Strumento di raccolta dati self-service orchestration
Articoli tecnici ID:
KB92519
Ultima modifica: 30/03/2022
Ambiente
McAfee orchestratore di supporto self-service (SSSO) 21.4 – strumento di raccolta dati
Riepilogo
McAfee orchestratore di supporto self-service
SSSO Orchestrator è uno strumento di raccolta dei dati. Offre diversi strumenti di supporto utilizzati dai clienti endpoint con un unico orchestratore. Lo strumento richiama lo strumento giusto al momento giusto e facilita lo sforzo di raccolta dei dati. Questo strumento acquisisce il contesto in cui si verifica la raccolta dei dati, che consente di segnalare i dati di telemetria corretti.
Ambiente aggiornato a SSSO alla versione 21.4.
Sezione eliminata ' Esegui SSSO Orchestrator su un host '.
Modifica di MfeDiag in SSSO in più posizioni.
24 febbraio 2021
SSS orchestratore modificato da 20.8 A 20.11.
12 novembre 2020
Aggiunta di un problema noto al campo informazioni correlate.
9 novembre 2020
Eliminati MVISION schemi.
Suddividete gli schemi comuni in gruppi principali e beta.
Struttura dei sistemi schermata aggiornata.
È stata aggiunta una nuova sezione:' running SSS Orchestral in ambienti gapped '.
Parametro della riga di comando eliminato 'p-autoupgrade:false'.
7 agosto 2020
Modificato "il file WinZip contiene la seguente" a "la struttura delle cartelle degli strumenti quando eseguita contiene quanto segue" nella sezione "contenuto dello strumento SSSO".
Aggiunta anche a questa sezione:
License.txt:Informazioni sulla licenza dei componenti utilizzati. Aggiunto come riferimento.
MfeDiagUpdater.log: Questo file è il file di registro dell'Updater generato dopo l'esecuzione MfeDiag.exe. Visualizza l'output di aggiornamento automatico e di caricamento del registro dell'ultimo comando eseguito.
Elimina il MfeDiag_1.0.0.xxx una volta completata la sessione.
Fare clic per espandere la sezione che si desidera visualizzare:
Utilizzare questo strumento nelle seguenti situazioni:
Quando si apre una richiesta di assistenza con Assistenza tecnica e si richiede la raccolta dei dati
Quando lo sforzo di raccolta dei dati è complesso o semplice
Quando lo strumento o gli strumenti necessari sono molti o difficili da utilizzare
Quando il problema è sporadico, casuale o riproducibile su richiesta
Esempi
Cattura dati per un CPU elevata problema che si verifica in modo casuale nell'ambiente. Questo problema richiede l'esecuzione in tandem di strumenti sia McAfee che Microsoft e solo quando la CPU è alta.
Eseguire il McAfee e gli strumenti Microsoft necessari per acquisire il comportamento quando viene avviata un'applicazione di terze parti. Inoltre, laddove la terza parte avverte in modo casuale un errore di accesso negato e si blocca. Non raccogliere i registri se l'errore non si è verificato.
Attivare la registrazione di debug per Endpoint Security e McAfee Agent quando viene avviato un determinato processo di terze parti. Raccogliere il dump del processo di terze parti quando si blocca entro due minuti dall'avvio. Disattivare la registrazione di debug e raccogliere i file quando si verifica un arresto anomalo. In caso contrario, interrompere la registrazione fino al successivo avvio del processo.
Il SSSO viene fornito come file. zip denominato SSSO_1.0.0.xxx.zip.
La struttura delle cartelle degli strumenti quando eseguita contiene quanto segue:
Doc cartella: la cartella doc è costituita dai documenti della Guida in linea. Il Playbook.yml il file contiene la procedura per creare il proprio PlayBook pertinente al problema. Il TelemetryData.txt il file contiene i dettagli sulle informazioni di telemetria raccolte per il miglioramento del prodotto e per il supporto aziendale. Questo file viene creato nella cartella principale.
Playbooks cartella: è costituita da due sottocartelle, personalizzate e predefinite. La cartella predefinita contiene alcuni schemi che sono stati creati in base alle escalation dei clienti. Utilizzare la cartella personalizzata quando è stato creato un nuovo PlayBook.
