Ежедневный траффик по обновлению GUP (раздатчика)

[antonl2003 0]

Имеется такая схема: есть головной офис в нём развёрнут SEPM, созданы группы (это удалённые офисы в которых развёрнуты клиенты SEP 6 штук) и в каждой группе определён так называемый раздатчик обновлений GUP. При такой схеме всё обновляется и работает, но меня смущает ежедневный траффик (так как он лимитированный), который хавает наш назначеный раздатчик в удалённом офисе, он состовляет порядка 80 мб, а бывает и в 2-3 раза больше. Подскажите пожайлуста во первых это нормально или нет. Во вторых, как установить расписание закачки этих обновлений например на ночь дабы не засорять канал. Почему качается такой объём, а не дельта (всего лишь изменения) или 80 мб это и есть дельта. Может подскажите менее затратный вариант по траффику. И как резвернуть или назначить сервер LivaUpdate, может с помощью его можно решить эту проблему. Вобщем посоветуйте что нить.

[Shell 301]

Трафик у меня такой же - нормально.

Для GUP вплоть до 11.0.6000а нельзя к сожалению сделать такое расписание.

В дифинишинах у симантека нет такого понятия как у касперского.... Поэтому качает всё.

Чтобы снизить трафик у меня сделано следующим образом:

1) SEPM получает обновления с ftp сервера. ВНИМАНИЕ! Расписание для LU в SEPM сбоит! Источник обновлений переключаю ручками с фейкового на ftp один раз в неделю! Иначе может обновляться по нескольку раз в день несмотря на то что ему стоит раз в неделю...

2) На ftp выкладывает обновления LUA.

3) Офисные клиенты обновляются с ftp раз-два в день.

4) Клиенты на каналах получают со своего GUP обновления, GUP с SEPM, а SEPM когда я ручками раз в неделю на него запущу это.

Вот такой велосипед, иначе вряд ли что получится. Увы..

[ShIvADeSt 15]

Хм я думал трабла только у меня с траффиком.

2Shell - насчет дельт Вы не правы. Я этот вопрос поднимал еще год назад и Кирилл Керценбаум посоветовал делать время хранения баз побольше (я сделал 30 дней). Для версии 11.0.4000 этого было достаточно и постепенно у меня в день стало скачиваться не более 4-8 метров. НО с переходом на злосчастную 11.0.6000 все стало чудесато. Часть клиентов (вернее ГУПов) нормально запрашивают дельты и генерят трафик в пределах 10 метров, а вот другие куролесят и качают от 80 до 180 метров. Что вообще не айс. Сам открывать кейсы я не могу, так как меня нет в доверенных лицах (один раз открывал, достали спрашивать почему меня нет в списке), а в ГО своих проблем хватает.

Так что здесь какой то косяк в новой версии с генерацией дельт, раньше все было отлично - после пары дней трафик снижался весьма сильно, а сейчас свистопляска какая то.

[antonl2003 0]

"Я этот вопрос поднимал еще год назад и Кирилл Керценбаум посоветовал делать время хранения баз побольше (я сделал 30 дней)."

А подскажите в каком месте можно задать этот период в версии sepm 11.05 и ещё, что подразумевает под собой такой параметр в sepm как количество ревизий по умолчанию стоит 3, где то читал что рекомендуют увеличить до 9 ревизий, но не понял какой смысл хранить эти ревизии. Хотелось бы добиться канечно той самой дельты хотя метров в 10.

[ShIvADeSt 15]

Я как раз ревизии и имел ввиду. 9 ревизий мало (на собственном опыте). У меня реальное снижение траффика было только при величинах 20-30 (до версии 11.0.6000 щас вообще хз че делать). Смысл хранить вот в чем - при пересылке обновлений вначале считается дельта - то есть происходит побайтное сравнение предыдущих обновлений и текущего. Алгоритм увы я не знаю - но вроде юзается SymDelta.exe, которая формирует файл различий. Почему для нормального формирования дельты нужно много ревизий - это к разработчикам (мне вообще не понятно, почему не выпускают просто ежедневные обновления типа как для КАВа, НОДа и прочих).

[antonl2003 0]

а 30 дней это сколько ревизий тогда?

