自助服务保障性(Orchestrator)数据收集工具
技术文章 ID:
KB92519
上次修改时间: 2022/03/30
环境
McAfee 自助服务保障性(Orchestrator)1.0.0-数据收集工具
摘要
McAfee 自助服务保障性 Orchestrator
SSS Orchestrator 是一种数据收集工具。 它带来了在单个 orchestrator 下端点客户使用的几种支持性工具。 该工具在合适的时间调用合适的工具,并简化了数据收集工作。 此工具捕获数据收集发生的上下文,这有助于报告正确的遥测数据。
单击以展开您要查看的部分:
默认脚本
| 脚本名称 |
脚本名称 描述 |
| CheckThridPartyToolsEULAAcceptance |
检查是否已接受 EULA 的第三方工具。 |
| CreateEEDK |
创建可部署到多个主机系统的 ePO 可部署套件。 |
| Template_DefaultToolsPlaybook例如 |
使用所有 McAfee 工具的示例手册。
例如,如何使用AMTrace,或ETLTrace。 |
| Template_ExecuteCustomToolExample |
使用任何第三方自定义工具的示例手册。 有关如何使用的示例iperf。 |
| Template_HighCPUUsage |
如果任何进程的 CPU 使用情况都很高,请收集Procdump,Procmon,和MER文件。 |
| Template_LogFilterExample |
在任何日志文件中等待某个字符串匹配的示例手册,并收集所需的数据。 |
| Template_MERLogCollection |
要调用的脚本示例MER用于日志收集。 |
| Template_ProcessCrashWithProcdump |
如果任何进程崩溃,请收集进程转储,并使用Procdump,和MER文件。 |
| Template_ProcessCrashWithWER |
如果任何进程崩溃,请收集进程转储,并使用Windows 错误报告(记录),和MER。 |
| Template_ProcessHang |
如果任何进程挂起,请使用以下方法收集进程转储Procdump,和MER。 |
| Template_ProcessMemoryLeakWithProcdump |
如果任何进程泄漏内存,请使用以下方法收集进程转储Procdump,和MER文件。 |
| Template_ProcessMemoryLeakWithUMDH |
如果任何进程泄漏内存,则收集用户模式转储堆(UMDH)快照和MER。 |
| Template_ProcessMultipleCrashDumps |
收集指定进程的多个故障转储。 |
通用设置脚本
Endpoint Security (ENS) 脚本
| 脚本名称 |
脚本名称 描述 |
| ENS_EventBasedLogCollection |
根据事件 ID 触发器,收集AMTrace,Procmon
示例:如果事件ID1000发生崩溃,收集所需的数据。 |
| ENS_eventMessageBasedLogCollection |
收集特定消息发生时的日志。 |
| ENS_FirewallPolicyCollection |
收集ENS 防火墙策略详细信息。 |
| ENS_InstallationFailure |
可用于收集数据,方法是使用Procmon,AMTrace,和MER文件,当ENS 安装失败发生时。 |
| ENS_InstallationFailure_ePO |
监控安装失败并收集Procmon,AMTrace,和MER文件,当通过 ePO安装 ENS时。 |
| ENS_Process_HighCPU_Level1 |
如果ENS 进程中存在 CPU 问题,请收集PerfCounters,Procmon,AMTrace,和MER文件。 |
| ENS_Process_HighCPU_level1_Parallel |
监控指定阈值中指定的存在进程的 CPU。 收集PerfCounters,Procmon,AMTrace,和MER,如果存在阈值违约,则同时执行文件。 |
| ENS_Process_HighCPU_ Level2 |
如果存在进程中存在 CPU 问题,请收集PerfCounters和实时内核转储 |
| ENS_Process_HighCPU_Level3 |
如果存在进程中存在 CPU 问题,请收集PerfCounters以及完整的内存转储。 |
| ENS_Process_MemoryLeak |
如果存在内存泄漏的进程,请收集多个Procmon,Procdump,Poolmon,UMDH快照和AMTrace。 |
| ENS_SlowAppStartup_Random |
如果存在进程需要较长时间才能启动,请触发Procmon和AMTrace。 |
| ENS_SlowAppStartup_Repro |
如果存在进程需要较长时间才能启动,请收集Procmon和AMTrace。 |
| ENS_SlowODSTask |
如果ENS ODS 任务较慢,请收集多个Procmon, AMTrace以及一个MER文件。 |
| ENS_SystemHighCPU |
如果系统 CPU 使用情况很高,请收集Procmon,AMTrace,WPR,PerfCounters以及一个 MER。 |
VirusScan Enterprise (VSE) 脚本
| 脚本名称 |
脚本名称 描述 |
| VSE_InstallationFailure |
可用于收集Procmon,ETLTrace以及一个MER文件当发生 VSE 安装失败。 |
| VSE_ODS_Hang_x64 |
监控按需扫描任务进程(scan64.exe)特定持续时间。 收集Procmon,ETLTrace,和MER数据,如果进程在64位计算机上经过指定的持续时间后仍在运行。 |
| VSE_ODS_Hang_x86 |
监控按需扫描任务进程(scan32.exe)(特定持续时间)。 收集Procmon,ETLTrace,和MER数据,如果进程在32位计算机上经过指定的持续时间后仍在运行。 |
McAfee Application and Change Control (MACC) 脚本
| 脚本名称 |
脚本名称 描述 |
| MACC_ExecutionDenied |
监控事件 ID 21,该事件与应用程序的执行被拒绝有关,并在发生此事件时收集 MER 文件。 |
| MACC_Gatherinfo |
通过运行收集信息gatherinfo. bat。 |
| MACC_HighCPU |
If the SolidCoreservice出现高CPU问题,请收集Procdump, Procmon,和Gatherinfo数据。 |
| MACC_HighMemory |
如果该SolidCoreservice具有高内存使用问题,请收集Procdump和Procmon。 |
| MACC_Loglevel |
可用于设置所需的日志级别。 |
| MACC_PackageControl |
按 MACC 对任何安装程序进行包修改防护事件,并收集Gatherinfo数据。 |
| MACC_PreventedExecution |
按 MACC 对任何二进制文件执行阻止事件,并收集Gatherinfo数据。 |
| MACC_SystemCrash |
如果 MACC 系统崩溃,请将注册表值设置为collectCrashdump,并收集Gatherinfo数据。 |
| MACC_InstallationFailure |
当发生 MACC 安装失败时,可用于收集安装日志。 |
| MACC_MER |
此操作手册通过运行来收集信息MER对于MACC产品。 |
| MACC_Process_MemoryLeak |
启用gflag使用注册表,并在应用程序的内存使用达到特定阈值时收集进程转储。 |
| MACC_Procmon_MER |
此手册收集Procmon和MER数据,用于系统性能问题的数据。 |
| MACC_SlowAppStartup_Random |
监控并收集具有启动速度慢的任何进程的性能数据。 |
| MACC_SystemCrashDataZip |
将内存转储复制到c:\Windows至 "运行" 文件夹 |
| MACC_WriteDenied |
按 MACC 等待文件修改防护事件,以执行任何文件ID 20。 Collects 的Gatherinfo数据。 |
Management for Optimized Virtual Environments (MOVE) Antivirus Playbooks
| 脚本名称 |
脚本名称 描述 |
| MOVE_Clientx86_InstallationFailure |
在开始安装32位 MOVE 客户端之前,先运行手册。 此手册会监控安装失败,并收集Procmon,AMTrace和 MER 文件。 |
| MOVE_Clientx64_InstallationFailure |
在开始安装64位 MOVE 客户端之前,先运行手册。 此手册会监控安装失败,并收集Procmon,AMTrace,和MER文件。 |
| MOVE_DataCollection |
此手册会更改指定 MOVE 模块的日志级别,并收集MER文件。 |
MVISION 剧本
| 脚本名称 |
脚本名称 描述 |
| MVE_Process_MemoryLeak |
启用gflag 使用注册表。 在应用程序的内存使用达到特定阈值时收集进程转储。 |
创作您自己的操作手册
创建您自己的操作手册并非一件难事。 yml文档文件夹下的文件可帮助您创建一份不费力的手册。
创建操作手册时需要记住几件事:
- 在简单任务中概述您的用例。 分解需要的内容和需要的时间。
- 按照文件中所述的约定进行操作doc\playbook.yml。
- 避免在YAML 软件中使用制表符空格。 以下是来自官方 YAML 网站的常见问题解答https://yaml.org/faq.html.
"选项卡已被禁止,因为不同的编辑器和工具对其进行了不同处理。 由于缩进对正确解释 YAML 非常关键,因此该问题过于棘手,甚至无法尝试。 实际上,Python 的Guido van Rossum已承认在Python源代码中允许标签页对许多人来说是一个头疼的问题。
注意:
- Orchestrator 支持操作手册已知工作流,包括特定于产品的工作流。
- 特定于用户或特定于产品的工作流可缩短自动补救或有效数据收集的时间。
- Orchestrator 还支持根据需要构建自定义操作手册。
- 该手册还支持根据时间、事件或外部触发器调用不同工具。
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
