• Procmon supervisa y muestra toda la actividad del sistema de archivos en un sistema operativo Microsoft Windows en tiempo real. Se utiliza en administración de sistemas, análisis forenses y depuración de aplicaciones.
• Procdump es una utilidad de línea de comandos que se utiliza para monitor una aplicación para obtener picos en la CPU. Genera volcados de bloqueo durante un pico que un administrador o desarrollador puede utilizar para determinar la causa del pico.
• Perfmon es una herramienta que los administradores pueden utilizar para examinar la forma en que los programas, que se ejecutan en sus equipos, afectan al rendimiento del equipo. La herramienta se utiliza en tiempo real para analizar cómo el rendimiento del sistema se ve afectado por la ejecución de programas. También puede utilizar esta herramienta para recopilar información sobre el archivo de registro para el análisis de datos de rendimiento del sistema posteriormente.
• MER recopila registros de eventos, detalles de versión de archivos, archivos, detalles de procesos y detalles de registro de los productos de McAfee instalados en el equipo. Los datos recopilados se analizan y se utilizan en Soporte técnico para resolver problemas.
• GFlags permite activar y desactivar las funciones de diagnóstico y solución de problemas de los sistemas internos avanzados. Puede ejecutar GFlags en una ventana del símbolo del sistema o utilice su cuadro de diálogo de interfaz gráfica de usuario. Se suele utilizar para activar los indicadores que otras herramientas rastrean, recuentos y registro.
• WinDbg es un depurador para el sistema operativo Microsoft Windows, distribuido por Microsoft. Se puede utilizar para depurar aplicaciones en modo de usuario, controladores de dispositivos y el propio sistema operativo en modo de kernel. Dispone de una interfaz gráfica de usuario y es más eficaz que el depurador de Visual Studio.
• PoolMon muestra los datos que recopila el sistema operativo sobre las asignaciones de memoria de los grupos de kernels paginados y no paginados del sistema, así como de los grupos de memoria utilizados para las sesiones de servicios de Terminal Server. Los datos se agrupan por la etiqueta de asignación de grupos. Microsoft Soporte técnico utiliza esa información para localizar las fugas de memoria en modo kernel.
• Convertidor de VMware es una utilidad gratuita de VMware que ayuda a convertir los sistemas físicos basados en Windows y Linux a VMware máquinas virtuales. También puede utilizarla para convertir formatos de imagen de terceros, como imágenes de copia de seguridad y otras máquinas virtuales, en VMware máquinas virtuales. Utilice esta herramienta para crear máquinas virtuales con el fin de proporcionar Soporte técnico para la solución de problemas.

1. ¿Qué sistema operativo?
2. ¿Qué versión de Solidcore?
3. ¿Hay algún otro software de McAfee instalado?
4. ¿Cuál es el sistema utilizado para (servidor de archivos, estación de trabajo, controlador de dominio)?
5. ¿Cuál es el problema?
6. ¿Qué solución de problemas se ha realizado?

1. ¿Cambia el comportamiento en cualquier otro modo (actualizar, activado, observar, desactivado)?
2. ¿Cambia el comportamiento con el mA desactivado?
3. ¿Cambia el comportamiento con el control de ejecución desactivado?

1. Versión de ePO?
2. ¿Versión actual de la extensión de Solidcore?
3. Si se ha ampliado la extensión, ¿cuál era la ruta de ampliación de la extensión?
4. ¿Cuál es el mensaje de error de la pantalla frente al registro de Orion?
5. Proporcione las capturas de pantalla que muestren el problema.

• Copia de seguridad SQL completa y Recuperación de desastres Utilice el base de conocimiento para buscar "backup/recovery for ePO" Si tiene un clúster o "AWS" porque existe un artículo de Knowledge base distinto para cada uno.
• Reglas de Solidcore
• Directiva de Solidcore
• Asignaciones de directivas de Solidcore
• Tareas cliente de Solidcore
• Asignaciones de tareas cliente de Solidcore
• Paneles de Solidcore personalizados
• Consultas de Solidcore personalizadas
• Respuestas automáticas de Solidcore personalizadas
• Conjuntos de permisos de Solidcore personalizados
• Captura de pantalla de cualquier configuración de Solidcore personalizada
• Exportar tabla de certificados (no se pueden exportar los certificados, debe tenerlos de nuevo)
• Exportar tabla para los hashes de instalador (debe tener la confianza de los hashes y de los certificados en los instaladores)
• Tareas servidor

• Verifique que estén instalados todos los certificados raíz necesarios.

1. Cárguela Procmon.
2. Ejecutándose Procmon con el registro de arranque.
3. Reproduzca el problema.
4. Recopilar la MER, Gatherinfo, así Procmon Programa (*.PML).

1. Cárguela Procmon.
2. Ejecutándose Procmon como administrador.
3. Reproduzca el problema.
4. Recopilar la MER, Gatherinfo, y Procmon Programa (*.PML).
5. Recopile lo siguiente para la aplicación:
   1. Nombre de proceso de la aplicación que se está iniciando
   2. Versión de la aplicación
   3. Si la aplicación es interna o está hecha por otra empresa
   4. Copia de la aplicación o un vínculo a dónde obtener una versión de prueba

1. Realice una captura de pantalla de Manager de tareas que muestren un uso elevado de recursos con nombres de procesos.
2. Tenga en cuenta con qué frecuencia se produce el lento rendimiento (cada 5 minutos, 60 minutos, en términos generales).
3. Recopile Windows Performance Monitor a lo largo del tiempo de lentitud. (5 minutos a menos que se requiera más).
4. Recopile el MER, Gatherinfoy Windows Perfmon Programa.

• Para desactivar el control de ejecución, ejecute: "sadmin features disable execution-control"
• Para activar control de ejecución, ejecute: "sadmin features enable execution-control"

1. Cárguela ProcDump.
2. Traer ProcDump en el escritorio.
3. Abra un símbolo del sistema administrativo y cambie el directorio a: C:\Users\username\Desktop\Procdump
4. Ejecute el siguiente comando: procdump -ma
5. Recopile el archivo de volcado creado. Se encuentra en la Procdump directorio.
6. Recopile la MER y Gatherinfo Programa.

1. Cárguela ProcDump.
2. Traer ProcDump en el escritorio.
3. Abra un símbolo del sistema administrativo y cambie el directorio a: C:\Users\username\Desktop\Procdump
4. Ejecute el siguiente comando: Procdump-ma-e
   SEÑALAR El conmutador-e indica a Procdump para generar un volcado la siguiente vez que se bloquee el proceso.
5. Espere a que el proceso se bloquee de nuevo.
6. Recopile el archivo de volcado creado, que se encuentra en la Procdump directorio.
7. Recopilar la MER así Gatherinfo Programa.

1. Configurar el sistema para crear un completo memory.dmp. Ve KB56023-cómo crear un volcado de memoria para su análisis por Soporte técnico.
2. Configure el sistema para permitir un bloqueo del teclado. Consulte https://msdn.microsoft.com/en-us/library/windows/hardware/ff545499%28v=vs.85%29.aspx.
3. Cree el archivo de volcado cuando se produzca el problema. En general, cuanto más tiempo se puede esperar antes de generar el archivo de volcado, más fácil es identificar la condición de bloqueo en el volcado.
4. Recopile la MER y Gatherinfo Programa.
5. Recaba FLTMC.

1. Configurar el sistema para crear un completo memory.dmp. Ve KB56023-cómo crear un volcado de memoria para su análisis por Soporte técnico.
2. Recopile el archivo de volcado completo cuando se produzca la comprobación de errores del sistema (pantalla azul). (El archivo de volcado se encuentra en c:\Windows.)
3. Recopile la MER y Gatherinfo Programa.
4. Recaba FLTMC.

Siga los pasos que se indican en esta sección si los síntomas son Rendimiento lento de ePO, bloquear bien no responde.

1. Active la depuración de Orion.
2. Active el volcado del montón de Java.
3. Recopile los archivos de volcado del montón de MER y Java.

1. Active el Orion de depuración.
2. Reproduzca el problema (ampliar o instalar).
3. Recopile un MER de ePO.

1. Active la depuración de la extensión Solidcore.
2. Reproduzca el problema.
3. Recopile capturas de pantalla de los eventos y problemas.
4. Recopile un MER de ePO.

1. Active la depuración de la extensión Solidcore.
2. Recopile una captura de pantalla del problema con los pasos de la reproducción.
3. Exportación de panel (normalmente una consulta).
4. Recopile un MER de ePO.

1. Asegúrese de que se estén ejecutando los servicios del servidor de ePO.
2. Asegúrese de que el cliente se haya solidificado.
3. Compruebe la hora de obtención del inventario (última y siguiente).
4. Si el tiempo de inventario es superior a 7 días, vuelva a ejecutar la tarea de extracción.
5. Si el tiempo de inventario es inferior a 7 días, ejecute la tarea de restablecimiento de tiempo de inventario. Para restablecer la sincronización de inventario de última hora en el cliente, ejecute los siguientes comandos:

1. Active el registro de depuración de Orion.
2. Vuelva a ejecutar la tarea de migración.

1. Facilitar Servidor de ePO (por eventparser*.log) y Orion registro de depuración.
2. Activar registro de depuración de McAfee Agent (nivel de registro 8).
3. Cree algunos eventos en el cliente.
4. Verifique que los eventos se creen en la carpeta AgentEvents (c:\program data\mcafee\agent\agentevents).
5. Copie los eventos del cliente.
6. Sincronice McAfee Agent y envíe los eventos a ePO.
7. Verifique que los eventos vayan a la carpeta analizador de eventos (\DB\Events).
8. Recopile un MER y Gatherinfo desde el cliente y una MER desde el servidor de ePO.

1. Active el registro de depuración de Orion.
2. Inicie sesión en la consola de ePO.
3. Comprobar servidores registrados de ePO:
   Menú, servidores registrados, servidor de McAfee GTI, acciones, editar
4. Comprobar la conexión; Asegúrese de que dice correcto.

• Recopile un MER de ePO.
• Recopile el resultado de la configuración de GTI mediante SQL.

1. Abra un símbolo del sistema de administrador.
2. Recuperación de la CLI local mediante la ejecución recuperación de comando sadmin. Se necesita una contraseña para desbloquear la CLI local.
3. Ejecut gatherinfo.bat (Windows) o gatherinfo.sh (UNIX).
4. Finaliza gatherinfo se ha completado, un archivo denominado gatherinfo.zip (Windows) o gatherinfo--.tar.gz se crea en el directorio actual.

1. En el cliente, descargue la Cliente de MER.
2. Ejecutándose MER.exe en el cliente.
3. Seleccione todas las aplicaciones o seleccione manualmente aplicación y Change control.
4. Cuando termine, cargue el .tgz archivo en el caso o permitir que la herramienta se cargue a sí misma.

1. Arranque el sistema en modo seguro.
2. Inicie el editor del registro (Inicio, ejecutar, regedit).
3. Vaya a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swin\parameters
4. Editar clave: RTEModeOnReboot = 2 or 0
5. Reiniciar

1. sadmin recover (La contraseña es necesaria para desbloquear la CLI).
2. sadmin loglevel enable MAHDLR ALL.
3. sadmin lockdown para restringir el acceso a la CLI.

1. sadmin recover (La contraseña es necesaria para desbloquear la CLI).
2. sadmin loglevel disable MAHDLR ALL.
3. sadmin loglevel enable MAHDLR ERROR WARNING SYSTEM.
4. sadmin lockdown para restringir el acceso a la CLI.

1. sadmin recover (Se necesita una contraseña para desbloquear la CLI).
2. sadmin config set LogfileNum=n* - (donde b es el número de archivos en decimal).
3. sadmin config set LogfileSize=nnnn*** - (donde nnnn * * es el tamaño del archivo en kilobytes (KB)).
4. sadmin lockdown para restringir.

1. sadmin recover (Se necesita una contraseña para desbloquear la CLI).
2. sadmin config set LogfileNum=4
3. sadmin config set LogfileSize=2048
4. sadmin lockdown para restringir.

1. Arranque el sistema en modo seguro.
2. Vaya a: C:\program files\mcafee\solidcore
3. Elimine el archivo: Passwd
4. Reinicie en modo normal.
5. Recuperar CLI: sadmin recover

1. Crear comando SC: Run con los siguientes comandos
   • config set InvDiffLastAccessTime=default
   • config set PullInvLastAccessTime=default
2. Envíe la tarea al cliente.

1. Abra un símbolo del sistema de administrador.
2. Recuperación de la CLI local mediante la ejecución sadmin recover. Se necesita una contraseña para desbloquear la CLI local.
3. Ejecute los siguientes comandos:
   • sadmin config set InvDiffLastAccessTime=default
   • sadmin config set PullInvLastAccessTime=default

• sadmin auth -l > auth.txt
• findstr /R /N "^" auth.txt

1. Abra un símbolo del sistema de administrador.
2. Recuperación de la CLI local mediante la ejecución sadmin recover. Se necesita una contraseña para desbloquear la CLI local.
3. Ejecute el siguiente comando:
   • sadmin usm get all
4. Compruebe la salida.

1. Recopile el registro de instalación del cliente (C:\windows\solidcore_install.log).
2. Abra los registros en un editor de texto.
3. Busque "valor devuelto 3".
4. Busque el error.

1. Abra un símbolo del sistema administrativo.
2. Escribafltmc".
3. Recopile la salida de la fltmc mando.

1. Descargue Process Monitor desde Microsoft.
2. Extraiga el archivo ProcessMonitor. zip en su escritorio.
3. Para iniciar el registro, haga clic con el botón derecho en Procmon.exe y elija Ejecutar como administrador para ejecutar la herramienta.
4. Activa Opciones, Activar registro de arranque.
5. Pulsar VALE.
6. Reinicie el equipo.
7. Cuando haya finalizado la carga de Windows, haga doble clic en Procmon.exe.

1. Inicie sesión en la consola de ePO.
2. Activa Menú, Configuraci, Reglas de Solidcore.
3. Haga clic en la Grupos de reglas pestaña.
4. Coloque una marca de verificación junto a las reglas creadas por el usuario. Estas reglas son las que se editan junto a ellas.
5. Pulsar Exporta.
6. Guarde el archivo XML en el equipo local.

1. Tome el archivo XML exportado para la copia de seguridad y colóquelo en el equipo en el que accede a ePO.
2. Inicie sesión en la consola de ePO.
3. Activa Menú, Configuraci, Reglas de Solidcore.
4. Haga clic en la Grupos de reglas pestaña.
5. Pulsar Importe.
6. Activa File.
7. Haga clic en Aceptar.

1. Inicie sesión en la consola de ePO.
2. Activa Menú, Políticas, Catálogo de directivas.
3. En producto, seleccione Application control.
   SEÑALAR Debe seleccionar este valor para "supervisión de la integridad", "Change control" y "general".
4. En categoría, seleccione Resto.
5. En propiedades del producto, haga clic en Exporta.
6. Haga clic con el botón derecho Internos.
7. Eligiera Guardar como para guardar el archivo XML.

1. Incluya los datos XML de las tareas servidor en el equipo en el que accede a ePO.
2. Inicie sesión en la consola de ePO.
3. Activa Menú, Políticas, Catálogo de directivas.
4. En propiedades del producto, haga clic en Importe.
   SEÑALAR Debe hacer clic en esta opción para "Application control" "supervisión de la integridad", "Change control" y "general".
5. Elija el archivo.
6. Haga clic en Aceptar.

1. Pulsar Inicio, Ejecutándose, escriba regedity haga clic en VALE.
2. Desplácese hasta la siguiente clave de registro y expándala:

3. Seleccione la opción Java subclave.
4. En el panel derecho, haga doble clic en la opción Opciones Value y anexe los datos del valor a la parte inferior:

5. Pulsar Inicio, Ejecutándose, escriba services.mscy haga clic en VALE.
6. Reiniciar el Servidor de aplicaciones de ePO presta.
7. Si el error vuelve a producirse, ejecute la herramienta Minimum Escalation Requirements (MER) para ePO. Asegúrese de que el volcado del montón de Java esté incluido en los resultados de MER. Para obtener más información sobre la recopilación de ePO, consulte KB72895-cómo recopilar un registro de requisitos de escalación mínima para ePolicy Orchestrator y McAfee Agent.

1. Vaya a C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf\orion Active.
2. Abiertos log-config.xml con el editor de texto.
3. Desplácese hasta el final del archivo.
4. Anexe la sección siguiente al final del archivo antes de etiqueta de fin.

5. Guardar la log-config.xml File.

• Kernel
• Sistema operativo
• X86/64
• Versión de fecha de kernel
• Número de sistemas afectados

1. Recopile la información necesaria.
2. Abra una solicitud de servicio en Insight con lo siguiente:
   • Título: solicitud de kernel - -
   • Descripción: escriba los campos de solicitud de información.
3. Envíe una solicitud de JIRA con la misma información:
   • Producto: Solidcore Agent
   • Versión: 6.3.x
   • Componente: General
   • Compilación encontrada: 6.3.0 (Introduzca la compilación más reciente disponible; para obtener la compilación más reciente, consulte KB87944: plataformas compatibles con Application and Change control)
   • Tipo de error: producto
   • Origen real: publicación posterior
   • Origen esperado: publicación posterior
   • Hardware: * si no está seguro, establézcalo en "todo"
   • Sistema operativo: * si el sistema operativo no está presente en la lista, seleccione "Linux"
   • Pasos para la reproducción: N/d
   • Resultados reales: N/d
   • Resultados esperados: N/A
   • Resumen: Linux/UNIX-solicitud de kernel - -
   • Descripción: escriba los campos de solicitud de información.

SELECT COUNT(ID) AS ROWS, DATA_TYPE

DESDE SCOR_DATA_CHANNEL
AGRUPAR POR DATA_TYPE
ORDENAR POR 1 DESC

SELECCIONE RECUENTO (ID) COMO FILAS, DATA_TYPE
DESDE SCOR_STAGING_DATA_CHANNEL
AGRUPAR POR DATA_TYPE
ORDENAR POR 1 DESC

Seleccione * FROM [dbo]. [SCOR_CONFIG] WHERE context = ' cloudIntegration ' o context = ' gtiIntegration ' ordenar por contexto
Seleccione * FROM [dbo]. [OrionRegisteredServers]

activa
Portugal. FeatureTextID,
Portugal. CategoryTextID,
Portugal. TypeTextID,
MEM. El
MEM. PolicyObjectID,
SUM (DATALENGTH (PSV. SettingValue)), tamaño
desde EPOPolicySettingValues PSV
combinación interna epopolicyobjecttosettings Pots
en PSV. PolicySettingsID = Pots. PolicySettingsID
Unión interna epopolicyobjects po
en las nasas. policyobjectid = po. policyobjectid
combinación interna epopolicytypes PT
en po. TypeId = PT. TypeId
Agrupar por PTO. FeatureTextID, PT. CategoryTextID, PT. TypeTextID, PO. Nombre, PO. PolicyObjectID
con SUM (DATALENGTH (PSV. SettingValue)) > 10240
ordenar por DESC;

Seleccione * from EPOPolicyTypes PT
Unión interna EPOPolicyObjects po en po. TypeId = PT. TypeId
donde PT. TypeTextID = ' AWL Rules (Windows) ' y po.name como ' McAfee Default '

Seleccione po. PolicyObjectID, PO. Nombre, PO. TypeId
Portugal. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
profesionales. PolicySettingsID, PS. Nombre, PS. Paramenta, PS. ParamStr,
psv. PolicySettingValuesID, psv. SectionName, PSV. SettingName, psv. SettingValue
desde po EPOPolicyObjects
combinación izquierda EPOPolicyTypes PTO en po. TypeID = PT. TypeID
Left join EPOPolicyObjectToSettings po2s en po. PolicyObjectID = po2s. PolicyObjectID
Left join EPOPolicySettings PS on PS. PolicySettingsID = po2s. PolicySettingsID
Left join EPOPolicySettingValues PSV en PSV. PolicySettingsID = PS. PolicySettingsID
donde po. PolicyObjectID = 389

Seleccione po definido. PolicyObjectID, PO. Nombre, PO. TypeId
Portugal. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
profesionales. PolicySettingsID, PS. Nombre, PS. Paramenta, PS. ParamStr,
psv. PolicySettingValuesID, psv. SectionName, PSV. SettingName, psv. SettingValue
desde po EPOPolicyObjects
combinación izquierda EPOPolicyTypes PTO en po. TypeID = PT. TypeID
Left join EPOPolicyObjectToSettings po2s en po. PolicyObjectID = po2s. PolicyObjectID
Left join EPOPolicySettings PS on PS. PolicySettingsID = po2s. PolicySettingsID
Left join EPOPolicySettingValues PSV en PSV. PolicySettingsID = PS. PolicySettingsID
donde PT. FeatureTextID = ' SCOR_AWL ' y SettingName = ' Group_name ' y PS. Nombre no like '%Settings%'