Отсутствуют данные от NTP и SNAC - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Shell

Отсутствуют данные от NTP и SNAC

Recommended Posts

Shell

В статистике SEPM v.11.0.5002 отсутствуют данные от NTP и SNAC (заблокированные устройства, атаки, любая статистика от NTP). Логи от applications control есть.

База на MS SQL 2008.

Версия SEPM постоянно обновлялась, сервер был вторичным в сайте.

Клиенты - подавляющее большинство (более 95% - на версии 11.0.4202). Блокировка доступа к съемным устройствам активирована. Компоненты за исключением outlook стоят все на клиентах.

Режим восстановления SEPM не помогает.

snac.xml на месте. Политики целостности активны.

Проблема появилась при перебросе клиентов с другого управляющего SEPM (одновремено с переводом на RU5).

Есть варианты решения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Теме АП ибо она стала критической для моей компании.

Кирилл, надежда на Вас. Стоит регистрировать тикет?

Перепроверил все и вся. Все 100% клиентов в managed режиме. Связь с SEPM каждые 30мин +/-15 в Pull режиме. Функция сбора логов в SEPM на группах клиентов установлена (за исключением traffiс log и packet log). Остальные логи (заблокированные приложения, отчеты по вирусам, железу) - в SEPM есть. Последние логи о заблокированных девайсах - от августа 2009. Галка логировать Log blocked device установлена. Большая часть клиентов - версии 11.0.4202. SEPM - последний Ru5. База SEPM на MS SQL 2008.

Проблема появилась предположительно после перевода SEPM на RU5.

В логах SEPM scm-server-1.log одна только ошибка:

2010-03-23 10:01:18.550 SEVERE: Unknown Exception in: com.sygate.scm.server.task.AgentLogCollectorjava.sql.BatchUpdateException: The column name 'USN' is specified more than once in the SET clause. A column cannot be assigned more than one value in the same SET clause. Modify the SET clause to make sure that a column is updated only once. If the SET clause updates columns of a view, then the column name 'USN' may appear twice in the view definition.    at net.sourceforge.jtds.jdbc.JtdsStatement.executeBatch(JtdsStatement.java:835)    at org.apache.commons.dbcp.DelegatingStatement.executeBatch(DelegatingStatement.java:297)    at com.sygate.scm.server.logreader.sep.BatchLogHandler.process(BatchLogHandler.java:201)    at com.sygate.scm.server.logreader.sep.LogHandler.process(LogHandler.java:84)    at com.sygate.scm.server.task.AgentLogCollector.enumerateInbox(AgentLogCollector.java:285)    at com.sygate.scm.server.task.AgentLogCollector.run(AgentLogCollector.java:103)    at java.util.TimerThread.mainLoop(Timer.java:512)    at java.util.TimerThread.run(Timer.java:462)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell судя по ошибке - какая-то проблема с форматом БД, думаю что тикет открыть нужно и сразу сказать про эту ошибку в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Открыл сейчас. 411824346.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Проблема решена.

3 сервера SEPM - на 2х возникли проблемы при обновлении на Ru5.

Ошибка видна при проверке с помощью c:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools\dbvalidator.bat.

Ошибка:

2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Link is broken for [0] physical file ids :2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Database validation failed.2010-04-08 10:07:40.139 INFO: Finished.

Что и как сделал:

  1. Забекапил ключи и БД
  2. Удалил SEPM с 2х серверов которые выдавали ошибку.
  3. Удалил на них БД
  4. Установил SEPM как аддишинал сайт с таким же именем.
  5. Отключил в IIS возможность доступа к сайту для всех клиентов временно на всякий случай (по IP).
  6. Партнера по репликации указал тот SEPM который выдавал "Database validation passed."
  7. Реплицировал, получив уже настроенные политики.
  8. Восстановил keystokes. Рестартовал SEPM.
  9. Проверил БД с помощью dbvalidator.
  10. Пустил клиентов в IIS.

После этого клиенты успешно подцепились сами, в логах появились сообщения о заблокированных устройствах.

P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Что и как сделал:

Тех. поддержка помогла или самому пришлось разбираться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, тех поддержка сказала что скорее всего проблемы в базе данных после перехода на RU5. Предложили использовать dbvalidate и заново пересоздать сайт. Хорошо хоть одна база из трех оказалось валидной) Иначе я даже не представляю сколько по времени получилось бы пересоздать все политики...

Если новую БД синхронизировать с невалидной БД - она окажется битой, dbvalidate покажет ошибки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Павел, скриншот Вам отправил по почте вчера.

С отключенным доступом - вроде 11.0.4202 ставилась на Vmware без проблем.

Вопрос возник когда начал ставить с активированными правилами SEP, где в логах и увидел данное сообщение.

Без доступа в инет на этом сервере SEP RU5 так и не удалился, удалил вручную. Сообщение возникло в момент инсталляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Пришел ответ от специалиста из Symantec:

"В RU5 для улучшения качества продукта стали собирать информацию об окончании установки.http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f8e237e38cf127ae88257639005c3986?OpenDocument

Никакой конфиденциальной информации не собирается. Пример информации: какая ОС, делается ли апгрейд или новая установка, удачно ли прошла установка…"

Так что все Ок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Спасибо за ответ, Павел.

Суеты и обеспокоенности не было, просто интересно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Это прекрасное ощущение, когда понимаешь, что организм сам справился, ты где-то, сам того не ведая, лишь чуть- чуть помог ему. Еще больше начинаешь уважать Создателя.
    • PR55.RP55
      Вчера на скорой ( с боем ) опять отвезли - теперь в Областную Больницу... Посмотрели/Анализы... Не урология. Сказали: Видимо инфекция - но, что и как не знаем. Даём документы в инфекционку... Но был уже вечер... В общем вчера я махал всем ручкой - все эти скачки температуры под 40... Аппетит 0; Голова чугунная; Интоксикация Сил даже накрыть себя одеялом не было.  ( хотелось побыстрее Х ) ------ А сегодня утром проснулся - вместо еды - выпил безалкогольного пива - пришли силы, а потом... температура раз и : 36.1   ... 36.6 В эти пять дней скинул веса килограммов 8  Тело лёгкое ( можно за белками по деревням лазить )  ------ Майский жук - полз, полз, да так и въехал в ангар на крыле    
    • santy
      Кстати, минут еще один технический форум. Пользователей, кто еще остался на  ESET для решения проблем с заражением, шифрованием данных приглашаем на: https://forum.kasperskyclub.ru/forum/143-tehnicheskaya-pomosch/ или https://chklst.ru/categories/help
    • santy
      Вообщем, Дмитрию надо регистрировать Universal Virus Sniffer как товарный знак, а то найдется какой-нибудь прыткий Гинцбург, и использует брендовое имя для своей вновь переоткрытой вакцины. Гляди, RP55, когда в третий раз придешь прощаться, то тебе могут прописать в поликлиннике "universal virus sniffer". :).
    • Vvvyg
      Знаю такое место, кладбище ) Простите...
×