[antonl2003 0]

и ещё кстати вопрос как понять такое: в "параметрах связи" это в политиках группы есть такое "период контрольного сигнала" в котором можно установить время -мне не понятно к чему этот параметр относится толи к обновлениям GUPa с сервера SEPM через заданное время, толи это можно предположить что контрольный сигнал направляемый к SEPM лишь для передачи состояния клиента этой группы. так же непонятен параметр рандомизация +- для какого такого времени запланированного , где его можно запланировать хрен поймёшь. лучше бы расписание обновлений для GUPOV сделали чтобы поменьше траффика тоскать

[angel-keeper 60]

Уважаемый antonl2003 ознакомитесь внимательно с документацией к SEPM и тогда половина вопросов отпадет автоматически.

При настройки "Параметры связи" внизу есть кнопочка "Справка" нажав её вы получите ответ на свой вопрос.

[Shell 301]

2Shell - насчет дельт Вы не правы.

Не знаю, не знаю...

Проделан эксперимент - увеличено до 30 дней на GUP позавчера.

Второй день смотрю за трафиком. На каждый GUP по 100 - 195 метров уходит. Версия 11.0.6000

[foxxp 0]

Аналогично боролся с проблеммой трафика для симантека начиная с версии 11.0.4000 - по любому жрет от 80 и выше метров в сутки, бывало базы и то 5 гигабайт разрастались, приходилось полностью все удалять и LUA и заново ставить. За счет того что, скорость интернета подняли вроде бы проблемма уже стала менее актуальной, т.к. организация у нас является закрытой от интернета, закачиваю базы дома и переношу уже на внутренний сервер организации. Все также жду надежды от компании Symantec что размер трафика они уменьшат, либо сделают как в ранних версиях полное обновление баз из единого файла, в том числе и списка превентивных угроз.

[ShIvADeSt 15]

Не знаю, не знаю...

Проделан эксперимент - увеличено до 30 дней на GUP позавчера.

Второй день смотрю за трафиком. На каждый GUP по 100 - 195 метров уходит. Версия 11.0.6000

Я и говорю, что на 11.0.6000 все как то через одно место. Часть ГУПов обновляется с минимальным трафиком, меньше 10 метров, часть с нормальным - 80 метров, а часть с заоблачным 160 метров. А вот моя тема

http://www.anti-malware.ru/forum/index.php...vADeSt&st=0

в ней как раз был решен вопрос насчет обновлений. И на тот момент ( на тех версиях все было ок). А сейчас после апдейта до 11.0.6000 опять чудеса начались.

[Kolik 0]

И на тот момент ( на тех версиях все было ок). А сейчас после апдейта до 11.0.6000 опять чудеса начались.

Поборол чудеса ??

А то стремно обновлять у меня трафик это критично

[ShIvADeSt 15]

забил я на это дело, это не основная моя задача.

[Олег Шабуров 56]

подытожу:

1. кол-во ревизий каждый определяет для себя сам. все зависит от:

- насколько велика вероятность того, что какая-та машина выключена продолжительное время

- насколько критично уменьшение загрузки канала связи.

Если канал критичен и при этом машины могут быть долго выключены, то храните больше ревизий (за день публикуется 3 ревизии, т.ч. если машина может быть недоступна неделю, то логично хранить около 20-30 ревизий, но это займет достаточно места на SEPM.

Если канал не критичен, а больше критично место на SEPM, то уменьшайте кол-во ревизий до 10. Меньше 10 смысла нет, т.к. во многих случаях в понедельник (т.е. после 2 выходных) кто-нибудь да задержится на работу и это приведет к тому, что GUP будет качать полный пакет обновлений.

Вроде, логично)))

2. Самое важное!

Для мониторинга состояния и кол-во загруженного GUP-ами появилась утилита. Сразу обращаю внимание, что официально она не поддерживается, но вероятность того, что она что-то может испортить минимальна, т.к. читает логи IIS + берет минимальное кол-во информации из базы данных.

Утилиту можно взять здесь (она периодически обновляется, появляются новые фичи, т.ч. следите за обновлениями):

http://www.symantec.com/connect/downloads/...ibution-monitor

Посмотреть как ее использовать, правда, на английском, но четко и понятно, можно здесь:

http://www.screencast.com/t/MzU0Mzk0ZT

Если с просмотром на английском есть проблемы, то там довольно просто все в readme прописано.