Plug-in cartella: i plug-in sono costituiti da due sottocartelle, personalizzate e predefinite. Nella cartella predefinita, sono disponibili alcune PowerShell script che controllano casi di utilizzo specifici. I plug-in sono fondamentalmente moduli di PowerShell. È possibile scrivere e salvare i plug-in personalizzati nella cartella personalizzata. Ci sono molte risorse su Internet per PowerShell scripting. Nota I plug-in predefiniti vengono controllati per la firma durante l'esecuzione, ma i plug-in personalizzati non vengono controllati per la firma. McAfee non è responsabile dei plug-in personalizzati creati dal cliente.
Correre cartella: per impostazione predefinita, la cartella di esecuzione non è presente quando lo strumento viene appena estratto dal SSSO_1.0.0.xxx.zip. La cartella viene creata automaticamente quando SSSOLauncher.exeviene eseguito. Questa cartella contiene l'output del comando eseguito in un formato compresso (. tgz) salvato in base all'indicatore di data e ora. Questo file compresso contiene il SSSO.log, SSSO_Telemetry.xml file e altri file o registri di dump. I file dipendono dagli strumenti utilizzati nell'esecuzione del comando.
Strumenti cartella: La cartella Tools è categorizzata in Custom e default. Ognuna delle cartelle contiene sottocartelle all'interno, ovvero x64 e x86. Gli strumenti predefiniti vengono forniti con tutti gli strumenti di McAfee pertinenti.
Gli strumenti possono essere aggiornati alle versioni più recenti eseguendo il flusso di lavoro degli strumenti di aggiornamento. Per informazioni dettagliate, consultare la sezione SGuida del prodotto SSSOo eseguendo SSSOLauncher.exe-update comando. Nota Gli strumenti predefiniti vengono controllati per la firma durante l'esecuzione, ma gli strumenti personalizzati non vengono controllati per la firma. McAfee non è responsabile degli strumenti personalizzati creati dal cliente.
License.txt: Informazioni sulla licenza dei componenti utilizzati. Aggiunto come riferimento.
SSSOLauncher.exe: È l'eseguibile principale utilizzato per avviare l'applicazione SSSO. Accetta anche argomenti della riga di comando. Per ulteriori informazioni sugli argomenti di input per il file binario, consultare la sezione help.txt documento nella cartella doc
SSSO.log: Il file di registro è stato generato dopo l'esecuzione SSSOLauncher.exe. Visualizza l'output del registro dell'ultima esecuzione del comando.
SSSO_Updater.log: Il file di registro dell'Updater viene generato dopo l'esecuzione SSSOLauncher.exe. Visualizza l'output di aggiornamento automatico e di caricamento del registro dell'ultimo comando eseguito.
SSSO_Telemetry.xml: In questo file XML viene visualizzato l'output di telemetria dell'ultimo comando eseguito.
Royalty-Free Tools License.txt: Questo file contiene il SSSO end-user license agreement (EULA). Per impostazione predefinita, questo file non è presente nella cartella principale. Quando viene eseguita per la prima volta, viene visualizzata la pagina EULA. Dopo l'accettazione, questo file viene creato nella cartella principale.
Sono disponibili tre flussi di lavoro GUI di SSSO:
Flusso di lavoro di esecuzione di PlayBook (esecuzione di SSSO PlayBook su un host
Creare un flusso di lavoro di ePO endpoint Deployment Kit (EEDK).
Specificare il nome del processo da utilizzare all'interno del PlayBook.
Esempio -procname:mcshield.exe
-filepath:""
Specificare la FilePath da utilizzare all'interno del PlayBook.
Esempio -filepath:"C:\test\Logs"
-play playbookname.yml
Eseguire il PlayBook specificato.
Esempio -play CreateEEDK.yml
-verify
Esempio -verify CreateEEDK.yml
-accepteula
Accettare in modo invisibile l'EULA di SSS Orchestrat.
-threshold:
Specificare la soglia della CPU da utilizzare all'interno del PlayBook.
Esempio -threshold:20
-sr:
Utilizzare questa switch per caricare automaticamente i risultati in un server McAfee rispetto al numero di richiesta di servizio valido specificato (SR).
Esempio -sr:4-123456789
-skipupgrade
Ignorare l'upgrade automatico dei file binari dell'orchestratore di SSS per una determinata esecuzione.
-delay:
Specificare il ritardo (in secondi) da utilizzare all'interno di YAML
Esempio -delay:200
-thresholds:
Consente di specificare più soglie di memoria (in MB) separate da una virgola da utilizzare all'interno di YAML
Esempio -thresholds:100,200,300)
-createeedk
Per creare un pacchetto Deployable ePO.
-acceptthirdpartyeula
Accettazione invisibile all'utente Procmon, e Procdump EULA quando viene distribuito da ePO NotaIl Acceptthirdpartyeula switch funziona solo da ePO.
Esecuzione di SSS Orchestral in ambienti gapped
Per un flusso di lavoro dettagliato sull'esecuzione di SSSO in ambienti gapped Air, consultare la sezione Guida del prodotto SSSO.
Esempio di problema: raccolta di dati quando un processo di Endpoint Security sta consumando una CPU elevata su un sistema.
Nome PlayBook: ENS_Process_HighCPU_Level1.yml
Cosa fa il PlayBook:
Correre SSSOLauncher.exe.
Dopo aver accettato EULA, selezionare PlayBook ENS_Process_HighCPU_Level1.yml. Per ulteriori informazioni, consultare la sezione Guida del prodotto SSSO e guardate la sezione "workflow di esecuzione PlayBook (che esegue il SSSO Playbooks su un host)". Nota Il SSSOLauncher.exe l'eseguibile attende l'utilizzo della CPU per violare la soglia del 40%.
Riprodurre il problema e attendere che la CPU infrangesca il valore di soglia.
Avviare una scansione su richiesta completa Endpoint Security sul sistema. Nota Quando viene attivata una scansione su richiesta completa, l'utilizzo della CPU supera il limite di soglia. Il SSSOLauncher.exeinizia a raccogliere il PerfCounters, Procmon, e AMTrace dati. Alla fine, vengono raccolti i registri MER.
Al termine dell'esecuzione, passare a SSSO_1.0.0.xxx\run. Nota I registri di output vengono visualizzati nella SSSO. log file. Il file si trova nella directory principale SSSO_1.0.0.xxx\run\.tgz. Il file Visualizza l'output del comando eseguito e Mostra diverse attività interne dell'attrezzo. I rapporti generati da tutti gli strumenti di terze parti vengono compressi in un SSSO_1.0.0.xxx\run\.tgz file.
Se l'opzione -sr: viene utilizzato, i dati raccolti vengono caricati automaticamente nella richiesta di assistenza specifica (SR).
Ad esempio: utilizzo dell'opzione -SR: 1–123456789, è possibile caricare i dati raccolti nel rispettivo SR 1 – 123456789.
Per la creazione di un flusso di lavoro EEDK, consultare la sezione flussi di lavoro di SSSO GUI nella Guida del prodotto SSSO.
Come distribuire SSSO a più host da ePO:
Una soluzione One-Stop per distribuire SSSO utilizzando ePO è tramite un pacchetto EEDK. Per utilizzarlo, attenersi alla procedura riportata di seguito:
Carica il pacchetto SSSO_EEDK.zip all'archivio principale in ePO.
Selezionare l'elenco di sistemi o gruppi nella struttura dei sistemi.
Crea un Run Client Task Now attività facendo clic su Azioni, Agent, Esegui attività client ora.
Nella finestra Esegui attività client ora selezionare il prodotto McAfee Agent, il tipo di attività come Distribuzione prodotti, quindi fare clic su Crea nuova attività.
Nella pagina Esegui attività client ora, selezionare:
La piattaforma di destinazione
Il prodotto come McAfee SSSO Tool 1.0.0.xxx.
Fornire l'opzione della riga di comando -acceptThirdPartyEULAe fornire il rispettivo argomento della riga di comando per eseguire il PlayBook. Per esempio:
-acceptThirdPartyEULA -play
Specificare le opzioni della riga di comando appropriate per eseguire il PlayBook specifico.
