• Procmon surveille et affiche toutes les activités du système de fichiers sur un système d’exploitation Microsoft Windows en temps réel. Elle est utilisée dans l’administration des systèmes, l’analyse des analyses informatiques et le débogage application.
• Procdump est un utilitaire de ligne de commande utilisé pour surveiller un application pour les pics d’utilisation du processeur. Il génère des vidages sur incident au cours d’un pic qu’un administrateur ou un développeur peut utiliser pour déterminer la cause du pic.
• Compteurs est un outil que les administrateurs peuvent utiliser pour examiner la manière dont les programmes s’exécutant sur leur ordinateur affectent les performances de l’ordinateur. L’outil est utilisé en temps réel pour analyser la manière dont les performances du système sont affectées par l’exécution de programmes. Vous pouvez également utiliser cet outil pour collecter ultérieurement des informations sur les fichiers journaux pour l’analyse des données des performances du système.
• MER collecte les journaux des événements, les détails sur la version des fichiers, les fichiers, les détails du processus et les détails du Registre à partir des produits McAfee installés sur votre ordinateur. Les données collectées sont analysées et utilisées par Support technique pour résoudre les problèmes.
• GFlags vous permet d’activer et de désactiver les fonctionnalités de diagnostic et de dépannage du système interne avancé. Vous pouvez exécuter GFlags dans une fenêtre d’invite de commande ou utilisez la boîte de dialogue de l’interface utilisateur graphique. Il est le plus souvent utilisé pour activer les indicateurs de suivi, de nombre et de journalisation d’autres outils.
• WinDbg est un débogueur pour le système d’exploitation Microsoft Windows, distribué par Microsoft. Elle peut être utilisée pour déboguer les applications en mode utilisateur, les pilotes d’équipement et le système d’exploitation lui-même en mode noyau. Il dispose d’une interface utilisateur graphique et est plus puissant que le débogueur Visual Studio.
• Olmo affiche les données que le système d’exploitation collecte à propos des allocations de mémoire des pools de noyau paginés et non paginés du système, ainsi que les pools de mémoire utilisés pour les sessions des services Terminal Server. Les données sont regroupées par marque d’allocation du pool. Microsoft Support technique utilise ces informations pour trouver les fuites de mémoire en mode noyau.
• Convertisseur de VMware est un utilitaire gratuit de VMware qui aide à convertir les systèmes physiques Windows et Linux en VMware machines virtuelles. Vous pouvez également l’utiliser pour convertir des formats d’image tiers, tels que des images de sauvegarde et d’autres machines virtuelles, en VMware des machines virtuelles. Utilisez cet outil pour créer des machines virtuelles à fournir à Support technique pour le dépannage.

1. Quel est le système d’exploitation ?
2. Quelle version de solidcore ?
3. Tout autre logiciel McAfee installé ?
4. Quel est le système utilisé pour (serveur de fichiers, poste de travail, contrôleur de domaine) ?
5. Quel est le problème ?
6. Quelle procédure de dépannage a été effectuée ?

1. Le comportement est-il modifié dans un autre mode (mise à jour, activé, observation, désactivé) ?
2. La modification du comportement avec MP est-elle désactivée ?
3. La modification du comportement avec le contrôle d’exécution est-elle désactivée ?

1. Version d’ePO ?
2. Version actuelle de l’extension solidcore ?
3. Si extension a été mis à niveau, qu’est-ce que le chemin d’accès à la mise à niveau du extension ?
4. Quel est le message d’erreur à l’écran et au Journal Orion ?
5. Fournissez des captures d’écran indiquant le problème.

• Sauvegarde SQL complète Reprise sur sinistre Utilisez la base de connaissances pour rechercher "backup/recovery for ePO" Si vous disposez d’un cluster ou d’un « AWS » parce qu’il existe un article de base de connaissances distinct pour chacun d’entre eux.
• Règles solidcore
• Stratégie solidcore
• Affectations de stratégie solidcore
• Tâches client solidcore
• Affectations de tâche client solidcore
• Tableaux de bord solidcore personnalisés
• Requêtes solidcore personnalisées
• Réponses automatiques solidcore personnalisées
• Ensembles d’autorisations solidcore personnalisés
• Capture d’écran de tous les paramètres solidcore personnalisés
• Exporter le tableau pour les certificats (nous ne sommes pas en mesure d’exporter les certificats, vous devez les réutiliser)
• Exporter le tableau pour les hachages du programme d’installation (vous devez reput les hachages et les certificats dans les programmes d’installation)
• Tâches serveur

• Vérifiez que tous les certificats racines requis sont installés.

1. Programme Procmon.
2. Exécute Procmon avec la journalisation de démarrage.
3. Reproduisez le problème.
4. Collecter les MER, Gatherinfo, et Procmon fichiers (*.PML).

1. Programme Procmon.
2. Exécute Procmon en tant qu’administrateur.
3. Reproduisez le problème.
4. Collecter les MER, Gatherinfo, et Procmon fichiers (*.PML).
5. Collectez les informations suivantes pour le application :
   1. Nom du processus de application en cours de démarrage
   2. Version de application
   3. Si la application est maison ou créée par une autre société.
   4. Copie de la application ou d’un lien vers l’emplacement où obtenir une version d’évaluation

1. Capturez une capture d’écran des Manager de tâche indiquant une utilisation intensive des ressources avec les noms de processus.
2. Notez la fréquence de ralentissement des performances (toutes les 5 minutes, 60 minutes, en général).
3. Collectez Windows Performance Monitor dans le temps de la lenteur. (5 minutes sauf si ce n’est plus nécessaire).
4. Collecter les MER, Gatherinfoet Windows Perfmon fichiers.

• Pour désactiver le contrôle d’exécution, exécutez la commande suivante : "sadmin features disable execution-control"
• Pour activer le contrôle d’exécution, exécutez la commande suivante : "sadmin features enable execution-control"

1. Programme ProcDump.
2. Extraits ProcDump sur le bureau.
3. Ouvrez une invite de commande d’administration, puis remplacez le répertoire par : C:\Users\username\Desktop\Procdump
4. Exécutez la commande suivante : procdump -ma
5. Collectez le fichier de vidage créé. Il se trouve dans le Procdump arborescence.
6. Collecter les MER et Gatherinfo fichiers.

1. Programme ProcDump.
2. Extraits ProcDump sur le bureau.
3. Ouvrez une invite de commande d’administration, puis remplacez le répertoire par : C:\Users\username\Desktop\Procdump
4. Exécutez la commande suivante : procdump-ma-e de l’ESS
   Veuillez Le commutateur-e indique Procdump permet de générer un vidage lors du prochain blocage du processus.
5. Patientez jusqu’à ce que le processus se bloque de nouveau.
6. Collectez le fichier de vidage créé, situé dans le dossier Procdump arborescence.
7. Collecter les MER et Gatherinfo fichiers.

1. Configurez le système pour créer un memory.dmp. Déterminer KB56023-comment créer un vidage de la mémoire pour l’analyse par Support technique.
2. Configurez le système pour autoriser un blocage du clavier. Voir https://msdn.microsoft.com/en-us/library/windows/hardware/ff545499%28v=vs.85%29.aspx.
3. Créez le fichier de vidage lorsque le problème se produit. En règle générale, plus vous pouvez attendre avant de générer le fichier de vidage, plus il est facile d’identifier la condition de blocage dans le vidage.
4. Collecter les MER et Gatherinfo fichiers.
5. Recueille FLTMC.

1. Configurez le système pour créer un memory.dmp. Déterminer KB56023-comment créer un vidage de la mémoire pour l’analyse par Support technique.
2. Collectez le fichier de vidage complet lorsque la vérification des bogues système (écran bleu) se produit. (Le fichier de vidage se trouve dans c:\Windows.)
3. Collecter les MER et Gatherinfo fichiers.
4. Recueille FLTMC.

Suivez la procédure décrite dans cette section si les symptômes sont Performances d’ePO lentes, blocage Or ne répond pas.

1. Activez le débogage Orion.
2. Activez Java vidage du tas.
3. Collectez les fichiers de vidage du tas MER et Java.

1. Activez le débogage Orion.
2. Reproduisez le problème (mise à niveau ou installation).
3. Collectez un MER ePO.

1. Activez le débogage de l’extension solidcore.
2. Reproduisez le problème.
3. Collectez des captures d’écran des événements et des problèmes.
4. Collectez un MER ePO.

1. Activez le débogage de l’extension solidcore.
2. Collectez une capture d’écran du problème avec des étapes de reproduction.
3. Exportation du tableau de bord (en général une requête).
4. Collectez un MER ePO.

1. Assurez-vous que les services du serveur ePO sont en cours d’exécution.
2. Assurez-vous que le client est solidifié.
3. Vérifier l’heure d’extraction de l’inventaire (nom et suivant).
4. Si l’heure d’inventaire est supérieure à 7 jours, réexécutez la tâche d’extraction.
5. Si l’heure d’inventaire est inférieure à 7 jours, exécutez la tâche de réinitialisation de l’heure d’inventaire. Pour rétablir la dernière synchronisation de l’inventaire sur le client, exécutez les commandes suivantes :

1. Activez la journalisation de débogage Orion.
2. Exécutez à nouveau la tâche de migration.

1. Activer Serveur ePO (par eventparser*.log) et Orion journalisation de débogage.
2. Activez la journalisation de débogage de McAfee Agent (niveau de journalisation 8).
3. Créez des événements sur le client.
4. Vérifiez que des événements sont créés dans le dossier AgentEvents (c:\program data\mcafee\agent\agentevents).
5. Copiez les événements à partir du client.
6. Synchronisez McAfee Agent et envoyez les événements à ePO.
7. Vérifiez que les événements sont transmis au dossier analyseur d’événements (\DB\Events).
8. Collecter un MER et Gatherinfo à partir du client et d’une MER à partir d’un serveur ePO.

1. Activez la journalisation de débogage Orion.
2. Connectez-vous à la console ePO.
3. Vérifier les serveurs ePO enregistrés :
   Menu, serveurs enregistrés, McAfee GTI serveur, actions, modifier
4. Tester la connexion ; Assurez-vous qu’elle indique réussite.

• Collectez un MER ePO.
• Collectez les résultats des paramètres pour GTI à l’aide de SQL.

1. Ouvrez une invite de commande d’administrateur.
2. Récupérez la CLI locale en exécutant récupération Sadmin. Un mot de passe est nécessaire pour déverrouiller l’interface de commande locale.
3. Effectuez gatherinfo.bat (Windows) ou gatherinfo.sh (UNIX).
4. Partir gatherinfo terminée, un fichier nommé gatherinfo.zip (Windows) ou gatherinfo--.tar.gz est créé dans le répertoire actif.

1. Sur le client, téléchargez le fichier Client MER.
2. Exécute MER.exe sur le client.
3. Sélectionnez toutes les applications ou sélectionnez manuellement application et change Control.
4. Lorsque vous avez terminé, chargez le .tgz fichier au cas ou autoriser l’outil à se charger.

1. Démarrez le système en mode de sécurité.
2. Démarrez l’éditeur du Registre (Démarrer, exécuter, regedit).
3. Accédez à : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swin\parameters
4. Modifier la clé : RTEModeOnReboot = 2 or 0
5. Redémarrage

1. sadmin recover (Le mot de passe est nécessaire pour déverrouiller l’interface de la CLI).
2. sadmin loglevel enable MAHDLR ALL.
3. sadmin lockdown pour restreindre l’accès à la CLI.

1. sadmin recover (Le mot de passe est nécessaire pour déverrouiller l’interface de la CLI).
2. sadmin loglevel disable MAHDLR ALL.
3. sadmin loglevel enable MAHDLR ERROR WARNING SYSTEM.
4. sadmin lockdown pour restreindre l’accès à la CLI.

1. sadmin recover (Un mot de passe est nécessaire pour déverrouiller l’interface de la CLI).
2. sadmin config set LogfileNum=n* - (où /n/nLa nombre de fichiers au format décimal).
3. sadmin config set LogfileSize=nnnn*** - (où nnnn * * correspond à la taille du fichier en kilo-octets (Ko)).
4. sadmin lockdown à restreindre.

1. sadmin recover (Un mot de passe est nécessaire pour déverrouiller l’interface de la CLI.)
2. sadmin config set LogfileNum=4
3. sadmin config set LogfileSize=2048
4. sadmin lockdown à restreindre.

1. Démarrez le système en mode de sécurité.
2. Accédez à : C:\program files\mcafee\solidcore
3. Supprimez le fichier : Passwd
4. Redémarrez en mode normal.
5. Recover CLI : sadmin recover

1. Créez une commande SC : Run avec les commandes suivantes
   • config set InvDiffLastAccessTime=default
   • config set PullInvLastAccessTime=default
2. Envoyez la tâche au client.

1. Ouvrez une invite de commande d’administrateur.
2. Récupérez la CLI locale en exécutant sadmin recover. Un mot de passe est nécessaire pour déverrouiller l’interface de commande locale.
3. Exécutez les commandes suivantes :
   • sadmin config set InvDiffLastAccessTime=default
   • sadmin config set PullInvLastAccessTime=default

• sadmin auth -l > auth.txt
• findstr /R /N "^" auth.txt

1. Ouvrez une invite de commande d’administrateur.
2. Récupérez la CLI locale en exécutant sadmin recover. Un mot de passe est nécessaire pour déverrouiller l’interface de commande locale.
3. Exécutez la commande suivante :
   • sadmin usm get all
4. Vérifier la sortie.

1. Collecter le journal d’installation à partir du client (C:\windows\solidcore_install.log).
2. Ouvrez les journaux dans un éditeur de texte.
3. Recherchez la valeur « Return Value 3 ».
4. Recherchez l’erreur.

1. Ouvrez une invite de commande d’administration.
2. Typefltmc".
3. Collecter les résultats de la fltmc commande.

1. Téléchargez le moniteur de processus à partir de Microsoft.
2. Extrayez le fichier ProcessMonitor. zip sur votre poste de travail.
3. Pour démarrer la journalisation, cliquez avec le bouton droit de la droite Procmon.exe et choisissez Exécuter en tant qu’administrateur pour exécuter l’outil.
4. Sélectionnées Options, Activer la journalisation de démarrage.
5. Activez BIEN.
6. Redémarrez l’ordinateur.
7. Une fois le chargement de Windows terminé, double-cliquez sur Procmon.exe.

1. Connectez-vous à la console ePO.
2. Sélectionnées Textuel, Configuré, Règles solidcore.
3. Cliquez sur l' Groupes de règles onglet.
4. Activez la case à cocoche en regard des règles créées par l’utilisateur. Ces règles sont celles dont la modification est en regard.
5. Activez Restitution.
6. Enregistrez le fichier XML sur l’ordinateur local.

1. Mettez le fichier XML exporté pour sauvegarde et placez-le sur l’ordinateur sur lequel vous accédez à ePO.
2. Connectez-vous à la console ePO.
3. Sélectionnées Textuel, Configuré, Règles solidcore.
4. Cliquez sur l' Groupes de règles onglet.
5. Activez Importer.
6. Sélectionnées Pièces.
7. Cliquez sur OK.

1. Connectez-vous à la console ePO.
2. Sélectionnées Textuel, Approvisionnement, Catalogue de stratégies.
3. Sous produit, sélectionnez Application Control.
   Veuillez Vous devez sélectionner cette valeur pour « surveillance de l’intégrité », « change Control » et « général ».
4. Sous catégorie, sélectionnez Toutes.
5. Dans Propriétés du produit, cliquez sur Restitution.
6. Cliquez avec le bouton droit sur Lien.
7. Porté Enregistrer sous pour enregistrer le fichier XML.

1. Mettez en place le code XML des tâches serveur sauvegardées sur l’ordinateur sur lequel vous accédez à ePO.
2. Connectez-vous à la console ePO.
3. Sélectionnées Textuel, Approvisionnement, Catalogue de stratégies.
4. Dans Propriétés du produit, cliquez sur Importer.
   Veuillez Vous devez cliquer sur cette option pour "contrôle de l’intégrité", "contrôle des modifications" et "général".
5. Sélectionnez le fichier.
6. Cliquez sur OK.

1. Activez Rechercher, Exécute, saisissez regedit, puis cliquez sur BIEN.
2. Accédez à la clé de Registre suivante et développez-la :

3. Sélectionnez le Java appropriée.
4. Dans le volet de droite, double-cliquez sur le bouton Options valeur et ajouter les données de la valeur ci-dessous au bas :

5. Activez Rechercher, Exécute, saisissez services.msc, puis cliquez sur BIEN.
6. Redémarrez l' Serveur d’applications ePO Imprimeur.
7. Si l’erreur se reproduit, exécutez l’outil Minimum Escalation Requirements (MER) pour ePO. Assurez-vous que le Java dump du tas est inclus dans les résultats de la MER. Pour plus d’informations sur la collecte d’ePO, reportez-vous à la section KB72895-Comment collecter un journal des exigences relatives à la procédure d’escalade minimale pour ePolicy Orchestrator et McAfee Agent.

1. Accédez à C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf\orion Directory.
2. Lecture log-config.xml avec l’éditeur de texte.
3. Faites défiler jusqu’à la fin du fichier.
4. Ajouter la section ci-dessous à la fin du fichier avant marqueur de fin.

5. Enregistrer la log-config.xml pièces.

• Noyau
• Système d'exploitation
• X86/64
• Libération de la date du noyau
• Nombre de systèmes concernés

1. Collectez les informations nécessaires.
2. Ouvrez une demande de service dans Insight avec les éléments suivants :
   • Titre : demande de noyau - -
   • Description : indiquez les champs de demande d’informations.
3. Envoyez une demande JIRA avec les mêmes informations :
   • Produit : solidcore Agent
   • Version: 6.3.x
   • Composant : général
   • Build détectée : 6.3.0 (entrez le dernier build disponible ; pour obtenir les build les plus récents, consultez KB87944-plates-formes prises en charge pour application et change Control)
   • Type de bogue : produit
   • Origine réelle : post-version
   • Origine attendue : post-version
   • Matériel : * en cas de doute, définissez-le sur "All" .
   • Système d’exploitation : * si le système d’exploitation n’est pas présent dans la liste, sélectionnez « Linux » .
   • Etapes de repro : N/A
   • Résultats effectifs : N/A
   • Résultats attendus : N/A
   • Synthèse : demande de Linux/UNIX-kernel - -
   • Description : indiquez les champs de demande d’informations.

SELECT COUNT(ID) AS ROWS, DATA_TYPE

DANS SCOR_DATA_CHANNEL
GROUPER PAR DATA_TYPE
TRIER PAR 1 DESC

SÉLECTIONNEZ NOMBRE (ID) EN TANT QUE LIGNES, DATA_TYPE
DANS SCOR_STAGING_DATA_CHANNEL
GROUPER PAR DATA_TYPE
TRIER PAR 1 DESC

Sélectionnez * dans [dbo]. [SCOR_CONFIG] WHERE CONTEXT = 'cloudIntegration’ou CONTEXT = 'gtiIntegration’ORDONNer par le contexte
Sélectionnez * dans [dbo]. [OrionRegisteredServers]

sélectionnées
PT. FeatureTextID,
PT. CategoryTextID,
PT. TypeTextID,
fabrication. Sans
fabrication. PolicyObjectID,
SOMME (DATALENGTH (PSV. SettingValue)) DataSize
a partir de EPOPolicySettingValues PSV
jointure interne epopolicyobjecttosettings pots
sur PSV. PolicySettingsID = pots. PolicySettingsID
jointure interne epopolicyobjects po
dans pots. policyobjectid = po. policyobjectid
jointure interne epopolicytypes PT
sur po. TypeId = PT. TypeId
regrouper par PT. FeatureTextID, PT. CategoryTextID, PT. TypeTextID, po. Nom, OA. PolicyObjectID
somme cumulée (DATALENGTH (PSV. SettingValue)) > 10240
Trier par la fonction DataSize DESC ;

Sélectionnez * dans EPOPolicyTypes PT
INNER JOIN EPOPolicyObjects po sur po. TypeId = PT. TypeId
où PT. TypeTextID = 'règles AWL (Windows) 'et po.name like’McAfee valeur par défaut'

Sélectionnez po. PolicyObjectID, po. Nom, OA. Inclu
PT. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
PF. PolicySettingsID, PS. Nom, PS. Paramenthe, PS. ParamStr,
psv. PolicySettingValuesID, psv. PSV. SettingName, psv. SettingValue
a partir de l’OA EPOPolicyObjects
LEFT JOIN EPOPolicyTypes PT on po. TypeID = PT. Inclu
jointure gauche EPOPolicyObjectToSettings po2s on po. PolicyObjectID = po2s. PolicyObjectID
jointure gauche EPOPolicySettings PS on PS. PolicySettingsID = po2s. PolicySettingsID
jointure gauche EPOPolicySettingValues PSV sur PSV. PolicySettingsID = PS. PolicySettingsID
où po. PolicyObjectID = 389

Sélectionnez ordre d’achat distinct. PolicyObjectID, po. Nom, OA. Inclu
PT. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
PF. PolicySettingsID, PS. Nom, PS. Paramenthe, PS. ParamStr,
psv. PolicySettingValuesID, psv. PSV. SettingName, psv. SettingValue
a partir de l’OA EPOPolicyObjects
LEFT JOIN EPOPolicyTypes PT on po. TypeID = PT. Inclu
jointure gauche EPOPolicyObjectToSettings po2s on po. PolicyObjectID = po2s. PolicyObjectID
jointure gauche EPOPolicySettings PS on PS. PolicySettingsID = po2s. PolicySettingsID
jointure gauche EPOPolicySettingValues PSV sur PSV. PolicySettingsID = PS. PolicySettingsID
où PT. FeatureTextID = 'SCOR_AWL’et SettingName = 'Group_name’et PS. Nom non similaire à'%Settings%'