Shell

Отсутствуют данные от NTP и SNAC

В этой теме 11 сообщений

В статистике SEPM v.11.0.5002 отсутствуют данные от NTP и SNAC (заблокированные устройства, атаки, любая статистика от NTP). Логи от applications control есть.

База на MS SQL 2008.

Версия SEPM постоянно обновлялась, сервер был вторичным в сайте.

Клиенты - подавляющее большинство (более 95% - на версии 11.0.4202). Блокировка доступа к съемным устройствам активирована. Компоненты за исключением outlook стоят все на клиентах.

Режим восстановления SEPM не помогает.

snac.xml на месте. Политики целостности активны.

Проблема появилась при перебросе клиентов с другого управляющего SEPM (одновремено с переводом на RU5).

Есть варианты решения?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Теме АП ибо она стала критической для моей компании.

Кирилл, надежда на Вас. Стоит регистрировать тикет?

Перепроверил все и вся. Все 100% клиентов в managed режиме. Связь с SEPM каждые 30мин +/-15 в Pull режиме. Функция сбора логов в SEPM на группах клиентов установлена (за исключением traffiс log и packet log). Остальные логи (заблокированные приложения, отчеты по вирусам, железу) - в SEPM есть. Последние логи о заблокированных девайсах - от августа 2009. Галка логировать Log blocked device установлена. Большая часть клиентов - версии 11.0.4202. SEPM - последний Ru5. База SEPM на MS SQL 2008.

Проблема появилась предположительно после перевода SEPM на RU5.

В логах SEPM scm-server-1.log одна только ошибка:

2010-03-23 10:01:18.550 SEVERE: Unknown Exception in: com.sygate.scm.server.task.AgentLogCollectorjava.sql.BatchUpdateException: The column name 'USN' is specified more than once in the SET clause. A column cannot be assigned more than one value in the same SET clause. Modify the SET clause to make sure that a column is updated only once. If the SET clause updates columns of a view, then the column name 'USN' may appear twice in the view definition.    at net.sourceforge.jtds.jdbc.JtdsStatement.executeBatch(JtdsStatement.java:835)    at org.apache.commons.dbcp.DelegatingStatement.executeBatch(DelegatingStatement.java:297)    at com.sygate.scm.server.logreader.sep.BatchLogHandler.process(BatchLogHandler.java:201)    at com.sygate.scm.server.logreader.sep.LogHandler.process(LogHandler.java:84)    at com.sygate.scm.server.task.AgentLogCollector.enumerateInbox(AgentLogCollector.java:285)    at com.sygate.scm.server.task.AgentLogCollector.run(AgentLogCollector.java:103)    at java.util.TimerThread.mainLoop(Timer.java:512)    at java.util.TimerThread.run(Timer.java:462)
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell судя по ошибке - какая-то проблема с форматом БД, думаю что тикет открыть нужно и сразу сказать про эту ошибку в логах

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проблема решена.

3 сервера SEPM - на 2х возникли проблемы при обновлении на Ru5.

Ошибка видна при проверке с помощью c:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools\dbvalidator.bat.

Ошибка:

2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Link is broken for [0] physical file ids :2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Database validation failed.2010-04-08 10:07:40.139 INFO: Finished.

Что и как сделал:

  1. Забекапил ключи и БД
  2. Удалил SEPM с 2х серверов которые выдавали ошибку.
  3. Удалил на них БД
  4. Установил SEPM как аддишинал сайт с таким же именем.
  5. Отключил в IIS возможность доступа к сайту для всех клиентов временно на всякий случай (по IP).
  6. Партнера по репликации указал тот SEPM который выдавал "Database validation passed."
  7. Реплицировал, получив уже настроенные политики.
  8. Восстановил keystokes. Рестартовал SEPM.
  9. Проверил БД с помощью dbvalidator.
  10. Пустил клиентов в IIS.

После этого клиенты успешно подцепились сами, в логах появились сообщения о заблокированных устройствах.

P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что и как сделал:

Тех. поддержка помогла или самому пришлось разбираться?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл, тех поддержка сказала что скорее всего проблемы в базе данных после перехода на RU5. Предложили использовать dbvalidate и заново пересоздать сайт. Хорошо хоть одна база из трех оказалось валидной) Иначе я даже не представляю сколько по времени получилось бы пересоздать все политики...

Если новую БД синхронизировать с невалидной БД - она окажется битой, dbvalidate покажет ошибки.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Павел, скриншот Вам отправил по почте вчера.

С отключенным доступом - вроде 11.0.4202 ставилась на Vmware без проблем.

Вопрос возник когда начал ставить с активированными правилами SEP, где в логах и увидел данное сообщение.

Без доступа в инет на этом сервере SEP RU5 так и не удалился, удалил вручную. Сообщение возникло в момент инсталляции.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пришел ответ от специалиста из Symantec:

"В RU5 для улучшения качества продукта стали собирать информацию об окончании установки.http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f8e237e38cf127ae88257639005c3986?OpenDocument

Никакой конфиденциальной информации не собирается. Пример информации: какая ОС, делается ли апгрейд или новая установка, удачно ли прошла установка…"

Так что все Ок.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за ответ, Павел.

Суеты и обеспокоенности не было, просто интересно =)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS