Перейти к содержанию
Shell

Отсутствуют данные от NTP и SNAC

Recommended Posts

Shell

В статистике SEPM v.11.0.5002 отсутствуют данные от NTP и SNAC (заблокированные устройства, атаки, любая статистика от NTP). Логи от applications control есть.

База на MS SQL 2008.

Версия SEPM постоянно обновлялась, сервер был вторичным в сайте.

Клиенты - подавляющее большинство (более 95% - на версии 11.0.4202). Блокировка доступа к съемным устройствам активирована. Компоненты за исключением outlook стоят все на клиентах.

Режим восстановления SEPM не помогает.

snac.xml на месте. Политики целостности активны.

Проблема появилась при перебросе клиентов с другого управляющего SEPM (одновремено с переводом на RU5).

Есть варианты решения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Теме АП ибо она стала критической для моей компании.

Кирилл, надежда на Вас. Стоит регистрировать тикет?

Перепроверил все и вся. Все 100% клиентов в managed режиме. Связь с SEPM каждые 30мин +/-15 в Pull режиме. Функция сбора логов в SEPM на группах клиентов установлена (за исключением traffiс log и packet log). Остальные логи (заблокированные приложения, отчеты по вирусам, железу) - в SEPM есть. Последние логи о заблокированных девайсах - от августа 2009. Галка логировать Log blocked device установлена. Большая часть клиентов - версии 11.0.4202. SEPM - последний Ru5. База SEPM на MS SQL 2008.

Проблема появилась предположительно после перевода SEPM на RU5.

В логах SEPM scm-server-1.log одна только ошибка:

2010-03-23 10:01:18.550 SEVERE: Unknown Exception in: com.sygate.scm.server.task.AgentLogCollectorjava.sql.BatchUpdateException: The column name 'USN' is specified more than once in the SET clause. A column cannot be assigned more than one value in the same SET clause. Modify the SET clause to make sure that a column is updated only once. If the SET clause updates columns of a view, then the column name 'USN' may appear twice in the view definition.    at net.sourceforge.jtds.jdbc.JtdsStatement.executeBatch(JtdsStatement.java:835)    at org.apache.commons.dbcp.DelegatingStatement.executeBatch(DelegatingStatement.java:297)    at com.sygate.scm.server.logreader.sep.BatchLogHandler.process(BatchLogHandler.java:201)    at com.sygate.scm.server.logreader.sep.LogHandler.process(LogHandler.java:84)    at com.sygate.scm.server.task.AgentLogCollector.enumerateInbox(AgentLogCollector.java:285)    at com.sygate.scm.server.task.AgentLogCollector.run(AgentLogCollector.java:103)    at java.util.TimerThread.mainLoop(Timer.java:512)    at java.util.TimerThread.run(Timer.java:462)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell судя по ошибке - какая-то проблема с форматом БД, думаю что тикет открыть нужно и сразу сказать про эту ошибку в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Открыл сейчас. 411824346.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Проблема решена.

3 сервера SEPM - на 2х возникли проблемы при обновлении на Ru5.

Ошибка видна при проверке с помощью c:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools\dbvalidator.bat.

Ошибка:

2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Link is broken for [0] physical file ids :2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Database validation failed.2010-04-08 10:07:40.139 INFO: Finished.

Что и как сделал:

  1. Забекапил ключи и БД
  2. Удалил SEPM с 2х серверов которые выдавали ошибку.
  3. Удалил на них БД
  4. Установил SEPM как аддишинал сайт с таким же именем.
  5. Отключил в IIS возможность доступа к сайту для всех клиентов временно на всякий случай (по IP).
  6. Партнера по репликации указал тот SEPM который выдавал "Database validation passed."
  7. Реплицировал, получив уже настроенные политики.
  8. Восстановил keystokes. Рестартовал SEPM.
  9. Проверил БД с помощью dbvalidator.
  10. Пустил клиентов в IIS.

После этого клиенты успешно подцепились сами, в логах появились сообщения о заблокированных устройствах.

P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Что и как сделал:

Тех. поддержка помогла или самому пришлось разбираться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Кирилл, тех поддержка сказала что скорее всего проблемы в базе данных после перехода на RU5. Предложили использовать dbvalidate и заново пересоздать сайт. Хорошо хоть одна база из трех оказалось валидной) Иначе я даже не представляю сколько по времени получилось бы пересоздать все политики...

Если новую БД синхронизировать с невалидной БД - она окажется битой, dbvalidate покажет ошибки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

171c5ffe3ceet.jpg

А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Павел, скриншот Вам отправил по почте вчера.

С отключенным доступом - вроде 11.0.4202 ставилась на Vmware без проблем.

Вопрос возник когда начал ставить с активированными правилами SEP, где в логах и увидел данное сообщение.

Без доступа в инет на этом сервере SEP RU5 так и не удалился, удалил вручную. Сообщение возникло в момент инсталляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Пришел ответ от специалиста из Symantec:

"В RU5 для улучшения качества продукта стали собирать информацию об окончании установки.http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f8e237e38cf127ae88257639005c3986?OpenDocument

Никакой конфиденциальной информации не собирается. Пример информации: какая ОС, делается ли апгрейд или новая установка, удачно ли прошла установка…"

Так что все Ок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Спасибо за ответ, Павел.

Суеты и обеспокоенности не было, просто интересно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
    • PR55.RP55
      Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.    
    • PR55.RP55
      По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
×