces. Pour savoir comment activer la journalisation de débogage pour le connecteur cloud extension, voir KB90072-comment activer la journalisation de débogage pour les connecteurs Cloud Workload Security
- Vérifiez que le
VMCI revenirvsepflt ) est chargé correctement :
Veuillez Lorsque vous rechargez le pilote vShield, il force la génération des événements. Ce test peut être utilisé pour vérifier la bonne communication.
- Connectez-vous à la machine virtuelle Endpoint en tant qu’administrateur.
- Ouvrez une invite de commande, puis cliquez sur Démarrer, Exécute, saisissez
cmd , puis cliquez sur Bien. - Pour décharger le pilote
vsepflt , saisissez la commande suivante et appuyez sur ENTREE :
fltmc unload vsepflt
- Pour charger le
vsepflt Saisissez la commande suivante, puis appuyez sur ENTREE :
fltmc load vsepflt
- Resynchronisez SVA avec ePO.
Pour que les commandes MA collectent et envoient des propriétés de SVA au serveur ePO, voir Commutateurs de ligne de commande KB52707-McAfee Agent.
Le système affiche désormais leAnti-Malware Etat de protection LORS.
- Vérifiez si les événements générés ci-dessus atteignent ePO :
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération, Journal des événements de menace et vérifiez que les événements mentionnés ci-dessus sont présent.
- Vérifiez que vous avez également obtenu l’adresse IP du système client dans les journaux des événements de menace.
- Vérifiez si les événements générés ci-dessus ont modifié l’état de protection de la machine virtuelle :
- Accédez au nœud dans ePO.
- Sélectionnez le Virtualisation , puis vérifiez le statut de l’onglet
Agentless Anti-malware Sécurité. - Vérifiez que l’état indique LORS.
- Vérifiez que le fichier EICAR peut être détecté dans la machine virtuelle :
- Créez et testez la machine virtuelle à l’aide d’un fichier de test EICAR. Pour plus d’informations, voir KB59742-utilisation du fichier de test EICAR avec les produits McAfee.
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération, Journal des événements de menace et vérifiez que l’événement de menace est présent.
Solution 2
Dépannage de l’appliance Secure Virtual Appliance (SVA)
- Vérifiez que le SVA est correctement signalé dans ePO et qu’il est activé :
- Connectez-vous à la console ePO.
- Dans la Arborescence des systèmes, sélectionnez l’hôte vSphere et vérifiez que la SVA associée est signalée.
- Vérifiez que HOTE est répertorié sous le type de système de colonne.
- Dans la Arborescence des systèmes, accédez aux propriétés du système SVA et vérifiez que les propriétés SVA sont correctement signalées.
- Dans la section synthèse, vérifiez que l’adresse IP correcte est répertoriée.
- Dans la section Propriétés, vérifiez que tous les détails sont répertoriés et corrects.
- Vérifiez que la SVA est correctement signalée dans la vCenter:
- Connectez-vous à VMware vShield vCenter.
- Dans l’emplacement du Domestique, cliquez sur Hote et Clusters.
- Dans le volet de gauche, sélectionnez l’hôte.
- Dans le volet de droite, cliquez sur l’onglet Machines virtuelles onglet.
- Localisez votre SVA et vérifiez que l’État dans la colonne Etat affiche
Powered On .
- Vérifiez les identif de SVAs avec leurs hyperviseurs respectifs (dans la
VMware vCenter, SVAs sont répertoriés dans la listevShield onglet) :- Connectez-vous au client vSphere, puis accédez à Domestique et sélectionnez l'
vShield barre. Une fenêtre de connexion s’affiche. - Connectez-vous à l’aide de vos informations d’identification pour accéder à la console.
- Dans le volet gauche, développez
Datacenters . - Sélectionnez l’adresse IP
###.###.###.### de l’hôte. - Dans le volet de droite, l’onglet synthèse affiche et affiche les détails des machines virtuelles de service.
- Vérifiez que le SVA a été enregistré correctement.
Exemple de détails que la section service Virtual Machines affiche :
Nom Type MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Connectez-vous au client vSphere, puis accédez à Domestique et sélectionnez l'
- Redémarrer MOVE services SVA de l’agent AV :
- Connectez-vous au SVA à l’aide du compte racine ou administrateur.
- A l’invite de commande, saisissez ce qui suit :
Sudo service move restart
- Connectez-vous à la console ePO.
- Recherchez le SVA dans l'Arborescence des systèmes.
- Vérifiez les propriétés du système SVA et assurez-vous que le SVA communique correctement.
- Vérifiez que l’état de la machine virtuelle a été modifié.
- Vérifiez que le SVA la date et l’heure sont dans est synchronisation avec ePO.
Veuillez Si le fuseau horaire SVA et ePO ne sont pas synchronisés, les événements sont rejetés et la base de données n’est pas mise à jour.
Pour plus d’informations sur la définition de l’heure dans SVA, reportez-vous à la section Configuration de SVA dans le Guide produit sans agent AV MOVE correspondant à votre version. Reportez-vous à la section informations connexes ci-dessous pour savoir où trouver la documentation produit.
- Chargez et déchargez le pilote et vérifiez que l’événement associé atteint le SVA. Vérifiez à chaque étape à laquelle les événements sont transférés :
- Arrêtez le McAfee Agent sur le SVA. Pour savoir comment utiliser les commutateurs de ligne de commande avec MA, reportez-vous à la section Commutateurs de ligne de commande KB52707-McAfee Agent.
- Sur la machine virtuelle, déchargez et chargez le pilote VMCI (vsepflt), qui génère les événements suivants :
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Connectez-vous à la machine virtuelle Endpoint en tant qu’administrateur.
- Ouvrez une invite de commande, puis cliquez sur Démarrer, Exécute, saisissez
cmd , puis cliquez sur OK. - Saisissez les commandes suivantes et appuyez sur ENTREE :
Fltmc unload vsepflt
Fltmc load vsepflt
- Vérifiez que l’événement est généré. A l’SVA, accédez à l’emplacement suivant et vérifiez qu’un événement lié au pilote arrêté est présent.
MA 5.9 et versions ultérieures :
var/McAfee/Agent/AgentEvent
- Si l’événement n’est pas présent, assurez-vous que MA est arrêté. Pour savoir comment utiliser les commutateurs de ligne de commande avec MA, reportez-vous à la section
- Ensuite, essayez de charger et de décharger à nouveau le pilote vsepflt. Si ces événements n’arrivent pas dans le dossier de l’événement MA, corrigez ce problème. Voir
KB52707-McAfee Agent les commutateurs de ligne de commande.
- Cliquez sur ou désactivez la journalisation de niveau débogage à la SVA. Pour plus d’informations, voir KB87799-comment activer la journalisation de débogage pour MOVE agent et multi-Platform à l’aide de la ligne de commande.
- Générez à nouveau l’événement en déchargeant et en rechargeant le
vsepflt pilote sur la machine virtuelle, puis collectez un MER SVA. Pour plus d’informations, voir KB80097-comment générer le fichier MER sans agent MOVE AntiVirus. - Désactivez la journalisation de niveau débogage à la SVA.
- Si ces événements arrivent dans le dossier de l’événement MA, envoyez l’événement à ePO, puis redémarrez MA et mettez en œuvre la stratégie. A l’invite de commande, tapez ce qui suit :
sudo /opt/McAfee/cma/bin/cmdagent -P
Veuillez L’événement n’est plus présent dans le dossier d’événement SVA.
- Vérifiez que l’événement est consigné dans le journal des événements de menace d’ePO. Cette action confirme que l’événement atteint ePO :
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Génération, Journal des événements de menace. Les événements suivants sont affichés pour la machine virtuelle :
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Dans la console ePO, vérifiez l’état de la
Agentless Anti-malware Sécurité- Connectez-vous à la console ePO.
- Cliquez sur Arborescence des systèmes, Groupe vSphere, puis recherchez la machine virtuelle.
- Sélectionnez la machine virtuelle et cliquez dessus pour afficher les propriétés du système.
- Cliquez sur l' Virtualisation onglet.
- Vérifiez les
Agentless Anti-malware Etat de protection.
- Démarrer un synchronisation manuelle du connecteur Cloud pour vSphere pour voir s’il se termine correctement :
- Connectez-vous à la console ePO et accédez au compte cloud enregistré.
- Sélectionnez le nom du compte, puis cliquez sur
Sync . - Vérifiez l’état de la dernière synchronisation.
- Déterminez si l’événement approprié a été généré, mais pas transmis à la base de données ePO :
- Identifier l’UUID de l’ordinateur virtuel et archiver le instance SQL de la base de données ePO
MOVEAGNTLSS_PROTECTIONSTATUS tableau correspondant à l’État. - Recherchez le
PROTECTION_STATUS colonne et identifiez si elle affiche LORS ou CONNEXION pour cette VM. - Désactivez la journalisation de débogage pour ePO Orion. log. Pour plus d’informations, voir KB52369-comment activer la journalisation de débogage et la taille du journal pour Orion. log dans ePolicy Orchestrator.
- Identifier l’UUID de l’ordinateur virtuel et archiver le instance SQL de la base de données ePO
Si le problème persiste
Si, après avoir suivi les étapes de dépannage ci-dessus, le problème n’est pas résolu, procédez comme suit :
- Notez le résultat de chaque étape de dépannage mentionnée ci-dessus en réussite ou en échec.
- Fournissez une copie du fichier Orion. log avec la journalisation de débogage activée.
- Contactez Support technique et indiquez le numéro de cet article (KB84669).
- Générer le
MOVE AntiVirus Agentless Fichier MER (SVA). VoirKB80097-comment générer le fichier MER sans agent MOVE AntiVirus.
IMPORTANT : Les fichiers suivants sont requis pour Support technique :
- Fichiers Minimum Escalation Requirements (MER) pour votre produit spécifique. Pour plus d’informations sur le téléchargement du démere pour chaque produit, reportez-vous à la section L’article KB59385-utilisation des outils MER avec les produits pris en charge.
- Autres fichiers et journaux demandés par le Support technique.
Pour contacter Support technique, Accédez à la page Page créer une demande de service et connectez-vous à ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur Connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur S'enregistrer Renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Informations connexes
Sans agent AV 3.x Evénements (MOVE sans agent 3.x est en fin de vie)
- EVÉNEMENT 34431 (Protection de la machine virtuelle)
- EVÉNEMENT 34432 (VM non protégée
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro