• Procmon esegue il monitoraggio e la visualizzazione di tutte le attività del file System su un sistema operativo Microsoft Windows in tempo reale. Viene utilizzato in amministrazione del sistema, forensics del computer e debug delle applicazioni.
• Procdump è un'utilità della riga di comando utilizzata per monitorare un'applicazione per i picchi della CPU. Genera i dump di crash durante un picco che un amministratore o uno sviluppatore può utilizzare per determinare la causa del picco.
• PerfMon è uno strumento che gli amministratori possono utilizzare per esaminare il modo in cui i programmi, in esecuzione sui loro computer, influiscono sulle prestazioni del computer. Lo strumento viene utilizzato in tempo reale per analizzare in che modo le prestazioni del sistema sono interessate dall'esecuzione di programmi. È inoltre possibile utilizzare questo strumento per raccogliere informazioni sui file di registro per l'analisi dei dati delle prestazioni del sistema in un secondo momento.
• MER raccoglie i registri degli eventi, i dettagli della versione dei file, i file, i dettagli del processo e i dettagli del registro da McAfee prodotti installati nel computer. I dati raccolti vengono analizzati e utilizzati da Assistenza tecnica per risolvere i problemi.
• GFlags consente di attivare e disattivare le funzionalità avanzate di diagnostica e risoluzione dei problemi del sistema interno. È possibile eseguire GFlags da una finestra del prompt dei comandi oppure utilizzare la finestra di dialogo dell'interfaccia utente grafica. Viene spesso utilizzato per accendere indicatori che altri strumenti tengono traccia, contano e registrano.
• WinDbg è un debugger per il sistema operativo Microsoft Windows, distribuito da Microsoft. Può essere utilizzato per eseguire il debug delle applicazioni in modalità utente, dei driver di periferica e del sistema operativo stesso in modalità kernel. Dispone di un'interfaccia utente grafica ed è più potente del debugger di Visual Studio.
• PoolMon consente di visualizzare i dati raccolti dal sistema operativo sulle allocazioni di memoria dai pool di pagine Web e di kernel non di pagina e dai pool di memoria utilizzati per le sessioni di Servizi terminal. I dati vengono raggruppati in base al tag di allocazione del pool. Microsoft Assistenza tecnica utilizza tali informazioni per individuare le perdite di memoria in modalità kernel.
• Convertitore VMware è un'utilità gratuita di VMware che consente di convertire i sistemi fisici Windows e Linux in VMware macchine virtuali. È inoltre possibile utilizzarlo per convertire formati di immagine di terze parti, ad esempio immagini di backup e altre macchine virtuali, per VMware macchine virtuali. Utilizzare questo strumento per creare macchine virtuali da fornire a Assistenza tecnica per la risoluzione dei problemi.

1. Quale sistema operativo?
2. Quale versione di solidcore?
3. Qualsiasi altro software McAfee installato?
4. Qual è il sistema utilizzato per (file server, workstation, controller di dominio)?
5. Qual è il problema?
6. Quali problemi sono stati eseguiti?

1. Il comportamento cambia in qualsiasi altra modalità (Aggiorna, attiva, osserva, disattivata)?
2. La modifica del comportamento con MP è disattivata?
3. La modifica del comportamento con il controllo dell'esecuzione è disattivata?

1. Versione di ePO?
2. Versione dell'estensione solidcore corrente?
3. Se l'estensione è stata aggiornata, qual è il percorso di upgrade dell'estensione?
4. Qual è il messaggio di errore sullo schermo rispetto al registro Orion?
5. Fornire eventuali schermate che mostrano il problema.

• Backup completo di SQL e Disaster Recovery Utilizzare la Knowledge base per cercare "backup/recovery for ePO" Se si dispone di un cluster o "AWS" Poiché è presente un articolo KB separato per ciascuno di essi.
• Regole solidcore
• Policy solidcore
• Solidcore delle assegnazioni di policy
• Attività client solidcore
• Assegnazioni delle attività client solidcore
• Dashboard solidcore personalizzate
• Query solidcore personalizzate
• Risposte automatiche solidcore personalizzate
• Set di autorizzazioni solidcore personalizzati
• Schermata di tutte le impostazioni di solidcore personalizzate
• Esporta tabella per i certificati (non siamo in grado di esportare i certificati, è necessario averli di nuovo)
• Esporta tabella per gli hash del programma di installazione (è necessario reput gli hash e i CERT nei programmi di installazione)
• Attività server

• Verificare che siano installati tutti i certificati root necessari.

1. Scaricare Procmon.
2. Correre Procmon con la registrazione di avvio.
3. Riprodurre il problema.
4. Raccogliere il MER, Gatherinfo, e Procmon file (*.PML).

1. Scaricare Procmon.
2. Correre Procmon come amministratore.
3. Riprodurre il problema.
4. Raccogliere il MER, Gatherinfo, e Procmon file (*.PML).
5. Raccogliere quanto segue per l'applicazione:
   1. Nome del processo di avvio dell'applicazione
   2. Versione dell'applicazione
   3. Se l'applicazione è fatta in casa o in un'altra azienda
   4. Copia dell'applicazione o un link a dove trovare una versione di prova

1. Eseguire una schermata di attività Manager mostrando un utilizzo elevato delle risorse con i nomi dei processi.
2. Si noti la frequenza con cui si verificano le prestazioni lente (ogni 5 minuti, 60 minuti, complessivamente).
3. Raccogliere Windows Performance Monitor nel tempo della lentezza. (5 minuti a meno che non sia necessario).
4. Raccogliere il MER, Gatherinfoe Windows Perfmon file.

• Per disattivare il controllo di esecuzione, eseguire: "sadmin features disable execution-control"
• Per attivare il controllo di esecuzione, eseguire: "sadmin features enable execution-control"

1. Scaricare ProcDump.
2. Estrarre ProcDump sul desktop.
3. Aprire un prompt dei comandi di amministrazione e modificare la directory in: C:\Users\username\Desktop\Procdump
4. Eseguire il comando seguente: procdump -ma
5. Raccogliere il file di dump creato. Si trova nella Procdump cartella.
6. Raccogliere il MER e Gatherinfo file.

1. Scaricare ProcDump.
2. Estrarre ProcDump sul desktop.
3. Aprire un prompt dei comandi di amministrazione e modificare la directory in: C:\Users\username\Desktop\Procdump
4. Eseguire il comando seguente: ProcDump-ma-e
   Nota Il-e switch indica Procdump per generare un dump la volta successiva che il processo si blocca.
5. Attendere nuovamente l'arresto del processo.
6. Raccogliere il file di dump creato, che si trova nella Procdump cartella.
7. Raccogliere il MER e Gatherinfo file.

1. Configurare il sistema per creare un completo memory.dmp. Vedere KB56023-come creare un dump di memoria per l'analisi per Assistenza tecnica.
2. Configurare il sistema in modo da consentire un arresto anomalo della tastiera. Vedere https://msdn.microsoft.com/en-us/library/windows/hardware/ff545499%28v=vs.85%29.aspx.
3. Creare il file di dump quando si verifica il problema. In genere, più a lungo è possibile attendere prima di generare il file di dump, più è facile identificare la condizione di blocco nel dump.
4. Raccogliere il MER e Gatherinfo file.
5. Raccogliere FLTMC.

1. Configurare il sistema per creare un completo memory.dmp. Vedere KB56023-come creare un dump di memoria per l'analisi per Assistenza tecnica.
2. Raccogliere il file di dump completo quando si verifica il controllo dei bug di sistema (schermata blu). (Il file di dump è in c:\Windows.)
3. Raccogliere il MER e Gatherinfo file.
4. Raccogliere FLTMC.

Eseguire la procedura descritta in questa sezione se i sintomi sono Prestazioni lente di ePO, blocco o non risponde.

1. Attivare Orion debug.
2. Attiva Java dump dell'heap.
3. Raccogliere i file di dump dell'heap MER e Java.

1. Attiva Orion di debug.
2. Riprodurre il problema (upgrade o installazione).
3. Raccolta di un MER ePO.

1. Attiva debug estensione solidcore.
2. Riprodurre il problema.
3. Raccogliere le schermate degli eventi e del problema.
4. Raccolta di un MER ePO.

1. Attiva debug estensione solidcore.
2. Raccogliere una schermata del problema con la procedura di riproduzione.
3. Esportazione della Dashboard (in genere un query).
4. Raccolta di un MER ePO.

1. Assicurarsi che i servizi server ePO siano in esecuzione.
2. Assicurarsi che il client sia solidificato.
3. Verificare il tempo di recupero dell'inventario (ultima e successiva).
4. Se il tempo di inventario è superiore a 7 giorni, eseguire nuovamente l'attività di pull.
5. Se il tempo di inventario è inferiore a 7 giorni, eseguire l'attività di reimpostazione del tempo di inventario. Per reimpostare l'ultima sincronizzazione dell'inventario sul client, eseguire i seguenti comandi:

1. Attivare la registrazione di debug Orion.
2. Eseguire nuovamente l'attività di migrazione.

1. Attivare Server ePO (per eventparser*.log) e Orion registrazione debug.
2. Attiva registrazione di debug McAfee Agent (livello di registrazione 8).
3. Creare alcuni eventi sul client.
4. Verificare che gli eventi vengano creati nella cartella AgentEvents (c:\program data\mcafee\agent\agentevents).
5. Copiare gli eventi dal client.
6. Sincronizzare McAfee Agent e inviare gli eventi a ePO.
7. Verificare che gli eventi entrino nella cartella parser eventi (\DB\Events).
8. Raccogliere un MER e Gatherinfo dal client e da un MER dal server ePO.

1. Attivare la registrazione di debug Orion.
2. Accedere alla console di ePO.
3. Controlla server ePO registrati:
   Menu, server registrati, McAfee GTI server, azioni, modifica
4. Verificare la connessione; Assicurarsi che abbia esito positivo.

• Raccolta di un MER ePO.
• Raccogliere l'output delle impostazioni per GTI utilizzando SQL.

1. Aprire un prompt dei comandi amministratore.
2. Recuperare la CLI locale eseguendo Sadmin recupera. Per sbloccare la CLI locale è necessario un password.
3. Eseguire gatherinfo.bat (Windows) o gatherinfo.sh (UNIX).
4. Dopo gatherinfo è stato completato, un file denominato gatherinfo.zip (Windows) o gatherinfo--.tar.gz viene creato nella directory corrente.

1. Sul client, download il Client MER.
2. Correre MER.exe sul client.
3. Selezionare tutte le applicazioni o selezionare manualmente applicazione e modifica controllo.
4. Al termine, caricare il .tgz file nel caso o consentire all'utilità di caricarsi.

1. Avviare il sistema in modalità provvisoria.
2. Avvia editor del registro di sistema (Start, Esegui, regedit).
3. Accedere a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swin\parameters
4. Modifica chiave: RTEModeOnReboot = 2 or 0
5. Riavvio

1. sadmin recover (La password è necessaria per sbloccare CLI).
2. sadmin loglevel enable MAHDLR ALL.
3. sadmin lockdown per limitare l'accesso a CLI.

1. sadmin recover (La password è necessaria per sbloccare CLI).
2. sadmin loglevel disable MAHDLR ALL.
3. sadmin loglevel enable MAHDLR ERROR WARNING SYSTEM.
4. sadmin lockdown per limitare l'accesso a CLI.

1. sadmin recover (È necessario un password per sbloccare CLI).
2. sadmin config set LogfileNum=n* - (dove n è il numero di file in decimale).
3. sadmin config set LogfileSize=nnnn*** - (dove nnnn * * è la dimensione del file in kilobyte (KB)).
4. sadmin lockdown da limitare.

1. sadmin recover (Per sbloccare CLI è necessario un password.)
2. sadmin config set LogfileNum=4
3. sadmin config set LogfileSize=2048
4. sadmin lockdown da limitare.

1. Sistema di avvio in modalità provvisoria.
2. Accedere a: C:\program files\mcafee\solidcore
3. Eliminare il file: Passwd
4. Riavviare in modalità normale.
5. Recupera CLI: sadmin recover

1. Crea comando SC: Esegui con i seguenti comandi
   • config set InvDiffLastAccessTime=default
   • config set PullInvLastAccessTime=default
2. Inviare l'attività al client.

1. Aprire un prompt dei comandi amministratore.
2. Recuperare la CLI locale eseguendo sadmin recover. Per sbloccare la CLI locale è necessario un password.
3. Eseguire i comandi seguenti:
   • sadmin config set InvDiffLastAccessTime=default
   • sadmin config set PullInvLastAccessTime=default

• sadmin auth -l > auth.txt
• findstr /R /N "^" auth.txt

1. Aprire un prompt dei comandi amministratore.
2. Recuperare la CLI locale eseguendo sadmin recover. Per sbloccare la CLI locale è necessario un password.
3. Eseguire il comando seguente:
   • sadmin usm get all
4. Controlla l'output.

1. Raccogliere il registro di installazione dal client (C:\windows\solidcore_install.log).
2. Aprire i registri in un editor di testo.
3. Cercare "return value 3".
4. Cercare l'errore.

1. Aprire un prompt dei comandi di amministrazione.
2. Tipofltmc".
3. Raccogliere l'output dal fltmc comando.

1. Scaricare Process Monitor da Microsoft.
2. Estrarre il file ProcessMonitor. zip sul desktop.
3. Per avviare la registrazione fare clic con il pulsante destro del mouse Procmon.exe e scegli Esegui come amministratore per eseguire lo strumento.
4. Selezionare Opzioni, Attiva registrazione di avvio.
5. Fare clic su OK.
6. Riavviare il computer.
7. Al termine del caricamento di Windows, fare doppio clic su Procmon.exe.

1. Accedere alla console ePO.
2. Selezionare Menu, Configurazione, Regole solidcore.
3. Fare clic sul pulsante Gruppi di regole scheda.
4. Inserire un segno di spunta accanto alle regole create dall'utente. Queste regole sono quelle con modifica accanto a esse.
5. Fare clic su Esporta.
6. Salvare il codice XML sul computer locale.

1. Prendere il file XML esportato per il backup e inserirlo nel computer in cui si accede a ePO.
2. Accedere alla console di ePO.
3. Selezionare Menu, Configurazione, Regole solidcore.
4. Fare clic sul pulsante Gruppi di regole scheda.
5. Fare clic su Importazione.
6. Selezionare File.
7. Fare clic su OK.

1. Accedere alla console di ePO.
2. Selezionare Menu, Politica, Catalogo delle policy.
3. In prodotto, selezionare Controllo applicazione.
   Nota È necessario selezionare questo valore per "Monitoraggio integrità", "modifica controllo" e "generale".
4. In categoria, selezionare Tutti.
5. Nelle proprietà del prodotto, fare clic su Esporta.
6. Fare clic con il pulsante destro del mouse Link.
7. Scelto Salva con nome per salvare il codice XML.

1. Inserire il backup XML delle attività server nel computer in cui si accede a ePO.
2. Accedere alla console di ePO.
3. Selezionare Menu, Politica, Catalogo delle policy.
4. Nelle proprietà del prodotto, fare clic su Importazione.
   Nota Fare clic su questa opzione per "controllo delle applicazioni", "monitoraggio dell'integrità", "modifica controllo" e "generale".
5. Scegliere il file.
6. Fare clic su OK.

1. Fare clic su Avviare, Correre, digitare regedit, quindi fare clic su OK.
2. Passare a ed espandere la seguente chiave di registro:

3. Selezionare il Java sulla sottochiave.
4. Nel riquadro a destra, fare doppio clic sul pulsante Opzioni valore e aggiungere i dati relativi al valore riportato di seguito nella parte inferiore:

5. Fare clic su Avviare, Correre, digitare services.msc, quindi fare clic su OK.
6. Riavviare il Server applicazioni ePO servizio.
7. Se l'errore si verifica nuovamente, eseguire lo strumento Minimum escalation requirements (MER) per ePO. Assicurarsi che il dump dell'heap Java sia incluso nei risultati MER. Per ulteriori informazioni sulla raccolta di ePO MERs, consultare KB72895-come raccogliere un registro dei requisiti minimi di escalation per ePolicy e McAfee Agent.

1. Passare a C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf\orion Directory.
2. Aprire log-config.xml con editor di testo.
3. Scorrere fino alla fine del file.
4. Aggiungere la sezione seguente alla fine del file prima di Tag di fine.

5. Salvare il log-config.xml file.

• Kernel
• Sistema operativo
• X86/64
• Data di rilascio del kernel
• Numero di sistemi interessati

1. Raccogliere le informazioni necessarie.
2. Aprire una richiesta di assistenza in Insight con quanto segue:
   • Titolo: richiesta kernel- -
   • Descrizione: inserire i campi della richiesta di informazioni
3. Inviare una richiesta JIRA con le stesse informazioni:
   • Prodotto: solidcore Agent
   • Versione: 6.3.x
   • Componente: generale
   • Trovato build: 6.3.0 (immettere gli ultimi build disponibili; per gli ultimi build, consultare KB87944-piattaforme supportate per l'applicazione e il controllo delle modifiche)
   • Tipo di bug: prodotto
   • Origine effettiva: post release
   • Origine prevista: post release
   • Hardware: * se non è sicuro, impostare su "tutti"
   • Sistema operativo: * se il sistema operativo non è presente nell'elenco, selezionare "Linux"
   • Procedura per la riproduzione: N/A
   • Risultati effettivi: N/A
   • Risultati attesi: N/A
   • Sommario: Linux/UNIX-richiesta kernel- -
   • Descrizione: inserire i campi della richiesta di informazioni

SELECT COUNT(ID) AS ROWS, DATA_TYPE

DA SCOR_DATA_CHANNEL
RAGGRUPPA PER DATA_TYPE
ORDINE PER 1 DESC

SELEZIONARE COUNT (ID) COME RIGHE, DATA_TYPE
DA SCOR_STAGING_DATA_CHANNEL
RAGGRUPPA PER DATA_TYPE
ORDINE PER 1 DESC

Selezionare * da [dbo]. [SCOR_CONFIG] WHERE CONTEXT =' cloudIntegration ' o CONTEXT =' gtiIntegration ' ORDER BY CONTEXT
Selezionare * da [dbo]. [OrionRegisteredServers]

Selezionare
PT. FeatureTextID,
PT. CategoryTextID,
PT. TypeTextID,
po. Nome
po. PolicyObjectID,
SUM (DATALENGTH (PSV. SettingValue)) DataSize
da EPOPolicySettingValues PSV
Inner join epopolicyobjecttosettings Pots
al PSV. PolicySettingsID = pentole. PolicySettingsID
Inner join epopolicyobjects po
su POTS. policyobjectid = po. policyobjectid
Inner join epopolicytypes PT
in po. TypeId = PT. TypeId
Raggruppa per PT. FeatureTextID, PT. CategoryTextID, PT. TypeTextID, po. Nome, po. PolicyObjectID
con somma (DataLength (PSV. SettingValue)) > 10240
ordine per DataSize DESC;

Selezionare * da EPOPolicyTypes PT
Inner join EPOPolicyObjects po in po. TypeId = PT. TypeId
dove PT. TypeTextID =' regole di punteruolo (Windows)' e po.name come ' McAfee default '

Selezionare po. PolicyObjectID, po. Nome, po. TypeId
PT. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
PS. PolicySettingsID, PS. Nome, PS. Paramint, PS. ParamStr,
PSV. PolicySettingValuesID, PSV. SectionName, PSV. SettingName, PSV. SettingValue
da EPOPolicyObjects po
a sinistra Unisciti a EPOPolicyTypes PT su po. TypeID = PT. TypeID
a sinistra Unisciti a EPOPolicyObjectToSettings po2s su po. PolicyObjectID = po2s. PolicyObjectID
left join EPOPolicySettings PS su PS. PolicySettingsID = po2s. PolicySettingsID
a sinistra Unisciti a EPOPolicySettingValues PSV al PSV. PolicySettingsID = PS. PolicySettingsID
dove po. PolicyObjectID = 389

Selezionare po distinto. PolicyObjectID, po. Nome, po. TypeId
PT. TypeTextID, PT. CategoryTextID, PT. FeatureTextID,
PS. PolicySettingsID, PS. Nome, PS. Paramint, PS. ParamStr,
PSV. PolicySettingValuesID, PSV. SectionName, PSV. SettingName, PSV. SettingValue
da EPOPolicyObjects po
a sinistra Unisciti a EPOPolicyTypes PT su po. TypeID = PT. TypeID
a sinistra Unisciti a EPOPolicyObjectToSettings po2s su po. PolicyObjectID = po2s. PolicyObjectID
left join EPOPolicySettings PS su PS. PolicySettingsID = po2s. PolicySettingsID
a sinistra Unisciti a EPOPolicySettingValues PSV al PSV. PolicySettingsID = PS. PolicySettingsID
dove PT. FeatureTextID =' SCOR_AWL ' e settingName =' Group_name ' e PS. Nome non simile '%Settings%'