Não há ID de evento separado para o mfetpd início/fim do serviço. No entanto, a solução alternativa a seguir pode ajudar a determinar o status do mfetpd provedor.

Ativar os IDs de evento de início/parada da varredura ao acessar no ePO:

1. No console do ePO, navegue até Configurações do servidor de de Filtragem de eventos.
2. Editar Filtragem de eventos e selecione a opção O agente encaminha: somente os eventos selecionados para o servidor.
3. Selecione as seguintes IDs de evento:
   • 1087: varredura ao acessar iniciada (informações)
   • 1088: varredura ao acessar interrompida. INF

Abaixo está a sequência quando o mfetpd o serviço é interrompido localmente no sistema. Essas entradas podem ser encontradas em /var/McAfee/ens/log/tp/mfetpd.log (com registro em log de depuração ativado).

INFO ENSLMain [20454] Product has started the shutdown sequence
INFO AccessProtection [20454] Access protection rules saved successfully
DEBUG AccessProtection [20454] Exploit prevention is enabled, so AAC interface wrapper will not be deinitialized
DEBUG AccessProtection [20454] Access Protection is disabled
DEBUG ENSLMain [20454] MessageBus thread has joined back
INFO TaskManager [20454] Task - Default Client Update task is not running
DEBUG AMOASBroker [20454] Stop OAS watchdog triggered. Exiting OAS watchdog thread
DEBUG AMManageFAEvent [20454] Received event from File Access library with an empty file path.
DEBUG AMManageFAEvent [20454] Exiting the Consume Scan Request Queue loop.
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Requests
INFO AMOASBroker [20454] Scan Cache is being cleared as OAS is being stopped
DEBUG ScanFactoryBroker [20454] Removing the whitelisting of the OAS Manager PID from the file initialization library - 20498
DEBUG AMEventAdaptor [20454] Successfully sent ePO event - 1088
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumHitsToday key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.GTIThrottling.NumConsumedQuota key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDGTISelectionCriteria.LastGTIParamsUpdate key is already set to same value. Hence not setting it again to same value
DEBUG ConfigController [20454] DNDProductInformation.DaysSinceInstallation key is already set to same value. Hence not setting it again to same value
DEBUG GTIQueryManager [20454] Disabling GTI query manager and GTI reachability
DEBUG ESPUtils [20454] Failed to open CPU quota configuration file
DEBUG AMManageFAEvent [20454] Stopped monitoring Scan Responses and stopped File Access hooking
INFO ScanFactoryBroker [20454] Scan Factory child process exited normally
INFO ScanFactoryBroker [20454] Scan Factory Process was stopped successfully
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - quick scan
DEBUG AMODSBroker [20454] Checking if this task needs to be stopped - full scan
INFO ExploitPrevention [20454] Exploit Prevention combined rules saved successfully
DEBUG ExploitPrevention [20454] Access Protection is enabled, so AAC interface wrapper will not be deinitialized
DEBUG ExploitPrevention [20454] Exploit Prevention is disabled
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusPropertyCollectionProv [20454] Unregistration of Property Collection Provider was successful
INFO MsgBusPolicyNotificationHandler [20454] Unregistration of Policy Enforcement Notification handler was successful
INFO MsgBusTaskEnforcementHandler [20454] Unregistration of Task Enforcement Handler was successful
DEBUG MsgBusAgentUpdateServiceHandler [20454] Unregistration of Agent Update Handler was successful
INFO MsgBusInfEvHand [20454] Unregistration of Information Event handler was successful
INFO ma_client [20454] stopping ma client.
INFO msgbus [20454] Unregistered for msgbus connectivity resync
INFO msgbus [20454] Removed file watcher on broker config file
INFO dispatcher [20454] dispatcher dl_close 0x7fa9300078a0
INFO dispatcher [20454] dispatcher dl_close 0x7fa930007d70
INFO ma_client [20454] stopping ma client notifier thread.
INFO ma_client [20454] ma config monitor stop received.
INFO ma_client [20454] ma client notifier thread existing...
DEBUG RegistrationCallback [20454] Successfully sent a deregistration request to ESP
INFO ENSLMain [20454] Product has completed the shutdown sequence

Se as IDs de evento de início/parada da varredura ao acessar não estiverem selecionadas no ePO, mfetpd.log contém a seguinte linha:

DEBUG MsgBusEventReporterImpl [14880] Event could not be created since event id is disabled by policy - 1088

Quando o mfetpd o serviço é interrompido, o evento 1088 é gerado e enviado ao ePO. Você pode ver o evento 1088 no log de eventos de ameaça do ePO:

• ID do evento: 1088
• Descrição do evento: varredura ao acessar interrompida
• Categoria do evento: varredura finalizada

A página detalhes do evento mostra o seguinte para o evento 1088:

• Categoria do evento: varredura finalizada
• ID do evento: 1088
• Gravidade da ameaça: informações
• Nome da ameaça: nenhum
• Tipo de ameaça: nenhum
• Ação realizada: nenhuma
• Ameaça tratada: verdadeiro
• Método de detecção do Analyzer: OAS
• Descrição do evento: varredura ao acessar interrompida.

NOTAS:

• Os seguintes eventos em Filtragem de eventos Não são aplicáveis a ENSL:
  • 1064: o serviço foi iniciado (informações)
  • 1065: serviço finalizado (info)
• Um DAT bem-sucedido atualização é interrompido e inicia o mecanismo de varredura no momento do acesso. Portanto, os eventos 1087 e 1088 são gerados de acordo (normalmente diariamente). Mas, uma vez que o mfetpd o serviço for interrompido, o DAT não conseguirá atualização. Portanto, somente o evento 1088 (gerado no momento do término do serviço) é visto no ePO.