Como solucionar problemas de máquinas virtuais quando o status da proteção do anti-malware é desativado ou desconhecido
Artigos técnicos ID:
KB84669
Última modificação: 13/10/2021
Última modificação: 13/10/2021
Ambiente
McAfee Cloud Workload Security (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Resumo
Detalhes do plano de fundo
Os eventos de status de proteção a seguir são enviados de:
Os eventos de status de proteção a seguir são enviados de:
- Uma máquina virtual (VM) para o appliance virtual de segurança (SVA)
- O SVA para o ePolicy Orchestrator (ePO), onde ele é colocado em uma tabela de banco de dados SQL
MOVE AV agentless 4.x Eventos
EVENT 37086 (VM desprotegida)EVENT 37087
OBSERVAÇÃO: Consulte também o seguinte artigo: KB77944-lista de IDs de evento para MOVE sem agente e várias plataformas)
A partir dessa tabela, o conector de nuvem para vSphere lê o conteúdo e preenche a interface do usuário do ePO (UI). A função do conector de nuvem para vSphere aqui é apenas para exibir o conteúdo da tabela para relatar o status de proteção das VMs.Há vários motivos pelos quais o status da proteção não é relatado corretamente. Devido aos diferentes componentes envolvidos nesse ambiente, é importante seguir um método de solução de problemas que faça o seguinte:
- Guia você através dos diferentes estágios envolvidos, para identificar corretamente onde está a causa do problema.
- Forneça a solução para superar o problema.
- MOVE AV agentless está configurado corretamente.
- MOVE política sem agente possui mecanismo de varredura de acesso (OAS) no momento da ativação.
- MOVE extensão do AV Agent sem agente está instalada no ePO.
- O serviço Analisador de eventos está em execução.
- O conector da nuvem para vSphere registro da conta foi concluído com êxito.
Para obter assistência, consulte os respectivos guias de produto no Registro de contas na nuvem seção
Para obter documentos do produto, vá para o Portal de documentação do produto. - SVA e a VM são gerenciados pelo mesmo servidor ePO.
- VMware vCenter relata corretamente a presença do SVA para cada host.
- A VM está ligada. Quando a VM entra em estado de ociosidade, o
vsepflt o driver é descarregado, o que pode contribuir para relatar oAgentless anti malware protection à Desligar. - Verifique se os eventos a seguir estão selecionados no ePO. Navegue até Configurações do servidor, Filtragem de eventose, em seguida, Clique Editar:
EVENT 37086 (VM protegida)EVENT 37087 (VM desprotegida)
Solução 1
Solução de problemas da VM
Inicie a solução de problemas a partir de uma VM que relate o status de proteção incorreto no ePO. Anote o nome da VM e o UUID (ID exclusivo) da VM na qual a solução de problemas é executada. Essas informações podem ser encontradas no ePO e vCenter.
Inicie a solução de problemas a partir de uma VM que relate o status de proteção incorreto no ePO. Anote o nome da VM e o UUID (ID exclusivo) da VM na qual a solução de problemas é executada. Essas informações podem ser encontradas no ePO e vCenter.
- Verifique se a VM está relatando as informações corretas do sistema para o ePO:
- Entre no console do ePO.
- Clique no Árvore de sistemas e abra o grupo vSphere e, em seguida, localize a VM.
- Para exibir as propriedades do sistema, clique na VM.
- Clique no botão Virtualization na.
- Verifique se os detalhes da VM estão presentes e corretos.
- Verifique se as ferramentas VMware estão instaladas.
OBSERVAÇÃO: A instalação do VMware ferramentas é um pré-requisito quando você usa o MOVE AV agentless.
- Verifique usando o ePO:
No Árvore de sistemas do ePO, navegue até o grupo de vSphere, identifique o sistema e verifique se a ferramenta VMware está listada na coluna ferramenta VMware.
Se as ferramentas VMware estiverem instaladas, elas serão relatadas ficando.
- Verificar usando a VM:
Em Adicionar ou remover programas, verifique se a ferramenta VMware está listada. Se não estiver, fazer download e instale oVMware Open Virtualization Format (OVF) pacote de software de: http://communities.vmware.com/community/vmtn/server/vsphere/automationtools/ovf.
- Verifique usando o ePO:
- Verifique se o
VMCI o driver está ativado.
A instalação das ferramentas do VMware não instala automaticamente a interface de comunicação da máquina virtual(VMCI driver vsepflt.sys) . Assim, quando você instalar as ferramentas do VMware, selecione Instalação personalizadae, sob oVMCI Driver, selecione vShield drivers.
Para verificar se o driver da vShield(vsepflt.sys) estiver instalado, navegue até a seguinte pasta:C:\Windows\System32\drivers
- Ativar log de depuração para o ePO.
Antes de começar a solucionar o problema, se for necessária uma análise adicional, ative log de depuração para o ePO noOrion.log arquivo. Para saber como ativar o registro em log de depuração para a extensão do conector Cloud, consulte KB90072-como ativar o registro em log de depuração para os conectores de Cloud Workload Security
- Verifique se o
VMCI Drivervsepflt ) foi carregado corretamente:
OBSERVAÇÃO: Quando você recarrega o driver de vShield, ele força os eventos a ser gerados. Esse teste pode ser usado para verificar a comunicação correta.
- Entre no Endpoint VM como administrador.
- Abra um prompt de comando, clique em Começo, Executar, digite
cmd e, em seguida, clique em Okey. - Para descarregar o driver
vsepflt , digite o comando a seguir e pressione Enter:
fltmc unload vsepflt
- Para carregar o
vsepflt do driver, digite o comando a seguir e pressione Enter:
fltmc load vsepflt
- Ressincronizar o SVA com o ePO.
Para que os comandos do MA coletem e enviem Propriedades do SVA para o servidor ePO, consulte Opções de linha de comando do KB52707-McAfee Agent.
O sistema agora exibe oAnti-Malware Status da proteção como NUM.
- Verifique se os eventos gerados acima estão alcançando o ePO:
- Entre no console do ePO.
- Clique Menu, Relatório, Log de eventos de ameaça e verifique se os eventos mencionados acima estão presentes.
- Verifique se você também está recebendo o endereço IP do sistema cliente nos logs de eventos de ameaça.
- Verifique se os eventos gerados acima alteraram o status de proteção da VM:
- Navegue até o nó no ePO.
- Selecione o Virtualization e, em seguida, verifique o status da
Agentless Anti-malware Protege. - Verifique se o status mostra NUM.
- Verifique se o EICAR pode ser detectado na VM:
- Crie e teste a VM com um arquivo de teste EICAR. Para obter detalhes, consulte KB59742-como usar o arquivo de teste EICAR com produtos de McAfee.
- Entre no console do ePO.
- Clique Menu, Relatório, Log de eventos de ameaça e verifique se o evento de ameaça está presente.
Solução 2
Solução de problemas do Security Virtual Appliance (SVA)
- Verifique se o SVA foi relatado corretamente no ePO e se ele está ativado:
- Entre no console do ePO.
- No Árvore de sistemas, selecione o vSphere host e verifique se o SVA associado é relatado.
- Confirme se HOST está listado sob o tipo de sistema de coluna.
- No Árvore de sistemas, acesse as propriedades do sistema SVA e confirme se as propriedades do SVA estão relatadas corretamente.
- Na seção Resumo, verifique se o endereço IP correto está listado.
- Na seção Propriedades, verifique se todos os detalhes estão listados e se estão corretos.
- Verifique se o SVA foi relatado corretamente no vCenter:
- Entre em VMware vShield vCenter.
- No local Doméstica, clique em Host em Clusters.
- No painel esquerdo, selecione o host.
- No painel direito, clique no botão Máquinas virtuais na.
- Localize seu SVA e verifique se o status na coluna Estado mostra
Powered On .
- Verifique se o registro do SVAs com seus respectivos hipervisors (no
VMware vCenter, os SVAs estão listados na listavShield guia):- Entre no cliente do vSphere e vá para Doméstica e selecione o
vShield ícone. Uma janela de logon é exibida. - Entre com suas credenciais para acessar o console do.
- No painel esquerdo, expanda
Datacenters . - Selecione o endereço IP
###.###.###.### do host. - No painel direito, a guia Resumo exibe e mostra detalhes de máquinas virtuais do serviço.
- Verifique se o SVA foi registrado corretamente.
Exemplo de detalhes que a seção de máquinas virtuais do serviço mostra:
Nome Ferência MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Entre no cliente do vSphere e vá para Doméstica e selecione o
- Star os MOVE serviços do SVA antivírus sem agente:
- Entre no SVA com a conta raiz ou administrador.
- Em um prompt de comando, digite o seguinte:
Sudo service move restart
- Entre no console do ePO.
- Localize o SVA no Árvore de sistemas.
- Verifique as propriedades do sistema SVA e confirme se o SVA está se comunicando corretamente.
- Verifique se o status da VM foi alterado.
- Verifique se o SVA a data e a hora são o no está sincronizado com o ePO.
OBSERVAÇÃO: Se o fuso horário do SVA e do ePO não estiver sincronizado, os eventos serão rejeitados e o banco de dados não será atualizado.
Para obter detalhes sobre como definir a hora no SVA, consulte "Configurando o SVA" no guia do produto MOVE AV sem agente para a sua versão. Consulte a seção informações relacionadas abaixo para saber onde localizar a documentação do produto.
- Carregue e descarregue o driver e verifique se o evento relacionado está atingindo o SVA. Verifique em cada estágio se os eventos estão sendo transferidos:
- Interrompa o McAfee Agent no SVA. Para saber como usar as opções de linha de comando com o MA, consulte Opções de linha de comando do KB52707-McAfee Agent.
- Na VM, descarregue e carregue o driver do VMCI (vsepflt), que gera os seguintes eventos:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Entre no Endpoint VM como administrador.
- Abra um prompt de comando, clique em Começo, Executar, digite
cmd e, em seguida, clique em OK. - Digite os comandos a seguir e pressione Enter:
Fltmc unload vsepflt
Fltmc load vsepflt
- Verifique se o evento é gerado. No SVA, navegue até o local a seguir e verifique se um evento relacionado ao driver interrompido está presente.
Massachusetts 5.9 e versões posteriores:
var/McAfee/Agent/AgentEvent
- Se o evento não estiver presente, certifique-se de que o MA esteja interrompido. Para saber como usar as opções de linha de comando com o MA, consulte
- Em seguida, tente carregar e descarregar o driver vsepflt novamente. Se esses eventos não chegarem na pasta de eventos do MA, solucione esse problema. Exibidas KB52707-McAfee Agent opções de linha de comando.
- Ativar ou desativar o registro em log do nível de depuração no SVA. Para obter detalhes, consulte KB87799-como ativar o registro em log de depuração para MOVE sem agente e multiplataforma por meio da linha de comando.
- Gere o evento novamente descarregando e recarregando o
vsepflt na VM e, em seguida, colete um SVA MER. Para obter detalhes, consulte KB80097-como gerar o MOVE AntiVirus arquivo do MER Agent. - Desativar Registro em log do nível de depuração no SVA.
- Se esses eventos chegarem na pasta de eventos do MA, envie o evento para o ePO e reinicie o MA e imponha a política. No prompt de comando, digite o seguinte:
sudo /opt/McAfee/cma/bin/cmdagent -P
OBSERVAÇÃO: O evento não está mais presente na pasta de eventos SVA.
- Verifique se o evento é relatado no log de eventos de ameaça do ePO. Essa ação confirma que o evento está alcançando o ePO:
- Entre no console do ePO.
- Clique Menu, Relatório, Log de eventos de ameaça. Os eventos a seguir são mostrados para a VM:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- No console do ePO, verifique o status do
Agentless Anti-malware Protege- Entre no console do ePO.
- Clique Árvore de sistemas, vSphere grupoe, em seguida, localize a VM.
- Selecione a VM e clique nela para abrir as propriedades do sistema.
- Clique no botão Virtualization na.
- Verifique se o
Agentless Anti-malware Status da proteção.
- Iniciar uma sincronização manual do conector da nuvem para vSphere para ver se ele foi concluído com êxito:
- Entre no console do ePO e acesse a conta na nuvem registrada.
- Selecione o nome da conta e clique em
Sync . - Verifique o status da última sincronização.
- Determine se o evento apropriado foi gerado, mas não foi passado para o banco de dados do ePO:
- Identificar o UUID da VM e fazer check-in da instância do SQL do banco de dados do ePO
MOVEAGNTLSS_PROTECTIONSTATUS tabela do status. - Localize o
PROTECTION_STATUS coluna e identificar se ele mostra NUM ou DESLIGAR para essa VM. - Desativar log de depuração para o ePO Orion. log. Para obter detalhes, consulte KB52369-como ativar o registro em log de depuração e o tamanho do log para Orion. log no ePolicy Orchestrator.
- Identificar o UUID da VM e fazer check-in da instância do SQL do banco de dados do ePO
Se o problema permanecer não resolvido
Se, após seguir as etapas de solução de problemas acima, o problema permanecer Unsolved, faça o seguinte:
- Observe o resultado de cada etapa de solução de problemas mencionada acima como uma aprovação ou falha.
- Forneça uma cópia do Orion. log com registro de depuração ativado.
- Entre em contato com o Suporte técnico e forneça este número de artigo (KB84669).
- Gerar o
MOVE AntiVirus Agentless MER arquivo (SVA). Exibidas KB80097-como gerar o MOVE AntiVirus arquivo do MER Agent.
IMPORTANTE: Os arquivos a seguir são necessários para Suporte técnico:
- arquivos do Minimum Escalation Requirements (MER) para seu produto específico. Para obter informações sobre como fazer download do MERs para cada produto, consulte KB59385-como usar as ferramentas do MER com produtos compatíveis.
- Outros arquivos/registros, conforme solicitado pelo Suporte técnico.
Para entrar em contato com o Suporte técnico, Vá para a Página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em Entrar.
- Se você não for um usuário registrado, clique em Registrar e preencha os campos para que sua senha e suas instruções sejam enviadas por e-mail para você.
Informações relacionadas
AV agentless 3.x Eventos (MOVE sem agente 3.x está no fim da vida útil)
- EVENTO 34431 (VM protegida)
- EVENTO 34432 (VM desprotegida
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro