Este artigo descreve como você pode ativar o log de depuração do EDR e como verificar se ele está ativado.
Como ativar o registro em log de depuração para o EDR:
- No ePO, vá para Catálogo de políticas.
- Selecionados MVISION EDR.
- Duplicar a política denominada Meu padrão ou a política atual usada pelo ponto de extremidade.
- Edite a nova política criada na etapa 3:
- Nesta Efetua guia, alterar Nível de registro Para Depurar.
- Na guia Logger guia, definir Tamanho do buffer Para 1 em Nível Para Depurar.
- Salve a política e aplique-a ao cliente.
Opcion
- Durante a depuração, o suporte pode precisar de uma cópia dos bancos de dados no cliente do EDR. Para obter uma cópia, desmarque Proteção da pasta de dados na guia Ti na.
- O EDR 3.2 extensão também adiciona a capacidade de aumentar o tamanho do log de Marlog.log (no Conexão guia).
Como verificar se o registro em log de depuração está ativado:
- Exibir o EDR mar.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Procure a palavra Depurar ao lado do final do registro, uma vez que o registro é exibido de baixo para cima.
- Exibir o EDR trace.log:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- macOS: /private/var/McAfee/mvedr/data
- Procure a palavra Depurar ao lado do final do registro, uma vez que o registro é exibido de baixo para cima.
Opcion
Arquivos do banco de dados não protegidos:
- Verifique se é possível abrir e exibir config.dat com o editor de arquivo de texto (os dados estão no formato JSON).
- Verifique se é possível abrir arquivos extra de BD (File_Hash.db, Nflow.db, e Trace.db) com Luz do SQL.
Data e local do banco de dados:
- Windows: %PROGRAMDATA%\McAfee\Mar\data
- Linux: /var/McAfee/mvedr/data
- MacOS /private/var/McAfee/mvedr/data
Revise config. dat e verifique se os níveis de registro de log e de rastreamento estão definidos como nível de registro 1 (depuração):
- Edite o \ProgramData\McAfee\MAR\data\config.dat arquivo com um editor de texto. Para abrir esse arquivo, verifique se o Ativar proteção de pasta de dados a opção está desativada na política do EDR sob o Ti na.
- Revise os valores de "log_level" para MarLogger em Efetua:
- MarLogger:
{"buffer_size":"20","log_level":"1","log_path":"","
- TraceScanner:
{"bulk_time": "30", "cairo_topic_compressed": "/mcafee/bridge/traceEventCompressed",
"cairo_topic_uncompressed": "/mcafee/bridge/traceEvent", "Compression": "true", "disabled_rules": "", "disabled_rules_by_internal_tag"
: "2147483644", "ativado": "true", "ignored_process": "", "injectcore_enabled": "true","log_level": "1"
