イベント パーサーが Data Loss Prevention イベント 19136 を解析できずに、デバッグ フォルダーに移動させます
技術的な記事 ID:
KB91749
最終更新: 2022/03/18
環境
McAfee Data Loss Prevention (DLP) Endpoint 11.x
McAfee ePolicy Orchestrator (ePO) 5.x
問題
ePO の イベント パーサー は、DLP イベント 19136 を解析できずに デバッグ フォルダーに移動させます。
原因
イベント 19136 は、ログオンしたユーザー セッション情報を伝達する DLP イベントです。 このイベントには、ePO データベースの McAfee Agent GUID とは異なる McAfee Agent GUID が含まれています。 McAfee Agent GUID が一致しないため、DLP イベント パーサーはこれらのイベントの解析に失敗し、それらをデバッグ フォルダーに移動します。
ePO イベント パーサー ログに以下のエラーが記録されます :
E #11964 HOSTDLPEVENT Error processing event. Error: execMaPropertiesEvent: Agent GUID not found - {B70BE362-02A5-11E9-1A96-000000000000}. Error Code: -2147467259
E #11964 HOSTDLPEVENT Failed process event. Time elapsed: (in ms): 78
解決策
この問題は、DLP 11.4 バージョン拡張ファイルで修正されています。 イベント パーサー は、エンドポイントの GUID が一致しない場合でもイベントを処理するようになりました。
回避策
回避策として、イベント ID
19136 を ePO
イベント フィルタリング から無効にすることができます。
イベント ID を無効にするには:
- ePO コンソールにログオンします。
- ePO メニューリストから サーバー設定 を選択します。
- カテゴリの設定で、イベント フィルタリング を選択し、画面下部の 編集 をクリックします。
- エージェントの転送 セクションで、選択したイベントのみをサーバーに送信 オプションを選択します。
- 19136: McAfee DLP Endpoint ユーザーセッション(情報) チェック ボックスをオフにします。
-
保存 をクリックします。
