No hay ningún ID de evento independiente para iniciar o detener el mfetpd servicio. No obstante, la siguiente solución temporal puede ayudarle a determinar el estado del mfetpd servicio.

Active los ID de eventos de inicio/detención del análisis en tiempo real en ePO:

1. En la consola de ePO, desplácese hasta configuración del servidor, filtrado de eventos.
2. Edite el filtrado de eventos y seleccione la opción que reenvía el agente: solo los eventos seleccionados al servidor.
3. Seleccione los siguientes ID de evento:
   • 1087: se ha iniciado el análisis en tiempo real (información)
   • 1088: análisis en tiempo real detenido. Informaciones

A continuación se encuentra la secuencia cuando el mfetpd servicio se detiene de forma local en el sistema. Puede encontrar estas entradas en /var/McAfee/ens/log/tp/mfetpd.log (con el registro de depuración activado).

INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence

Si los ID de eventos de inicio/detención del análisis en tiempo real no están seleccionados en ePO, mfetpd.log contiene la siguiente línea:

DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088

Cuando el servicio se detiene, se genera el mfetpd evento 1088 y se envía a ePO. Puede ver el evento 1088 en el registro de eventos de amenazas de ePO:

• ID de evento: 1088
• Descripción del evento: análisis en tiempo real detenido
• Categoría de evento: análisis finalizado

La página Detalles de evento muestra lo siguiente para el evento 1088:

• Categoría de evento: análisis finalizado
• ID de evento: 1088
• Gravedad de la amenaza: información
• Nombre de amenaza: ninguno
• Tipo de amenaza: ninguno
• Acción realizada: ninguna
• Amenaza gestionada: true
• Método de detección de analizador: OAS
• Descripción del evento: análisis en tiempo real detenido.

NOTAS:

• Los siguientes eventos de filtrado de eventos no son aplicables a ENSL:
  • 1064: se ha iniciado el servicio (información)
  • 1065: finalizó el servicio (info)
• Se detiene una actualización de DAT correcta y se inicia la analizador en tiempo real. Por tanto, los eventos 1087 y 1088 se generan según corresponda (normalmente todos los días). No obstante, una vez detenido el mfetpd servicio, el archivo DAT no se actualiza. Por lo tanto, solo se ve en ePO el evento 1088 (generado en el momento de la detención del servicio).