Outil de collecte de données Orchestrator de prise en charge du self-service
Articles techniques ID:
KB92519
Date de la dernière modification : 30/03/2022
Environnement
McAfee le service de prise en charge du self-service Orchestrator (SSSO) 21.4 – outil de collecte de données
Synthèse
McAfee le service de prise en charge en libre-service d’ePolicy Orchestrator
SSSO Orchestrator est un outil de collecte de données. Il apporte plusieurs outils de prise en charge utilisés par les clients des terminaux sous un seul et même Orchestrator. L’outil invoque l’outil approprié au bon moment et facilite l’effort de collecte des données. Cet outil capture le contexte dans lequel se produit la collecte des données, ce qui permet de signaler les données de télémétrie appropriées.
Mise à jour de l’environnement vers la version SSSO 21.4.
Suppression de la section’exécuter SSSO Orchestrator sur un hôte'.
Modification de MfeDiag en SSSO à plusieurs emplacements.
Le 24 février 2021
SSS modification de la modification de l’ePolicy Orchestrator 20.8 À 20.11.
12 novembre 2020
Ajout d’un problème connu dans le champ informations connexes.
9 novembre, 2020
Suppression des règles MVISION.
Fractionnez les règles communes en groupes principaux et en groupes bêta.
Capture d’écran Arborescence des systèmes mise à jour.
Ajout d’une nouvelle section : « exécution d’un bulletin d’informations SSS dans des environnements à air ».
Paramètre de ligne de commande supprimé 'p-autoupgrade:false'.
7 août 2020
Modification de "le fichier WinZip contient les éléments suivants" à "la structure de dossiers d’outils lors de l’exécution contient ce qui suit" dans la section "contenu de l’outil SSSO".
Egalement ajouté à cette section :
License.txt:Informations de licence des composants utilisés. Ajouté en tant que référence.
MfeDiagUpdater.log: Ce fichier est le fichier journal du programme de mise à jour généré après l’exécution de MfeDiag.exe. Il affiche uniquement la sortie de la dernière commande exécutée et la sortie de la mise à jour automatique.
Supprimez le MfeDiag_1.0.0.xxx le dossier une fois la session terminée.
Cliquez pour développer la section que vous souhaitez afficher :
Utilisez cet outil dans les situations suivantes :
Lorsque vous ouvrez une demande de service avec Support technique, et que vous avez besoin de la collecte des données
Lorsque l’effort de collecte des données est complexe ou simple
Lorsque l’outil ou les outils dont vous avez besoin sont nombreux ou difficiles à utiliser
Lorsque le problème est sporadique, aléatoire ou reproductible à la demande
On
Capturer les données d’une PROCESSEUR élevé problème qui se produit de manière aléatoire dans l’environnement. Ce problème nécessite que les outils de McAfee et Microsoft s’exécutent en tandem, et uniquement lorsque le processeur est élevé.
Exécutez les outils McAfee et Microsoft nécessaires pour capturer le comportement lors du démarrage d’un application tiers. De plus, lorsque la tierce partie rencontre de manière aléatoire un échec d’accès et se bloque. Ne collecte pas de journaux si l’échec ne s’est pas produit.
Activez la journalisation de débogage pour Endpoint Security et McAfee Agent lors du démarrage d’un certain processus tiers. Collectez le vidage du processus de ce tiers lorsqu’il tombe en panne dans les deux minutes qui survient au cours du démarrage. Désactivez la journalisation de débogage et collectez les fichiers lorsque le blocage se produit. Dans le cas contraire, arrêtez la journalisation jusqu’à la prochaine fois que le processus démarre.
Le SSSO est fourni sous la forme d’un fichier. zip nommé SSSO_1.0.0.xxx.zip.
La structure de dossiers d’outils lorsqu’elle est exécutée contient les éléments suivants :
Affecté dossier : le dossier doc se compose des documents d’aide. Cette Playbook.yml le fichier contient les étapes nécessaires à la création de votre propre manuel en rapport avec le problème. Cette TelemetryData.txt le fichier contient des informations sur les informations télémétriques collectées pour l’amélioration des produits et pour le support aux entreprises. Ce fichier est créé dans le dossier racine.
Lesquelles dossier : se compose de deux sous-dossiers, personnalisés et par défaut. Le dossier par défaut contient quelques règles qui ont été créées en fonction des réaffectations des clients. Utilisez le dossier personnalisé lorsqu’un nouveau manuel a été créé.
Plug-ins dossier : les plug-ins se composent de deux sous-dossiers, personnalisés et par défaut. Dans le dossier par défaut, il existe quelques PowerShell scripts qui surveillent des cas d’utilisation spécifiques. Les plug-ins sont essentiellement des modules PowerShell. Vous pouvez écrire et enregistrer des plug-ins personnalisés dans le dossier personnalisé. De nombreuses ressources sont disponibles sur Internet pour PowerShell scripts. Veuillez Les plug-ins par défaut sont vérifiés pour la signature pendant l’exécution, mais les plug-ins personnalisés ne sont pas vérifiés pour la signature. McAfee n’est pas responsable des plug-ins personnalisés créés par le client.
Exécute dossier : par défaut, le dossier d’exécution n’est pas présent lorsque l’outil est fraîchement extrait du SSSO_1.0.0.xxx.zip. Le dossier est créé automatiquement lorsque SSSOLauncher.exeest exécutée. Ce dossier contient la sortie de la commande exécutée dans un format compressé (. tgz) enregistré en fonction de l’horodatage. Ce fichier compressé contient le SSSO.log, SSSO_Telemetry.xml fichiers et autres fichiers ou journaux de vidage. Les fichiers dépendent des outils utilisés dans l’exécution de la commande.
Outils arborescence: Le dossier Tools est classé dans Custom et default. Chacun des dossiers contient des sous-dossiers, à savoir x64 et x86. Les outils par défaut sont fournis avec tous les outils McAfee pertinents.
Les outils peuvent être mis à jour avec les dernières versions en exécutant le workflow des outils de mise à jour. Pour plus d’informations, consultez la section OuGuide produit de SSSOou en exécutant SSSOLauncher.exe-update commande. Veuillez Les outils par défaut sont vérifiés pour la signature lors de l’exécution, mais les outils personnalisés ne sont pas vérifiés pour la signature. McAfee n’est pas responsable des outils personnalisés créés par le client.
License.txt: Informations de licence des composants utilisés. Ajouté en tant que référence.
SSSOLauncher.exe: Est le fichier exécutable principal qui est utilisé pour démarrer le application SSSO. Elle accepte également les arguments de ligne de commande. Pour en savoir plus sur les arguments d’entrée du fichier binaire, reportez-vous à la section help.txt document dans le dossier doc
SSSO.log: Est le fichier journal généré après l’exécution de SSSOLauncher.exe. Il affiche uniquement la sortie du journal de l’exécution de la dernière commande.
SSSO_Updater.log: Le fichier journal du programme de mise à jour est-il généré après l’exécution SSSOLauncher.exe. Il affiche uniquement la sortie de la dernière commande exécutée et la sortie de la mise à jour automatique.
SSSO_Telemetry.xml: Ce fichier XML affiche la sortie de télémétrie de la dernière commande exécutée.
Royalty-Free Tools License.txt: Ce fichier contient SSSO end-user license agreement (EULA). Par défaut, ce fichier n’est pas présent dans le dossier racine. Lorsqu’elle est exécutée pour la première fois, la page EULA s’affiche. Après acceptation, ce fichier est créé dans le dossier racine.
Trois flux de travail SSSO GUI sont disponibles :
Workflow d’exécution des manifestes (exécution des règles SSSO sur un hôte
Créez un workflow ePO Endpoint Deployment Kit (EEDK).
Spécifiez le nom du processus à utiliser dans le manuel.
Comment -procname:mcshield.exe
-filepath:""
Spécifiez le chemin d’utilisation à utiliser dans le manuel.
Comment -filepath:"C:\test\Logs"
-play playbookname.yml
Exécutez le manuel indiqué.
Comment -play CreateEEDK.yml
-verify
Comment -verify CreateEEDK.yml
-accepteula
Accepter silencieusement le EULA de l’Orchestrator SSS.
-threshold:
Spécifiez le seuil processeur à utiliser dans le manuel.
Comment -threshold:20
-sr:
Utilisez ce commutateur pour charger automatiquement les résultats sur un serveur McAfee en fonction du numéro de demande de service valide (SR) donné.
Comment -sr:4-123456789
-skipupgrade
Ignorez la mise à niveau automatique des fichiers binaires d’ePolicy Orchestrator pour une exécution spécifique.
-delay:
Spécifiez le délai (en secondes) à utiliser dans YAML
Comment -delay:200
-thresholds:
Spécifiez plusieurs seuils de mémoire (en Mo) séparés par une virgule, à utiliser dans le YAML
Comment -thresholds:100,200,300)
-createeedk
Permet de créer une package à déployer dans ePO.
-acceptthirdpartyeula
Accepter silencieusement Procmon, et Procdump EULA en cas de déploiement à partir d’ePO VeuillezCette Acceptthirdpartyeula le commutateur fonctionne uniquement à partir d’ePO.
Exécution d’Orchestrator SSS dans des environnements à air comprimé
Pour plus d’workflow sur l’exécution de SSSO dans des environnements d’aération, reportez-vous à la section Guide produit de SSSO.
Exemple de problème : collecte de données lorsqu’un processus de Endpoint Security consomme une UC élevée sur un système.
Nom du manuel : ENS_Process_HighCPU_Level1.yml
Ce que fait le manuel :
Exécute SSSOLauncher.exe.
Après avoir accepté EULA, sélectionnez le manuel ENS_Process_HighCPU_Level1.yml. Pour plus d’informations, consultez la section Guide produit de SSSO et consultez la section « Workflow d’exécution des manifestes (exécution des règles SSSO sur un hôte) ». Veuillez Cette SSSOLauncher.exe le fichier exécutable attend que l’utilisation de l’UC viole le seuil de 40%.
Reproduisez le problème et attendez que le processeur viole la valeur de seuil.
Lancez une analyse à la demande Endpoint Security complète sur le système. Veuillez Lorsqu’une analyse à la demande complète est déclenchée, l’utilisation du processeur dépasse la limite de seuil. Cette SSSOLauncher.exedémarre la collecte de la PerfCounters, Procmon, et AMTrace Datacenter. A la fin, les journaux de MER sont collectés.
Une fois l’exécution terminée, accédez à SSSO_1.0.0.xxx\run. Veuillez Les journaux de sortie s’affichent dans la SSSO. log pièces. Le fichier se trouve dans le répertoire racine SSSO_1.0.0.xxx\run\.tgz. Le fichier affiche la sortie de la commande exécutée et affiche des activités d’outil internes différentes. Les rapports générés par tous les outils tiers sont compressés dans un SSSO_1.0.0.xxx\run\.tgz pièces.
Si l’option -sr: est utilisé, les données collectées sont automatiquement chargées dans la demande de service (SR) spécifique.
Par exemple : utilisation de l’option -SR: 1–123456789, vous pouvez charger les données collectées vers la SR 1 à 123456789 respective.
Pour savoir comment créer un workflow EEDK, reportez-vous à la section workflows de l’interface SSSO dans la section Guide produit de SSSO.
Comment déployer SSSO sur plusieurs hôtes à partir d’ePO :
Une solution à un seul arrêt pour déployer SSSO à l’aide d’ePO se fait via un EEDK package. Pour l’utiliser, suivez les étapes ci-dessous :
Charger le package SSSO_EEDK.zip au référentiel maître dans ePO.
Sélectionnez la liste des systèmes ou des groupes dans l’arborescence des systèmes.
Créer une Run Client Task Now tâche en cliquant sur Actions, Agent, Exécuter une tâche client maintenant.
Dans la fenêtre exécuter une tâche client maintenant, sélectionnez le produit McAfee Agent, le type de tâche est Déploiement de produits, puis cliquez sur Créer une nouvelle tâche.
Sur la page exécuter une tâche client maintenant, sélectionnez :
Plate-forme cible
Le produit comme McAfee SSSO Tool 1.0.0.xxx.
Fourniture de l’option de ligne de commande -acceptThirdPartyEULAet fournissez l’argument de ligne de commande respectif pour exécuter le manuel. Par exemple :
-acceptThirdPartyEULA -play
Fournissez les options de ligne de commande appropriées pour exécuter le manuel spécifique.
Comment. Vous exécutez ENS_Process_HighCPU_Level1.yml, pour collecter des données pour mcsheild.exe a un seuil processeur de 40%, La ligne de commande est la suivante :
Exemple d’informations de ligne de commande et de package :
Activez Run Client Task Now.
Billets
L’emplacement des journaux de sortie est le suivant : %ProgramData%\McAfee\SSSO\.tgz.
Les instructions ci-dessous s’appliquent à tous les Articles de manuel qui doivent être exécutés sur le client à l’aide de la package EEDK. Vous devez d’abord accepter un EULA pour les outils tiers sur le système client.
Deux groupes sont disponibles
Règles par défaut
Règles de Partagés
Règles par défaut
Grandes
Nom du manuel
Nom du manuelDécrit
CheckThridPartyToolsEULAAcceptance
Vérifie si les outils tiers EULA sont acceptés.
CreateEEDK
Crée un kit déployable ePO, qui peut être déployé sur plusieurs systèmes hôtes.
Bêta
Nom du manuel
Nom du manuelDécrit
Template_DefaultToolsPlaybookComment
Exemple de manuel pour l’utilisation de tous les outils McAfee.
Par exemple, comment utiliser AMTrace, ou ETLTrace.
Template_HighCPUUsage
Si un processus a une utilisation processeur élevée, il collecte les Procdump, Procmon, and MER file.
Template_LogFilterExample
Exemple de manuel pour attendre une concordance de chaîne dans n’importe quel fichier journal et collecter les données nécessaires.
Template_MERLogCollection
Exemple de manuel d’appel MER pour la collecte des journaux.
Template_ProcessCrashWithProcdump
Si un processus se bloque, collecte un vidage de processus, à l’aide de Procdump, et la MER pièces.
Template_ProcessCrashWithWER
Si un processus se bloque, collecte un vidage de processus, à l’aide de Windows Error Reporting (WER) et de la MER.
Template_ProcessHang
Si un processus se bloque, collectez le vidage du processus à l’aide de Procdump, et la MER.
Template_ProcessMemoryLeakWithProcdump
Si un processus présente une fuite de mémoire, collecte un vidage du processus à l’aide de Procdump, et la MER pièces.
Template_ProcessMemoryLeakWithUMDH
Si un processus présente une fuite de mémoire, collecte utilitas de vidage en mode SER (UMDH) captures instantanées et un MER.
Template_ProcessMultipleCrashDumps
Collecte plusieurs vidages sur incident pour un processus spécifié.
Process_MemoryLeak_WithLoop
Résoudre les problèmes de fuite de mémoire en collectant les vidages de processus, Poolmonet UMDH instantanés au-delà des seuils spécifiés dans la boucle.
Règles de Partagés
Endpoint Security (ENS), règles
Grandes
Nom du manuel
Nom du manuelDécrit
ENS_EventBasedLogCollection
En fonction du déclencheur d’ID d’événement, collecte AMTrace, Procmon.
Exemple : si l’événement ID1000 le blocage se produit, collectez les données nécessaires.
ENS_InstallationFailure_ePO
Surveille les échecs d’installation et collecte Procmon, AMTraceet le fichier MER lors de l’installation de ENS via ePO.
ENS_Process_HighCPU_Level1
Si le processus ENS rencontre des problèmes d’UC élevés, collectez PerfCounters, Procmon, AMTraceet le fichier MER.
ENS_Process_MemoryLeak
Si le processus ENS rencontre une fuite de mémoire, collectez plusieurs Procmon, Procdump, Poolmon, Les instantanés UMDH et un AMTrace.
