Come risolvere i problemi delle macchine virtuali quando lo stato di protezione antimalware è disattivato o sconosciuto
Articoli tecnici ID:
KB84669
Ultima modifica: 13/10/2021
Ultima modifica: 13/10/2021
Ambiente
Cloud Workload Security McAfee (CWS) 5.x
McAfee MOVE AntiVirus (AV) Agentless 4.x
Riepilogo
Dettagli di sfondo
I seguenti eventi di stato di protezione vengono inviati da entrambi:
I seguenti eventi di stato di protezione vengono inviati da entrambi:
- Una macchina virtuale (VM) per la Security Virtual Appliance (SVA)
- SVA to ePolicy Orchestrator (ePO), dove viene inserito in una tabella di database SQL
MOVE AV senza Agent 4.x Eventi
EVENT 37086 (VM non protetta)EVENT 37087
Nota Vedi anche il seguente articolo: KB77944-elenco di ID evento per MOVE senza Agent e multi-piattaforma)
Da tale tabella, il connettore cloud per vSphere legge il contenuto e popola l'interfaccia utente ePO (UI). Il ruolo del connettore cloud per vSphere qui è solo quello di visualizzare il contenuto della tabella per segnalare lo stato di protezione delle macchine virtuali.Esistono diversi motivi per cui lo stato di protezione non viene segnalato correttamente. A causa dei diversi componenti coinvolti in questo ambiente, è importante seguire un metodo di risoluzione dei problemi che esegue le operazioni riportate di seguito:
- Guida l'utente attraverso le varie fasi coinvolte, per identificare correttamente la causa del problema.
- Fornire la soluzione per risolvere il problema.
- MOVE AV Agent non è configurato correttamente.
- MOVE policy senza Agent ha attivato il programma di scansione all'accesso (OAS).
- MOVE estensione AV senza Agent viene installata in ePO.
- L'evento parser servizio è in esecuzione.
- La registrazione dell'account di Cloud Connector per vSphere è stata completata correttamente.
Per assistenza, consultare le rispettive guide di prodotto nella Registrazione di account cloud sezione
I documenti relativi ai prodotti McAfee sono disponibili sul portale Documentazione del prodotto Enterprise all'indirizzo https://docs.mcafee.com. - SVA e VM sono entrambi gestiti dallo stesso server ePO.
- VMware vCenter segnala correttamente la presenza di SVA per ogni host.
- La macchina virtuale è attivata. Quando la VM passa a uno stato di inattività, il
vsepflt il driver viene scaricato, che può contribuire a segnalare ilAgentless anti malware protection come Disattivare. - Assicurarsi che i seguenti eventi siano selezionati in ePO. Passare a Impostazioni del server, Filtraggio degli eventiE poi fare clic su Modifica:
EVENT 37086 (VM protetta)EVENT 37087 (VM non protetta)
Soluzione 1
Risoluzione dei problemi della macchina virtuale
Avviare la risoluzione dei problemi da una VM che segnala lo stato di protezione errato in ePO. Prendere nota del nome della VM e dell'UUID (ID univoco) della VM in cui viene eseguita la risoluzione dei problemi. Queste informazioni possono essere trovate in ePO e vCenter.
Avviare la risoluzione dei problemi da una VM che segnala lo stato di protezione errato in ePO. Prendere nota del nome della VM e dell'UUID (ID univoco) della VM in cui viene eseguita la risoluzione dei problemi. Queste informazioni possono essere trovate in ePO e vCenter.
- Verificare che la VM stia segnalando le informazioni di sistema corrette a ePO:
- Accedere alla console di ePO.
- Fare clic sul Struttura dei sistemi e aprire il gruppo vSphere, quindi individuare la VM.
- Per visualizzare le proprietà del sistema, fare clic sulla VM.
- Fare clic sul pulsante Virtualizzazione scheda.
- Verificare che i dettagli della VM siano presenti e corretti.
- Verificare che siano installati gli strumenti di VMware.
Nota L'installazione di Strumenti di VMware è un prerequisito quando si utilizza MOVE AV Agent.
- Verifica mediante ePO:
Nel Struttura dei sistemi ePO, passare al gruppo vSphere, identificare il sistema e verificare che lo strumento VMware sia elencato nella colonna degli strumenti di VMware.
Se gli strumenti di VMware sono installati, segnala in esecuzione.
- Verifica utilizzando VM:
In Installazione applicazioni, verificare che VMware strumento sia elencato. In caso contrario, download e installare ilVMware Open Virtualization Format (OVF) pacchetto software da: http://communities.vmware.com/community/vmtn/server/vsphere/automationtools/ovf.
- Verifica mediante ePO:
- Verificare che il
VMCI il driver è attivato.
L'installazione degli strumenti di VMware non installa automaticamente l'interfaccia di comunicazione della macchina virtuale(VMCI driver vsepflt.sys) . Pertanto, quando si installano gli strumenti di VMware, selezionare Installazione personalizzatae sotto ilVMCI driver, selezionare Driver vShield.
Per verificare che il driver vShield(vsepflt.sys) è installato, passare alla cartella seguente:C:\Windows\System32\drivers
- Attivare registrazione di debug per ePO.
Prima di iniziare a risolvere i problemi, se è necessaria un'ulteriore analisi, attivare registrazione di debug per ePO nelOrion.log file. Per informazioni su come attivare la registrazione di debug per l'estensione cloud Connector, consultare KB90072-come attivare la registrazione di debug per i connettori Cloud Workload Security
- Verificare che il
VMCI drivervsepflt ) viene caricato correttamente:
Nota Quando si ricarica il driver vShield, viene forzato a generare gli eventi. Questo test può essere utilizzato per verificare la corretta comunicazione.
- Accedere all'endpoint VM come amministratore.
- Aprire un prompt dei comandi, fare clic su Avvia, Esegui, digitare
cmd , quindi fare clic su OK. - Per scaricare il driver
vsepflt , digitare il comando seguente e premere INVIO:
fltmc unload vsepflt
- Per caricare il
vsepflt driver, digitare il comando seguente e premere INVIO:
fltmc load vsepflt
- Risincronizzare la SVA con ePO.
Per i comandi MA per la raccolta e l'invio di proprietà da SVA al server ePO, consultare KB52707-McAfee Agent switch della riga di comando.
Il sistema ora Visualizza ilantimalware Stato di protezione come SU.
- Verificare se gli eventi generati in precedenza raggiungono ePO:
- Accedere alla console di ePO.
- Fare clic su Menu, Reporting, Registro eventi di minaccia e verificare se sono presenti gli eventi sopra citati.
- Verificare che l'indirizzo IP del sistema client venga trovato anche nei registri degli eventi di minaccia.
- Verificare se gli eventi generati sopra hanno modificato lo stato di protezione della macchina virtuale:
- Passare al nodo in ePO.
- Selezionare il Virtualizzazione , quindi verificare lo stato del
Agentless antimalware Protezione. - Verificare che lo stato indichi SU.
- Verificare che EICAR possa essere rilevato nella macchina virtuale:
- Creare e testare la VM con un file di test EICAR. Per informazioni dettagliate, consultare KB59742-come utilizzare il file di test EICAR con i prodotti McAfee.
- Accedere alla console di ePO.
- Fare clic su Menu, Reporting, Registro eventi di minaccia e verificare che l'evento di minaccia sia presente.
Soluzione 2
Risoluzione dei problemi relativi a Security Virtual Appliance (SVA)
- Verificare che la SVA sia segnalata correttamente in ePO e che sia attivata:
- Accedere alla console di ePO.
- Dalla Struttura dei sistemi, selezionare il vSphere host e verificare se viene segnalata la SVA associata.
- Confermare che HOST è elencato sotto il tipo di sistema di colonna.
- Dalla Struttura dei sistemi, accedere alle proprietà del sistema SVA e verificare che le proprietà SVA siano segnalate correttamente.
- Nella sezione Riepilogo, verificare che sia elencato l'indirizzo IP corretto.
- Nella sezione proprietà, verificare che tutti i dettagli siano elencati e siano corretti.
- Verificare che la SVA sia segnalata correttamente nel vCenter:
- Accedere a VMware vShield vCenter.
- Nella posizione Domestica, fare clic su Host e Cluster.
- Nel riquadro a sinistra, selezionare il host.
- Nel riquadro a destra, fare clic sul pulsante Macchine virtuali scheda.
- Individuare la SVA e verificare che lo stato nella colonna stato indichi
Powered On .
- Verificare la registrazione di SVAs con i rispettivi hypervisor (nella
VMware vCenter, i SVAs sono elencati nellavShield scheda):- Accedere al client vSphere, quindi accedere a Domestica e selezionare il
vShield icona. Viene visualizzata una finestra di accesso. - Accedere con le credenziali per accedere alla console.
- Nel riquadro a sinistra, espandere
Datacenters . - Selezionare l'indirizzo IP
###.###.###.### del host. - Nel riquadro a destra, la scheda Riepilogo Visualizza e Mostra i dettagli delle macchine virtuali del servizio.
- Verificare che la SVA sia stata registrata correttamente.
Esempio di dettagli che la sezione macchine virtuali del servizio Mostra:
Nome Tipo MOVE AV vShield Endpoint Active SVM vShield Manager vShield Manager
- Accedere al client vSphere, quindi accedere a Domestica e selezionare il
- Riavviare i servizi MOVE di AV senza agente SVA:
- Accedere a SVA con l'account root o Administrator.
- Al prompt dei comandi, digitare quanto segue:
Sudo service move restart
- Accedere alla console di ePO.
- Individuare la SVA nel Struttura dei sistemi.
- Verificare le proprietà del sistema SVA e verificare che la SVA stia comunicando correttamente.
- Verificare se lo stato della VM è stato modificato.
- Verificare che la SVA la data e l'ora sono in è la sincronizzazione con ePO.
Nota Se il fuso orario SVA e ePO non è sincronizzato, gli eventi vengono rifiutati e il database non viene aggiornato.
Per informazioni dettagliate su come impostare l'ora in SVA, consultare la sezione "configurazione della SVA" nella guida del prodotto MOVE AV Agent per la versione in uso. Per individuare la documentazione del prodotto, consultare la sezione informazioni correlate riportata di seguito.
- Caricare e scaricare il driver e verificare che l'evento correlato raggiunga la SVA. Verificare in ogni fase che gli eventi vengono trasferiti:
- Arrestare il McAfee Agent sulla SVA. Per informazioni su come utilizzare gli switch della riga di comando con MA, consultare KB52707-McAfee Agent switch della riga di comando.
- Nella VM, scaricare e caricare il driver VMCI (VSEPFLT), che genera i seguenti eventi:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Accedere all'endpoint VM come amministratore.
- Aprire un prompt dei comandi, fare clic su Avvia, Esegui, digitare
cmd , quindi fare clic su Ok. - Digitare i comandi seguenti e premere INVIO:
Fltmc unload vsepflt
Fltmc load vsepflt
- Verificare che l'evento venga generato. Al SVA, passare al percorso seguente e verificare che sia presente un evento correlato al driver arrestato.
MA 5.9 e versioni successive:
var/McAfee/Agent/AgentEvent
- Se l'evento non è presente, verificare che MA sia interrotto. Per informazioni su come utilizzare gli switch della riga di comando con MA, consultare
- Quindi provare a caricare e scaricare nuovamente il driver VSEPFLT. Se tali eventi non arrivano nella cartella dell'evento MA, risolvere il problema. Vedere KB52707-McAfee Agent opzioni della riga di comando.