Esempio. Si esegue ENS_Process_HighCPU_Level1.yml, per raccogliere i dati per mcsheild.exe a una soglia della CPU di 40%, La riga di comando è:
Esempio di informazioni su pacchetto e riga di comando:
Fare clic su Run Client Task Now.
Note
La posizione dei registri di output è: %ProgramData%\McAfee\SSSO\.tgz.
Di seguito sono riportate le istruzioni per gli schemi che devono essere eseguiti sul client utilizzando il pacchetto EEDK. È necessario prima accettare un EULA per gli strumenti di terze parti nel sistema client.
Sono disponibili due gruppi
Schemi predefiniti
In comune PlayBook
Schemi predefiniti
Principale
Nome PlayBook
Nome PlayBookDescrizione
CheckThridPartyToolsEULAAcceptance
Verifica se gli strumenti di terze parti EULA sono accettati.
CreateEEDK
Crea un kit di installazione di ePO, che può essere distribuito in più sistemi host.
Beta
Nome PlayBook
Nome PlayBookDescrizione
Template_DefaultToolsPlaybookEsempio
Esempio di PlayBook per l'utilizzo di tutti gli strumenti di McAfee.
Ad esempio, come utilizzare AMTrace, oppure ETLTrace.
Template_HighCPUUsage
Se un processo ha un utilizzo elevato della CPU, raccoglie il Procdump, Procmon, and MER file.
Template_LogFilterExample
Esempio di PlayBook per attendere una determinata corrispondenza di stringhe in qualsiasi file di registro e raccogliere i dati necessari.
Template_MERLogCollection
Esempio di PlayBook da chiamare MER per la raccolta dei registri.
Template_ProcessCrashWithProcdump
Se un processo si blocca, raccoglie un dump di processo, utilizzando ProcdumpE la MER file.
Template_ProcessCrashWithWER
Se un processo si blocca, raccoglie un dump del processo, utilizzando la segnalazione degli errori Windows (WER) e il MER.
Template_ProcessHang
Se si blocca un processo, raccogliere i dump dei processi utilizzando ProcdumpE la MER.
Template_ProcessMemoryLeakWithProcdump
Se un processo perde memoria, raccoglie un dump di processo utilizzando ProcdumpE la MER file.
Template_ProcessMemoryLeakWithUMDH
Se un processo perde memoria, raccoglie uheap di deposito di ser-Mode (UMDH) istantanee e un MER.
Template_ProcessMultipleCrashDumps
Raccoglie più dump di crash per un processo specifico.
Process_MemoryLeak_WithLoop
Risoluzione dei problemi relativi alla perdita di memoria raccogliendo i dump dei processi, Poolmone UMDH istantanee sulle soglie specificate in loop.
In comune PlayBook
PlayBook Endpoint Security (ENS)
Principale
Nome PlayBook
Nome PlayBookDescrizione
ENS_EventBasedLogCollection
In base al trigger ID evento, raccoglie AMTrace, Procmon.
Esempio: If Event ID1000 si verifica un arresto anomalo, raccogliere i dati necessari.
ENS_InstallationFailure_ePO
Esegue il monitoraggio degli errori di installazione e raccoglie Procmon, AMTracee il file MER quando l'installazione di ENS avviene tramite ePO.
ENS_Process_HighCPU_Level1
Se il processo ENS sta avendo problemi di CPU elevati, raccogliere PerfCounters, Procmon, AMTracee il file MER.
ENS_Process_MemoryLeak
Se il processo ENS sta avendo una perdita di memoria, raccogliere più Procmon, Procdump, Poolmon, UMDH istantanee e un AMTrace.
ENS_SlowODSTask
Se l'attività di ENS ODS è lenta, raccogliere più Procmon, AMTrace, e un file MER.
ENS_SlowAppStartup_Random
Se il processo ENS richiede molto tempo per l'avvio, attivare una raccolta di Procmon e AMTrace.
ENS_SystemHighCPU
Se l'utilizzo della CPU del sistema è elevato, raccogliere Procmon, AMTrace, WPR, PerfCounterse un MER.
Beta
Nome PlayBook
Nome PlayBookDescrizione
ENS_eventMessageBasedLogCollection
Raccoglie i registri sull'occorrenza di determinati messaggi.
