McAfee la compatibilidad de autoservicio Orchestrator (SSSO) 21.4 – herramienta de recopilación de datos
Resumen
McAfee la compatibilidad con autoservicio Orchestrator
SSSO Orchestrator es una herramienta de recopilación de datos. Ofrece varias herramientas de compatibilidad que utilizan los clientes de Endpoint con un único organizador. La herramienta invoca la herramienta adecuada en el momento adecuado y facilita el esfuerzo de recopilación de datos. Esta herramienta captura el contexto en el que se produce la recopilación de datos, lo que ayuda a informar de los datos de telemetría adecuados.
Se ha actualizado el entorno a SSSO a la versión 21.4.
Se ha eliminado la sección ' ejecutar SSSO Orchestrator en un host '.
Se ha cambiado MfeDiag a SSSO en varias ubicaciones.
24 de febrero de 2021
SSS Orchestrator cambiado de 20.8 Para 20.11.
12 de noviembre de 2020
Se ha agregado un problema conocido al campo de información relacionada.
9 de noviembre de 2020
Se han eliminado las guías de MVISION.
Divida las guías comunes en los grupos principal y beta.
Árbol de sistemas captura de pantalla actualizada.
Nueva sección añadida: ' ejecución del SSS en entornos con separación de aire '.
Parámetro de línea de comandos eliminado 'p-autoupgrade:false'.
7 de agosto de 2020
Se cambió "el archivo de WinZip contiene lo siguiente" a "la estructura de carpetas de la herramienta cuando se ejecuta contiene lo siguiente" en la sección "contenido de la herramienta SSSO".
Agregado también a esta sección:
License.txt:Información de licencia de los componentes utilizados. Se ha agregado como referencia.
MfeDiagUpdater.log: Este archivo es el archivo de registro generado tras la ejecución MfeDiag.exe. Muestra la actualización automática y el resultado de la carga del registro del último comando ejecutado.
Elimine el MfeDiag_1.0.0.xxx una vez finalizada la sesión.
Haga clic para expandir la sección que desee ver:
Utilice esta herramienta en las siguientes situaciones:
Cuando se abre una solicitud de servicio con Soporte técnico y se necesita recopilación de datos
Cuando el esfuerzo de recopilación de datos es complejo o simple
Cuando la herramienta o herramientas necesarias son muchas o difíciles de utilizar
Cuando el problema es esporádico, aleatorio o reproducible bajo demanda
Acerca
Capturar datos de un CPU alta problema que se produce de forma aleatoria en el entorno. Este problema requiere que las herramientas de McAfee y Microsoft se ejecuten conjuntamente, y solo cuando la CPU es alta.
Ejecute las herramientas McAfee y Microsoft necesarias para capturar el comportamiento cuando se inicia una aplicación de terceros. Asimismo, donde la tercera parte experimenta un fallo de acceso denegado y se bloquea de forma aleatoria. No recopile registros si el error no se ha producido.
Active el registro de depuración para Endpoint Security y McAfee Agent cuando se inicia un proceso de otro fabricante. Recopile el volcado del proceso de ese tercero cuando se bloquee dentro de los dos minutos de inicio. Desactive el registro de depuración y recopile los archivos cuando se produzca el bloqueo. De lo contrario, detenga el registro hasta la próxima vez que se inicie el proceso.
SSSO se suministra como un archivo. zip llamado SSSO_1.0.0.xxx.zip.
La estructura de carpetas de la herramienta cuando se ejecuta contiene lo siguiente:
Incluido carpeta: la carpeta doc consta de los documentos de ayuda. Lo Playbook.yml el archivo contiene los pasos necesarios para crear su propia guía relacionada con el problema. Lo TelemetryData.txt el archivo contiene detalles sobre la información de telemetría recopilada para la mejora de productos y fines de soporte empresarial. Este archivo se crea en la carpeta raíz.
Guías carpeta: consta de dos subcarpetas, personalizadas y predeterminadas. La carpeta predeterminada contiene algunas guías que se han creado según las escalaciones de los clientes. Utilice la carpeta personalizada cuando se haya creado una nueva guía.
Complementos carpeta: los complementos constan de dos subcarpetas, personalizadas y predeterminadas. En la carpeta predeterminada, hay unos pocos PowerShell secuencias de comandos que monitor casos de uso específicos. Los complementos son básicamente módulos de PowerShell. Puede escribir y guardar complementos personalizados en la carpeta personalizada. Hay muchos recursos en Internet para PowerShell scripts. SEÑALAR Los complementos predeterminados se comprueban para la firma mientras se ejecutan, pero no se comprueba la firma de los complementos personalizados. McAfee no es responsable de los complementos personalizados creados por el cliente.
Ejecutándose carpeta: de manera predeterminada, la carpeta de ejecución no está presente cuando la herramienta se extrae de forma reciente de la SSSO_1.0.0.xxx.zip. La carpeta se crea automáticamente cuando SSSOLauncher.exese ejecuta. Esta carpeta contiene la salida del comando ejecutado en un formato comprimido (. tgz) guardado según la marca de tiempo. Este archivo comprimido alberga la SSSO.log, SSSO_Telemetry.xml archivos y otros registros o archivos de volcado. Los archivos dependen de las herramientas utilizadas en la ejecución del comando.
Las directorio: La carpeta Tools se clasifica como personalizada y predeterminada. Cada una de las carpetas incluye subcarpetas dentro de ellas, a diferencia de x64 y x86. Las herramientas predeterminadas se suministran con todas las herramientas de McAfee relevantes.
Las herramientas se pueden actualizar a las versiones más recientes mediante la ejecución del flujo de trabajo de actualización de herramientas. Para obtener detalles, consulte la !Guía del producto de SSSO, o ejecutando SSSOLauncher.exe-update mando. SEÑALAR Las herramientas predeterminadas se comprueban para la firma mientras se ejecutan, pero no se comprueba la firma de las herramientas personalizadas. McAfee no es responsable de las herramientas personalizadas creadas por el cliente.
License.txt: Información de licencia de los componentes utilizados. Se ha agregado como referencia.
SSSOLauncher.exe: Es el ejecutable principal que se utiliza para iniciar la aplicación SSSO. También acepta argumentos de línea de comandos. Para obtener más información sobre los argumentos de entrada del archivo binario, consulte la help.txt documento en la carpeta doc
SSSO.log: Es el archivo de registro generado tras la ejecución SSSOLauncher.exe. Muestra el registro de salida de la última ejecución del comando únicamente.
SSSO_Updater.log: Es el archivo de registro del actualizador generado tras la ejecución SSSOLauncher.exe. Muestra la actualización automática y el resultado de la carga del registro del último comando ejecutado.
SSSO_Telemetry.xml: Este archivo XML muestra el resultado de telemetría del último comando ejecutado.
Royalty-Free Tools License.txt: Este archivo contiene el SSSO end-user license agreement (EULA). De forma predeterminada, este archivo no está presente en la carpeta raíz. Cuando se ejecuta por primera vez, aparece la página EULA. Tras la aceptación, este archivo se crea en la carpeta raíz.
Hay tres flujos de trabajo de SSSO GUI disponibles:
Flujo de trabajo de ejecución de la guía (ejecución de las guías de SSSO en un host
Cree un flujo de trabajo de ePO Endpoint Deployment Kit (EEDK).
Especifique el nombre del proceso que se va a utilizar en la guía.
Como -procname:mcshield.exe
-filepath:""
Especifique la ruta de los que se va a utilizar en la guía.
Como -filepath:"C:\test\Logs"
-play playbookname.yml
Ejecute la guía especificada.
Como -play CreateEEDK.yml
-verify
Como -verify CreateEEDK.yml
-accepteula
Aceptar de forma silenciosa la EULA del organizador del SSS.
-threshold:
Especifique el umbral de CPU que se va a utilizar en la guía.
Como -threshold:20
-sr:
Utilice este modificador para cargar los resultados automáticamente en un servidor de McAfee con respecto al número de solicitud de servicio válida (SR) válido.
Como -sr:4-123456789
-skipupgrade
Omitir la ampliación automática de los archivos binarios de la Orchestrator del SSS para una ejecución concreta.
-delay:
Especifique el retraso (en segundos) que se va a utilizar dentro del YAML
Como -delay:200
-thresholds:
Especifique varios umbrales de memoria (en MB) separados por una coma, para utilizarlos dentro de YAML
Como -thresholds:100,200,300)
-createeedk
Para crear un paquete desplegable de ePO.
-acceptthirdpartyeula
Aceptar de forma silenciosa Procmon, y Procdump EULA cuando se despliegue desde ePO SEÑALARLo Acceptthirdpartyeula el conmutador solo funciona desde ePO.
Ejecución de SSS Orchestrator en entornos con separación por aire
Para obtener un flujo de trabajo detallado sobre la ejecución de SSSO en entornos espaciados por aire, consulte la Guía del producto de SSSO.
Problema de ejemplo: recopilación de datos cuando un proceso de Endpoint Security consume mucha CPU en un sistema.
Nombre de la guía: ENS_Process_HighCPU_Level1.yml
Lo que hace la guía:
Ejecutándose SSSOLauncher.exe.
Tras aceptar EULA, seleccione Guía ENS_Process_HighCPU_Level1.yml. Para obtener más detalles, consulte la Guía del producto de SSSO y examine el flujo de trabajo de ejecución de la guía de la sección (ejecución de las guías de SSSO en un host). SEÑALAR Lo SSSOLauncher.exe el ejecutable espera a que la utilización de la CPU infrinja el umbral de 40%.
Reproduzca el problema y espere a que la CPU infrinja el valor de umbral.
Inicie un análisis bajo demanda Endpoint Security completo en el sistema. SEÑALAR Cuando se activa un análisis bajo demanda completo, la utilización de la CPU supera el límite de umbral. Lo SSSOLauncher.exeinicia la recopilación de la PerfCounters, Procmon, y AMTrace datos. Al final, se recopilan los registros de MER.
Una vez finalizada la ejecución, vaya a SSSO_1.0.0.xxx\run. SEÑALAR Los registros de salida se muestran en la SSSO. log File. El archivo se encuentra en el directorio raíz SSSO_1.0.0.xxx\run\.tgz. El archivo muestra el resultado del comando ejecutado y muestra distintas actividades internas de la herramienta. Los informes generados por todas las herramientas de terceros se comprimen en una SSSO_1.0.0.xxx\run\.tgz File.
Si la opción -sr: se utiliza, los datos recopilados se cargan automáticamente en la solicitud de servicio específica (SR).
Por ejemplo: uso de la opción -SR: 1–123456789, puede cargar los datos recopilados en la solicitud de servicio SR 1 – 123456789.
Para ver cómo crear un flujo de trabajo de EEDK, consulte la sección flujos de trabajo de la interfaz de usuario de SSSO en la Guía del producto de SSSO.
Cómo desplegar SSSO en varios hosts desde ePO:
Una solución única para desplegar SSSO mediante ePO es a través de un paquete de EEDK. Para utilizarlo, siga estos pasos:
Cargar el paquete SSSO_EEDK.zip al repositorio principal de ePO.
Seleccione la lista de sistemas o grupos del árbol de sistemas.
Crear un Run Client Task Now tarea haciendo clic en Realizar, Agent, Ejecutar tarea cliente ahora.
En la ventana Ejecutar tarea cliente ahora, seleccione el producto McAfee Agent, el tipo de tarea como Despliegue de productosy, a continuación, haga clic en Crear nueva tarea.
En la página Ejecutar tarea cliente ahora, seleccione:
La plataforma de destino
El producto como McAfee SSSO Tool 1.0.0.xxx.
Proporcione la opción de línea de comandos -acceptThirdPartyEULAy proporcione el argumento de línea de comandos correspondiente para ejecutar la guía. Por ejemplo:
-acceptThirdPartyEULA -play
Proporcione las opciones de línea de comandos adecuadas para ejecutar la guía específica.
Como. Se ejecuta ENS_Process_HighCPU_Level1.yml, para recopilar datos de mcsheild.exe con un umbral de CPU de 40%, La línea de comandos sería:
Ejemplo de información de paquete y línea de comandos:
Pulsar Run Client Task Now.
Notas
La ubicación de los registros de salida es la siguiente: %ProgramData%\McAfee\SSSO\.tgz.
Lo siguiente se aplica a cualquier guía que deba ejecutarse en el cliente mediante el paquete EEDK. En primer lugar, debe aceptar una EULA para herramientas de terceros en el sistema cliente.
Hay dos grupos disponibles
Guías predeterminadas
Guías de Ajustes generales
Guías predeterminadas
Colector
Nombre de la guía
Nombre de la guíaDescripción
CheckThridPartyToolsEULAAcceptance
Comprueba si se acepta la EULA herramientas de terceros.
CreateEEDK
Crea un kit desplegable de ePO, que se puede desplegar en varios sistemas host.
Beta
Nombre de la guía
Nombre de la guíaDescripción
Template_DefaultToolsPlaybookComo
Ejemplo de guía para el uso de todas las herramientas de McAfee.
Por ejemplo, cómo utilizar AMTrace, o bien ETLTrace.
Template_HighCPUUsage
Si algún proceso tiene un uso elevado de la CPU, recopila el Procdump, Procmon, and MER file.
Template_LogFilterExample
Ejemplo de una guía para esperar una coincidencia determinada de cadena en cualquier archivo de registro y recopilar los datos necesarios.
Template_MERLogCollection
Ejemplo de guía para llamar MER para la recopilación de registros.
Template_ProcessCrashWithProcdump
Si algún proceso se bloquea, recopila un volcado de proceso mediante Procdump, y la MER File.
Template_ProcessCrashWithWER
Si algún proceso se bloquea, recopila un volcado del proceso mediante Windows Informe de errores (WER) y la MER.
Template_ProcessHang
Si se bloquea algún proceso, recopile el volcado de proceso mediante Procdump, y la MER.
Template_ProcessMemoryLeakWithProcdump
Si algún proceso pierde memoria, recopila un volcado de proceso mediante Procdump, y la MER File.
Template_ProcessMemoryLeakWithUMDH
Si algún proceso pierde memoria, recopila smontón de volcado de modo de suario (UMDH) instantáneas y un MER.
Template_ProcessMultipleCrashDumps
Recopila varios volcados de sucesos para un proceso especificado.
Process_MemoryLeak_WithLoop
Solucionar problemas de fuga de memoria mediante la recopilación de volcados de procesos, Poolmony las instantáneas de UMDH sobre los umbrales especificados en bucle.
Guías de Ajustes generales
Guías de Endpoint Security (ENS)
Colector
Nombre de la guía
Nombre de la guíaDescripción
ENS_EventBasedLogCollection
En función del desencadenador de ID de evento, recopila AMTrace, Procmon.
Ejemplo: evento if ID1000 se produce un error, se recopilan los datos necesarios.
ENS_InstallationFailure_ePO
Supervisión de errores de instalación y recopilación Procmon, AMTracey el archivo MER cuando la instalación de ENS es a través de ePO.
ENS_Process_HighCPU_Level1
Si el proceso de ENS tiene problemas de CPU elevados, recopile PerfCounters, Procmon, AMTracey el archivo de MER.
ENS_Process_MemoryLeak
Si el proceso de ENS tiene una fuga de memoria, recopile varios Procmon, Procdump, Poolmon, Instantáneas de UMDH y una AMTrace.
ENS_SlowODSTask
Si la tarea ENS ODS es lenta, recopile varios Procmon, AMTrace, y un archivo de MER.
ENS_SlowAppStartup_Random
Si el proceso ENS tarda mucho tiempo para el inicio, active una recopilación de Procmon así AMTrace.
ENS_SystemHighCPU
Si el uso de la CPU del sistema es alto, recopile Procmon, AMTrace, WPR, PerfCountersy un MER.
Beta
Nombre de la guía
Nombre de la guíaDescripción
ENS_eventMessageBasedLogCollection
Recopila registros en caso de que se produzca un mensaje determinado.
ENS_FirewallPolicyCollection
Recopila detalles de la Directiva de Firewall de ENS.
ENS_InstallationFailure
Se puede utilizar para recopilar datos mediante Procmon, AMTrace, y la MER archivo cuando se produce un error de instalación de ENS.
ENS_Process_HighCPU_level1_Parallel
Supervisa la CPU de especificar el proceso de ENS para un umbral especificado. Recopila PerfCounters, Procmon, AMTrace, y la MER archivo al mismo tiempo, si existe una infracción de umbral.
ENS_Process_HighCPU_Level2
Si el proceso de ENS tiene problemas de CPU elevados, recopile PerfCountersy un Live Kernel parte.
ENS_Process_HighCPU_Level3
Si el proceso de ENS tiene problemas de CPU elevados, recopile PerfCountersy un volcado de memoria completo.
ENS_SlowAppStartup_Repro
Si el proceso ENS tarda mucho tiempo para el inicio, recopile Procmon así AMTrace.
Guías de VirusScan Enterprise (VSE)
Nombre de la guía
Nombre de la guíaDescripción
VSE_InstallationFailure
Se puede utilizar para recopilar Procmon, ETLTrace, y un MER archivo cuando se produce un error de instalación de VSE.
VSE_ODS_Hang_x64
Supervisa el proceso de tarea de análisis bajo demanda (scan64.exe) durante una duración específica. Recopila Procmon, ETLTrace y MER datos si el proceso se sigue ejecutando después de que haya transcurrido una duración especificada en un equipo de 64 bits.
VSE_ODS_Hang_x86
Supervisa el proceso de tarea de análisis bajo demanda (scan32.exe) durante una duración específica. Recopila Procmon, ETLTrace, y MER datos si el proceso se sigue ejecutando después de que haya transcurrido una duración especificada en un equipo de 32 bits.
Guías de McAfee Application and Change control (MACC)
Colector
Nombre de la guía
Nombre de la guíaDescripción
MACC_ExecutionDenied
Supervisa el ID de evento 21, que se relaciona con la ejecución denegada para una aplicación, y recopila el archivo MER cuando se produce este evento.
MACC_Gatherinfo
Recopila información mediante la ejecución de gatherinfo.bat.
MACC_Loglevel
Se puede utilizar para establecer los niveles de registro necesarios.
Beta
Nombre de la guía
Nombre de la guíaDescripción
MACC_HighCPU
Si el SolidCoreservice tiene problemas de CPU elevados, recopile un Procdump, Procmon, y Gatherinfo datos.
MACC_HighMemory
Si el SolidCoreservicetiene problemas de uso de memoria alta, recopilar Procdump así Procmon.
MACC_InstallationFailure
Se puede utilizar para recopilar los registros de instalación cuando se produce un error de instalación de MACC.
MACC_MER
Esta guía recopila información mediante la ejecución de MER para el producto MACC.
MACC_PackageControl
Evento de prevención de cambios de paquetes por MACC para cualquier instalador y recopila Gatherinfo datos.
MACC_PreventedExecution
Evento de prevención de ejecución por MACC para cualquier archivo binario y recopila Gatherinfo datos.
MACC_Process_MemoryLeak
Facilitar gflag mediante el registro y recopilar volcados de procesos cuando el uso de la memoria para una aplicación alcanza cierto umbral.
MACC_Procmon_MER
Esta guía recopila Procmon y MER datos de los problemas de rendimiento del sistema.
