En este artículo se describe cómo se puede activar registro de depuración para EDR y cómo comprobar que está activado.
Cómo activar el registro de depuración para EDR:
- En ePO, vaya a Catálogo de directivas.
- Activa MVISION EDR.
- Duplique la Directiva llamada Mi valor predeterminado o la Directiva actual utilizada por el Endpoint.
- Edite la nueva directiva que ha creado en el paso 3:
- Del Oligoelemento ficha, cambiar Nivel de registro Para Depuración.
- En la Logger ficha, establecer Tamaño del búfer Para 1 así Nivela Para Depuración.
- Guarde la Directiva y aplíquela al cliente.
Parámetro
- Durante la depuración, es posible que sea necesaria una copia de las bases de datos en el cliente de EDR. Para obtener una copia, anule la selección de Protección de carpetas de datos En Obtener pestaña.
- La EDR 3.2 extensión también agrega la capacidad de aumentar el tamaño del registro de Marlog.log (en la Inicia ficha).
Cómo verificar que el registro de depuración está activado:
- Ver la EDR mar.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Buscar la palabra DEPURACIÓN cerca del final del registro, ya que el registro se visualiza desde la parte inferior.
- Ver la EDR trace.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Buscar la palabra DEPURACIÓN cerca del final del registro, ya que el registro se ve en la parte inferior.
Parámetro
Archivos de base de datos no protegidos:
- Compruebe que puede abrir y ver config.dat con el editor de archivos de texto (los datos están en formato JSON).
- Compruebe que puede abrir archivos de BD adicionales (File_Hash.db, Nflow.db, y Trace.db) con SQL Light.
Base de datos y ubicación de la información:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- MacOS /private/var/McAfee/mvedr/data
Revise config. dat y compruebe que los niveles de registro de registrador y rastreo están configurados en el nivel de registro 1 (depuración):
- Editar la \ProgramData\McAfee\MAR\data\config.dat archivo con un editor de texto. Para abrir este archivo, compruebe si la Activar protección de carpetas de datos la opción está desactivada en la Directiva EDR en la sección Obtener pestaña.
- Revise los valores de "log_level" de MarLogger así Oligoelemento:
- MarLogger:
{"buffer_size":"20","log_level":"1","log_path":"","
- TraceScanner:
{"bulk_time": "30", "cairo_topic_compressed": "/mcafee/bridge/traceEventCompressed",
"cairo_topic_uncompressed": "/mcafee/bridge/traceEvent", "COMPRESSION": "true", "disabled_rules": "", "disabled_rules_by_internal_tag"
: "2147483644", "Enabled": "true", "ignored_process": "", "injectcore_enabled": "true","log_level": "1"