In questo articolo viene descritto come attivare la registrazione di debug per EDR e come verificare che sia attivata.
Come attivare la registrazione di debug per EDR:
- In ePO, accedere a Catalogo delle policy.
- Selezionare MVISION EDR.
- Duplicare il policy denominato Il mio valore predefinito o il policy corrente utilizzato dall'endpoint.
- Modificare i nuovi policy creati al passaggio 3:
- In Traccia scheda, modifica Livello di registro A Debug.
- Nella pagina Logger scheda, impostare Dimensione del buffer A 1 e Livello A Debug.
- Salvare il policy e applicarlo al client.
Opzionale
- Durante il debug, il supporto potrebbe aver bisogno di una copia dei database sul client EDR. Per ottenere una copia, deselezionare Protezione delle cartelle di dati Nel Generale scheda.
- La EDR 3.2 l'estensione aggiunge inoltre la possibilità di aumentare le dimensioni del registro Marlog.log (nella Registrazione scheda).
Come verificare che la registrazione di debug sia attivata:
- Visualizza il EDR mar.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Cerca la parola DEBUG verso la fine del registro quando viene visualizzato il registro dal basso verso l'alto.
- Visualizza il EDR trace.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Cerca la parola DEBUG verso la fine del registro quando viene visualizzato il registro in basso.
Opzionale
File di database non protetti:
- Verificare che sia possibile aprire e visualizzare config.dat con l'editor di file di testo (i dati sono in formato JSON).
- Verificare che sia possibile aprire file extra DB (File_Hash.db, Nflow.db, e Trace.db) con Luce SQL.
Percorso database e dati:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- MacOS /private/var/McAfee/mvedr/data
Esaminare il file config. dat e verificare che i livelli del logger e del registro di traccia siano impostati su registro livello 1 (debug):
- Modificare il \ProgramData\McAfee\MAR\data\config.dat file con un editor di testo. Per aprire questo file, verificare se il Attiva protezione cartelle dati l'opzione è disattivata nella Policy EDR in Generale scheda.
- Rivedere i valori di "log_level" per MarLogger e Traccia:
- MarLogger:
{"buffer_size":"20","log_level":"1","log_path":"","
- TraceScanner:
{"bulk_time": "30", "cairo_topic_compressed": "/mcafee/bridge/traceEventCompressed",
"cairo_topic_uncompressed": "/mcafee/bridge/traceEvent", "compressione": "true", "disabled_rules": "", "disabled_rules_by_internal_tag"
: "2147483644", "Enabled": "true", "ignored_process": "", "injectcore_enabled": "true","log_level": "1"