MACC_SystemCrash
Si el sistema de MACC se bloquea, establezca el valor de registro en collectCrashdumpy recopilar Gatherinfo datos.
MACC_SlowAppStartup_Random
Supervisa y recopila datos de rendimiento para cualquier proceso que tenga un inicio lento.
MACC_SystemCrashDataZip
Copia el volcado de memoria de c:\Windows a la carpeta ejecutar
MACC_WriteDenied
Espera a que se produzca un evento de prevención de cambios de archivos de MACC para cualquier archivo con ID 20. Recopila los datos de Gatherinfo.
Administración de guías antivirus optimizadas para entornos virtuales (MOVE)
Colector
Nombre de la guía
Nombre de la guíaDescripción
Beta
Nombre de la guía
Nombre de la guíaDescripción
MOVE_Clientx86_InstallationFailure
Ejecute la guía antes de iniciar la instalación del cliente de MOVE de 32 bits. Esta guía supervisa los errores de instalación y recopila Procmon, AMTracey MER archivo.
MOVE_Clientx64_InstallationFailure
Ejecute la guía antes de iniciar la instalación del cliente de MOVE de 64 bits. Esta guía supervisa los fallos de instalación y recopila Procmon, AMTrace, y la MER File.
MOVE_DataCollection
Esta guía cambia el nivel de registro para el módulo MOVE especificado y recopila los MER File.
Cree su propia guía
No es difícil crear su propia guía. Lo playbook.yml archivo en la carpeta doc le ayuda a crear una guía con poco esfuerzo.
Hay algunas cosas que debe recordar al crear la guía:
Describa el caso de uso en tareas sencillas. Descomponer lo necesario y Cuándo es necesario.
Siga las convenciones según se describe en el archivo doc\playbook.yml.
Evite el uso de espacios de tabulación en el YAMLsoftware. A continuación se indican las preguntas frecuentes del funcionario YAML a0/>sitio https://yaml.org/faq.html:
"Tabs have been outlawed, since different editors and tools treat them differently. And since indentation is so critical to proper interpretation of YAML, this issue is just too tricky to even attempt. Indeed, Guido van Rossum of Python has acknowledged that allowing TABs in Python source is a headache for many people."
Notas
El organizador SSS es compatible con las guías de flujos de trabajo conocidos, que incluyen flujos de trabajo específicos de productos.
Los flujos de trabajo específicos del usuario o del producto pueden reducir el tiempo para la corrección automática o la recopilación de datos efectiva.
El organizador del SSS también es compatible con la creación de guías personalizadas en función de sus necesidades.
La guía también permite invocar distintas herramientas en función de la hora, los eventos o los desencadenadores externos.
Sistema operativo
SSSO
Utilidad
1.0.0 y posteriores
Cliente
Microsoft Windows 10 (64 bits/x64)
Microsoft Windows 10 (32 bits/x86)
Sí
Microsoft Windows 8 (64 bits/x64)
Microsoft Windows 8 (32 bits/x86)
Emitirá Procmon64. exe no está firmado y está bloqueando la ejecución, error: 2148204814.
Solución Las herramientas de terceros deben encontrarse en la /tools/custom/ directorio. Todas las herramientas incluidas en la carpeta/Tools/default/deben estar firmadas con un certificado de McAfee.
-
Emitirá El flujo de trabajo de creación de EEDK de SSSO falla cuando se ejecuta desde rutas con paréntesis.
Solucionar Copie SSSO Orchestrator en una carpeta sin paréntesis en la ruta ejecutar el flujo de trabajo de EEDK
Emitirá El despliegue del paquete de EEDK de SSSO falla cuando el filepath se utiliza el parámetro con comillas.
Cause Cuando el paquete se ejecuta desde ePO, ePO elimina las comillas y SSSO recibe el Ruta parámetro sin comillas. SSSO encuentra que esta cadena no es válida.
Solución Agregar carácter de escape (/) antes de las comillas en ePO.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