ENS_SlowODSTask
Si la tâche ENS ODS est lente, collectez plusieurs Procmon, AMTrace, et un fichier MER.
ENS_SlowAppStartup_Random
Si le processus ENS prend beaucoup de temps pour le démarrage, déclenche une collecte de Procmon et AMTrace.
ENS_SystemHighCPU
Si l’utilisation du processeur système est élevée, Collect Procmon, AMTrace, WPR, PerfCounterset un MER.
Bêta
Nom du manuel
Nom du manuelDécrit
ENS_eventMessageBasedLogCollection
Collecte les journaux à l’occurrence de certains messages.
ENS_FirewallPolicyCollection
Collecte les détails de la stratégie de pare-feu ENS.
ENS_InstallationFailure
Peut être utilisé pour collecter des données à l’aide de Procmon, AMTrace, et la MER fichier lors de l’échec de l’installation de ENS.
ENS_Process_HighCPU_level1_Parallel
Surveille le processeur du processus ENS spécifié pour un seuil spécifié. Collecte PerfCounters, Procmon, AMTrace, et la MER fichier en même temps en cas de violation de seuil.
ENS_Process_HighCPU_Level2
Si le processus ENS rencontre des problèmes d’UC élevés, collectez PerfCounterset en direct Kernel transféré.
ENS_Process_HighCPU_Level3
Si le processus ENS rencontre des problèmes d’UC élevés, collectez PerfCounterset une image mémoire complète.
ENS_SlowAppStartup_Repro
Si le processus ENS prend beaucoup de temps pour démarrer, collectez Procmon et AMTrace.
Règles de VirusScan Enterprise (VSE)
Nom du manuel
Nom du manuelDécrit
VSE_InstallationFailure
Peut être utilisé pour collecter Procmon, ETLTrace, et un MER fichier en cas d’échec de l’installation de VSE.
VSE_ODS_Hang_x64
Surveille le processus de tâche d’analyse à la demande (scan64.exe) pour une durée spécifique. Collecte Procmon, ETLTrace et MER données si le processus est toujours en cours d’exécution après qu’une durée spécifiée s’est écoulée sur un ordinateur 64 bits.
VSE_ODS_Hang_x86
Surveille le processus de tâche d’analyse à la demande (scan32.exe) pour une durée spécifique. Collecte Procmon, ETLTrace, et MER données si le processus est toujours en cours d’exécution après qu’une durée spécifiée s’est écoulée sur un ordinateur 32 bits.
McAfee les règles d’application et de modification des contrôles (MACC)
Grandes
Nom du manuel
Nom du manuelDécrit
MACC_ExecutionDenied
Surveille un ID d’événement 21, qui est lié à l’exécution refusée pour une application, et collecte le fichier MER lorsque cet événement se produit.
MACC_Gatherinfo
Collecte des informations en exécutant gatherinfo.bat.
MACC_Loglevel
Peut être utilisé pour définir les niveaux de journalisation requis.
Bêta
Nom du manuel
Nom du manuelDécrit
MACC_HighCPU
Si le SolidCoreservice rencontre des problèmes d’UC élevés, collectez un Procdump, Procmon, et Gatherinfo Datacenter.
MACC_HighMemory
Si le SolidCoreservicea des problèmes d’utilisation élevée de la mémoire, collecte Procdump et Procmon.
MACC_InstallationFailure
Peut être utilisé pour collecter les journaux d’installation en cas d’échec de l’installation de MACC.
MACC_MER
Ce manuel collecte les informations en exécutant MER pour le produit MACC.
MACC_PackageControl
Evénement de prévention des modifications du package par MACC pour n’importe quel programme d’installation et collecte Gatherinfo Datacenter.
MACC_PreventedExecution
Evénement de prévention de l’exécution par MACC pour n’importe quel fichier binaire et collecte Gatherinfo Datacenter.
MACC_Process_MemoryLeak
Activer gflag utilisation du Registre et collecte des vidages de processus lorsque la mémoire est utilisée pour un application atteint un certain seuil.