- Attivare o disattivare la registrazione del livello di debug in SVA. Per informazioni dettagliate, consultare KB87799-come attivare la registrazione di debug per MOVE senza Agent e multi-platform tramite la riga di comando.
- Generare nuovamente l'evento scaricando e ricaricando il
vsepflt driver presso la macchina virtuale, quindi raccogliere una SVA MER. Per informazioni dettagliate, consultare KB80097-come generare il MOVE AntiVirus file MER senza Agent. - Disattiva la registrazione del livello di debug in SVA.
- Se tali eventi arrivano nella cartella eventi MA, inviare l'evento a ePO, quindi riavviare MA e imporre il policy. Al prompt dei comandi, digitare quanto segue:
sudo /opt/McAfee/cma/bin/cmdagent -P
Nota L'evento non è più presente nella cartella dell'evento SVA.
- Verificare che l'evento sia stato segnalato nel registro eventi di minaccia ePO. Questa azione conferma che l'evento sta raggiungendo ePO:
- Accedere alla console di ePO.
- Fare clic su Menu, Reporting, Registro eventi di minaccia. Per la macchina virtuale vengono visualizzati i seguenti eventi:
34432 or 37087 (VM Unprotected)
34431 or 37086 (VM Protected)
- Nella console ePO, verificare lo stato del
Agentless antimalware Protezione- Accedere alla console di ePO.
- Fare clic su Struttura dei sistemi, gruppo vSphere, quindi individuare la VM.
- Selezionare la macchina virtuale e fare clic su di essa per visualizzare le proprietà del sistema.
- Fare clic sul pulsante Virtualizzazione scheda.
- Verificare la
Agentless antimalware Stato di protezione.
- Avvia un sincronizzazione manuale del connettore Cloud per vSphere per verificare se il completamento è stato completato correttamente:
- Accedere alla console ePO e accedere all'account cloud registrato.
- Selezionare il nome dell'account e fare clic su
Sync . - Verificare l'ultimo stato di sincronizzazione.
- Determinare se è stato generato l'evento appropriato, ma non viene passato al database ePO:
- Identificazione dell'UUID della VM e archiviazione dell'istanza SQL del database ePO
MOVEAGNTLSS_PROTECTIONSTATUS tabella per lo stato. - Individuare il
PROTECTION_STATUS colonna e identifica se Mostra SU o DISATTIVARE per quella VM. - Disattiva la registrazione di debug per ePO Orion. log. Per informazioni dettagliate, consultare KB52369-come attivare la registrazione di debug e le dimensioni del registro per Orion. log in ePolicy Orchestral.
- Identificazione dell'UUID della VM e archiviazione dell'istanza SQL del database ePO
Se il problema rimane irrisolto
Se dopo aver seguito la procedura di risoluzione dei problemi descritta sopra il problema rimane irrisolto, procedere come segue:
- Si noti il risultato di ogni passaggio di risoluzione dei problemi menzionato sopra come passaggio o esito non riuscito.
- Fornire una copia di Orion. log con la registrazione di debug attivata.
- Contattare Assistenza tecnica e fornire questo numero di articolo (KB84669).
- Genera il
MOVE AntiVirus Agentless File MER (SVA). Vedere KB80097-come generare il MOVE AntiVirus file MER senza Agent.
IMPORTANTE: l'assistenza tecnica ha bisogno dei seguenti file:
- File Minimum Escalation Requirements (MER) per il prodotto specifico. Per informazioni sul download dei file MER per ciascun prodotto McAfee, consultare l'articolo KB59385.
- Altri file e registri richiesti dall'assistenza tecnica.
Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
- Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
Informazioni correlate
AV senza Agent 3.x Eventi (MOVE senza Agent 3.x è la fine del ciclo di vita)
- EVENTO 34431 (VM protetta)
- EVENTO 34432 (VM non protetta
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro