Cet article explique comment activer la journalisation de débogage pour la fonctionnalité EDR et comment vérifier qu’elle est activée.
Comment activer la journalisation de débogage pour EDR :
- Dans ePO, accédez à Catalogue de stratégies.
- Sélectionnées MVISION EDR.
- Dupliquer la stratégie nommée My default ou la stratégie actuelle utilisée par le terminal.
- Modifiez la nouvelle stratégie que vous avez créée à l’étape 3 :
- Au Tracé onglet, modifier Niveau de journalisation À Corriger.
- Dans la Frappe onglet, définir Taille de la mémoire tampon À an et Nivellement À Corriger.
- Enregistrez la stratégie et appliquez-la au client.
Optionnel
- Au cours du débogage, la prise en charge peut nécessiter une copie des bases de données sur le client EDR. Pour obtenir une copie, désélectionnez Protection du dossier de données dans la Généralisé onglet.
- EDR 3.2 extension ajoute également la possibilité d’augmenter la taille du journal de Marlog.log (dans la Journalisation onglet).
Comment vérifier que la journalisation de débogage est activée :
- Afficher les EDR mar.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Rechercher le mot CORRIGER près de la fin du journal au fur et à mesure que le journal est affiché de bas en haut.
- Afficher les EDR trace.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Rechercher le mot CORRIGER près de la fin du journal à mesure que le journal est affiché de bas en haut.
Optionnel
Fichiers de base de données non protégés :
- Vérifiez que vous pouvez ouvrir et afficher config.dat avec l’éditeur de fichiers texte (les données sont au format JSON).
- Vérifiez que vous pouvez ouvrir des fichiers de base de données supplémentaires (File_Hash.db, Nflow.db, et Trace.db) avec SQL Light.
Emplacement de la base de données et des données :
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- Mac /private/var/McAfee/mvedr/data
Examinez le fichier config. dat et vérifiez que les niveaux journal de traçage et journal de traçage sont définis sur Journal niveau 1 (débogage) :
- Modifier la \ProgramData\McAfee\MAR\data\config.dat fichier à l’aide d’un éditeur de texte. Pour ouvrir ce fichier, vérifiez si le Activer la protection des dossiers de données l’option est désactivée dans la stratégie EDR dans la section Généralisé onglet.
- Examinez les valeurs « log_level » pour MarLogger et Tracé:
- MarLogger:
{"buffer_size":"20","log_level":"1","log_path":"","
- TraceScanner:
{"bulk_time" : "30", "cairo_topic_compressed" : "/mcafee/bridge/traceEventCompressed",
"cairo_topic_uncompressed" : "/mcafee/bridge/traceEvent", "compression" : "true", "disabled_rules" : "", "disabled_rules_by_internal_tag"
: "2147483644", "enabled" : "true", "ignored_process" : "", "injectcore_enabled" : "true","log_level" : "1"