MACC_Procmon_MER
Ce manuel collecte les informations ci-dessous. Procmon et MER des données pour les problèmes de performances du système.
MACC_SystemCrash
Si un système MACC se bloque, définissez la valeur de Registre sur collectCrashdumpet collecter Gatherinfo Datacenter.
MACC_SlowAppStartup_Random
Surveille et collecte les données de performances de tout processus dont le démarrage est lent.
MACC_SystemCrashDataZip
Copie le vidage de la mémoire à partir de c:\Windows dans le dossier d’exécution
MACC_WriteDenied
Attend qu’un événement de prévention des modifications de fichier MACC se produise, pour tout fichier avec ID 20. Collecte les données Gatherinfo.
Gestion des règles antivirus pour les environnements virtuels optimisés (MOVE)
Grandes
Nom du manuel
Nom du manuelDécrit
Bêta
Nom du manuel
Nom du manuelDécrit
MOVE_Clientx86_InstallationFailure
Exécutez le manuel avant de lancer l’installation de 32 bits MOVE client. Cet manuel surveille les échecs d’installation et collecte Procmon, AMTraceet MER fichier.
MOVE_Clientx64_InstallationFailure
Exécutez le manuel avant de lancer l’installation de 64 bits MOVE client. Cet manuel surveille les échecs d’installation et collecte Procmon, AMTrace, et la MER pièces.
MOVE_DataCollection
Ce manuel modifie le niveau de journalisation du module MOVE spécifié et collecte les MER pièces.
Créer votre propre manuel
Il n’est pas difficile de créer votre propre manuel. Cette playbook.yml le fichier sous le dossier doc vous aide à créer un manuel avec peu d’efforts.
Voici quelques points à retenir lorsque vous créez le manuel :
Esquissez votre cas d’utilisation dans des tâches simples. Décomposez ce qui est nécessaire et le moment où il est nécessaire.
Suivez les conventions décrites dans le fichier doc\playbook.yml.
Evitez d’utiliser les espaces de tabulation dans la YAMLsus. Voici une FAQ du responsable YAML l’ax100 https://yaml.org/faq.html:
"Tabs have been outlawed, since different editors and tools treat them differently. And since indentation is so critical to proper interpretation of YAML, this issue is just too tricky to even attempt. Indeed, Guido van Rossum of Python has acknowledged that allowing TABs in Python source is a headache for many people."
NOTES:
L’Orchestrator SSS prend en charge les règles des workflows connus, qui incluent des workflows spécifiques au produit.
Les workflows propres à l’utilisateur ou au produit peuvent réduire le temps nécessaire à la correction automatique ou à la collecte efficace des données.
L’Orchestrator SSS prend également en charge la création de règles personnalisées en fonction de vos besoins.
Le manuel prend également en charge l’appel de différents outils en fonction du temps, des événements ou des déclencheurs externes.
Système d'exploitation
SSSO
Réparateur
1.0.0 et versions ultérieures
Postes
Microsoft Windows 10 (64 bits/x64)
Microsoft Windows 10 (32 bits/x86)
Oui
Microsoft Windows 8 (64 bits/x64)
Microsoft Windows 8 (32 bits/x86)
Règlement Les outils tiers doivent se trouver dans le /tools/custom/ arborescence. Tous les outils placés dans le dossier/Tools/default/doivent être signés à l’aide d’un certificat McAfee.
-
Problème SSSO crée EEDK workflow échoue, lorsqu’il SSSO est exécuté à partir de chemins d’accès avec des parenthèses.
Résolution Copiez SSSO Orchestrator dans un dossier sans parenthèses dans le chemin d’accès exécutez le EEDK workflow
Problème SSSO EEDK package déploiement échoue lorsque le filepath un paramètre avec des guillemets est utilisé.
Permettre Lorsque le package est exécuté à partir d’ePO, ePO supprime les guillemets et SSSO reçoit le FilePath paramètre sans les guillemets. SSSO trouve cette chaîne comme étant non valide.
Règlement Ajouter un caractère d’échappement (/) avant les guillemets dans ePO.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