ENS_FirewallPolicyCollection
Raccoglie i dettagli policy di ENS firewall.
ENS_InstallationFailure
Può essere utilizzato per raccogliere dati utilizzando Procmon, AMTraceE la MER file quando si verifica un errore di installazione ENS.
ENS_Process_HighCPU_level1_Parallel
Esegue il monitoraggio della CPU del processo ENS specificato per una soglia specificata. Raccoglie PerfCounters, Procmon, AMTraceE la MER file simultaneamente, in caso di violazione della soglia.
ENS_Process_HighCPU_Level2
Se il processo ENS sta avendo problemi di CPU elevati, raccogliere PerfCounterse un Live Kernel dump.
ENS_Process_HighCPU_Level3
Se il processo ENS sta avendo problemi di CPU elevati, raccogliere PerfCounterse un dump di memoria completo.
ENS_SlowAppStartup_Repro
Se il processo ENS richiede molto tempo per l'avvio, raccogliere Procmon e AMTrace.
VirusScan Enterprise (VSE) PlayBook
Nome PlayBook
Nome PlayBookDescrizione
VSE_InstallationFailure
Può essere utilizzato per raccogliere Procmon, ETLTrace, e un MER file quando si verifica un errore di installazione di VSE.
VSE_ODS_Hang_x64
Monitora il processo di attività di scansione su richiesta (scan64.exe) per una durata specifica. Raccoglie Procmon, ETLTrace e MER dati se il processo è ancora in esecuzione dopo che è trascorso un periodo di tempo specificato su un computer a 64 bit.
VSE_ODS_Hang_x86
Monitora il processo di attività di scansione su richiesta (scan32.exe) per una durata specifica. Raccoglie Procmon, ETLTrace, e MER dati se il processo è ancora in esecuzione dopo che è trascorso un periodo di tempo specificato su un computer a 32 bit.
McAfee dell'applicazione e del Change Control (MACC) PlayBook
Principale
Nome PlayBook
Nome PlayBookDescrizione
MACC_ExecutionDenied
Esegue il monitoraggio di un ID evento 21, che si riferisce all'esecuzione negata per un'applicazione, e raccoglie il file MER quando si verifica questo evento.
MACC_Gatherinfo
Raccoglie le informazioni eseguendo gatherinfo.bat.
MACC_Loglevel
Può essere utilizzato per impostare i livelli di registro necessari.
Beta
Nome PlayBook
Nome PlayBookDescrizione
MACC_HighCPU
Se il SolidCoreservice ha problemi di CPU elevati, raccoglie un Procdump, Procmon, e Gatherinfo dati.
MACC_HighMemory
Se il SolidCoreservicesta avendo problemi di utilizzo della memoria elevata, raccogliere Procdump e Procmon.
MACC_InstallationFailure
Può essere utilizzato per raccogliere i registri di installazione quando si verifica un errore di installazione di MACC.
MACC_MER
Questo Playbook raccoglie informazioni eseguendo MER per il prodotto MACC.
MACC_PackageControl
Evento di prevenzione delle modifiche dei pacchetti da parte di MACC per qualsiasi programma di installazione e raccoglie Gatherinfo dati.
MACC_PreventedExecution
Evento di prevenzione dell'esecuzione da parte di MACC per qualsiasi file binario e raccoglie Gatherinfo dati.
MACC_Process_MemoryLeak
Attivare gflag l'utilizzo del registro di sistema e la raccolta dei dump dei processi quando l'utilizzo della memoria per un'applicazione raggiunge determinate soglie.
MACC_Procmon_MER
Questo Playbook raccoglie Procmon e i dati MER per problemi di prestazioni del sistema.
MACC_SystemCrash
Se un sistema MACC si blocca, impostare il valore di registro su collectCrashdumpe raccogliere Gatherinfo dati.
MACC_SlowAppStartup_Random
Monitora e raccoglie i dati sulle prestazioni per qualsiasi processo con avvio lento.
MACC_SystemCrashDataZip
Copia il dump della memoria da c:\Windows alla cartella Esegui
MACC_WriteDenied
Attende l'esecuzione di un evento di prevenzione della modifica del file MACC, per qualsiasi file con ID 20. Raccoglie i dati di Gatherinfo.
Gestione per ambienti virtuali ottimizzati (MOVE) trucchi antivirus
Principale
Nome PlayBook
Nome PlayBookDescrizione
Beta
Nome PlayBook
Nome PlayBookDescrizione
MOVE_Clientx86_InstallationFailure
Eseguire il PlayBook prima di avviare l'installazione del client MOVE a 32 bit. Questo Playbook esegue il monitoraggio degli errori di installazione e raccoglie Procmon, AMTracee il file MER.
MOVE_Clientx64_InstallationFailure
Eseguire il PlayBook prima di avviare l'installazione del client MOVE a 64 bit. Questo Playbook esegue il monitoraggio degli errori di installazione e raccoglie Procmon, AMTraceE la MER file.
MOVE_DataCollection
Questo Playbook modifica il livello di registro per il modulo MOVE specificato e raccoglie il MER file.
Autore del proprio PlayBook
Non è difficile creare il proprio PlayBook. Il playbook.yml il file nella cartella doc consente di creare un PlayBook con un minimo sforzo.
Ci sono alcune cose da ricordare quando si crea il PlayBook:
Delineare il caso di utilizzo in attività semplici. Abbattere ciò che è necessario e quando è necessario.
Seguire le convenzioni come descritto nel file doc\playbook.yml.
Evitare di utilizzare spazi di tabulazione nel YAMLsoftware. Di seguito è riportata una FAQ del funzionario YAML sito https://yaml.org/faq.html:
"Tabs have been outlawed, since different editors and tools treat them differently. And since indentation is so critical to proper interpretation of YAML, this issue is just too tricky to even attempt. Indeed, Guido van Rossum of Python has acknowledged that allowing TABs in Python source is a headache for many people."
Note
SSS Orchestrator supporta i PlayBook di Workflow noti, che includono workflow specifici per il prodotto.
I flussi di lavoro specifici dell'utente o specifici del prodotto possono ridurre il tempo per la raccolta automatica dei dati remediation o effettiva.
Il SSS Orchestrator supporta anche la creazione di PlayBook personalizzati in base alle vostre esigenze.
Il PlayBook supporta inoltre il richiamo di strumenti diversi in base al tempo, agli eventi o ai trigger esterni.
Sistema operativo
SSSO
Strumento
1.0.0 e versioni successive
Client
Microsoft Windows 10 (64 bit/x64)
Microsoft Windows 10 (32 bit/x86)
Sì
Microsoft Windows 8 (64 bit/x64)
Microsoft Windows 8 (32 bit/x86)
Sì
Windows 7 (64 bit/x64)
Windows 7 (32 bit/x86)
Sì
Server
Microsoft Windows Server 2019
Sì
Microsoft Windows Server 2016
Sì
Microsoft Windows Server 2012 R2
Sì
Microsoft Windows Server 2012
Sì
Microsoft Windows Server 2008 Release 2 (64 bit)
Sì
Microsoft Windows Server 2008
Sì
Prodotto
Registro di debug
Articolo
McAfee applicazione e controllo delle modifiche (MACC)
Problema Procmon64. exe non è firmato, blocca l'esecuzione, errore: 2148204814.
Risoluzione Gli strumenti di terze parti devono trovarsi nella /tools/custom/ cartella. Tutti gli strumenti inseriti nella cartella/Tools/default/devono essere firmati con un certificato McAfee.
-
Problema Il flusso di lavoro di SSSO create EEDK non riesce, quando SSSO viene eseguito dai percorsi con parentesi.
Soluzione alternativa Copiare SSSO orchestratore in una cartella senza parentesi nel percorso Esegui il flusso di lavoro EEDK
Problema La distribuzione dei pacchetti di SSSO EEDK non riesce quando il filepath viene utilizzato il parametro con quotazioni.
Causa Quando il pacchetto viene eseguito da ePO, ePO rimuove le virgolette e SSSO riceve il FilePath parametro senza virgolette. SSSO rileva che questa stringa non è valida.
Risoluzione Aggiungi carattere di escape (/) prima delle quotazioni in ePO.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