Удачи с мониторингом GUP!!!

[Shell 301]

Олег Шабуров, спасибо, но покапавшись глубже с утилитой понятно что это несколько не совсем нужно кому либо.

По нескольким причинам:

1) Трафика передаваемого на клиента нет. Есть общий с заоблачными цифрами.

2) На 7 IE на Win 2003 слишком много ошибок. Полазив по гайдам не удалось настроить безошибочную работу скрипта

3) Вся статистика которая есть - может быть добыта в SEPM в отчетах. И в более удобной форме. Можно и напрямую к базе обратиться если что то нужно в определенном формате или детальное.

[Олег Шабуров 56]

но покапавшись глубже с утилитой понятно что это несколько не совсем нужно кому либо

может стоит еще покопаться?)))

А если серьезно:

1. не нужно решать за других, т.к. знаю много заказчиков по всему миру, которые используют и говорят спасибо)

2. причины ниже.

Трафика передаваемого на клиента нет

есть трафик с SEPM на GUP. А это самое главное.

Цель создания GUP - сокращение трафика между центром и регионами за узкими каналами связи. Именно этот трафик и нужно сократить большинству пользователей.

Сколько передается между GUP и клиентами - это не особо критично, т.к. GUP как раз создан для того, чобы его иметь в том же месторасположении, что и клиентов, соответственно, канал связи между ними уже будет широким. Ну если вам уж совсем интересно, сколько передается с GUP на клиента, то можно прикинуть.... обновления с GUP не будет больше, чем обновление с SEPM на GUP.

Есть общий с заоблачными цифрами

именно для того чтобы не было заоблачных цифр и создана эта утилита.

Если где-то кто-то качает полные обновления, то это:

- либо клиенты напрямую подключаются к SEPM.

- либо GUP получает полные обновления и у вас много GUP-ов)).

Обнаружив это можно предпринять действия к устранению проблем.....

На 7 IE на Win 2003 слишком много ошибок. Полазив по гайдам не удалось настроить безошибочную работу скрипта

у меня IE7 и Win2003 у меня работает на ура). Какие ошибки то выдает? поделитесь конфигурационным файлом?

Вся статистика которая есть - может быть добыта в SEPM в отчетах. И в более удобной форме.

вряд ли. С учетом того, что утилита разработана продакт-менеджером по этому продукту, сомневаюсь, чо он не знает как этом можно сделать и решил просто поупражняться в программировании. Статистики по работе GUP в отчетах нет. Если знаете как ее показать - покажите.

Можно и напрямую к базе обратиться если что то нужно в определенном формате или детальное

в базе есть только часть информации. именно поэтому нужна дополнительная настройка IIS, откуда берется информация по кол-ву трафика.

а вообще, не все любят ковыряться с базой. да и не все знают где и что искать).

[Shell 301]

Под клиентом я имею ввиду GUP. Трафик GUP - клиент не критичен вовсе.

Статистика - где какие дифинишины можно посмотреть хотя бы если на главной странице SEPM щелкнуть по обновлениям, затем выбрать сервер. Откроется второе окно в котором будут не обновленные хосты. Среди них будет и GUP если он обновляется.

Конфиг:

connection_type=ODBCODBC_DSN=SymantecEndpointSecurityDSNODBC_Username=endpointODBC_Password=*****OLEDB_string=Provider=SQLOLEDB;Data Source=localhost;Initial Catalog=Endpoint;Integrated Security=SSPIOLEDB_Username=OLEDB_Password=GUP_view=ALLoperational_status=SHOWsepm_domain=SHOWsepm_group=HIDESEPM_IISlogPath=\\10.0.0.26\c$\WINDOWS\System32\LogFiles\W3SVC2\sepm_path=\\localhost\c$\Program Files\Symantec\Symantec Endpoint Protection Manager\autorefresh=yesrefresh_interval=10

Рефреш кстати хоть и включен в конфиге - на странице пишет disabled))

Ошибки:

при запуске сначала

потом

хотя путь до логов IIS правильный. Указание пути типа SEPM1_IISlogPath тоже не приводит к исчезновению ошибки.

затем сразу

трафик дневной

Поиск в графе "Search for IP or Network" после вышеописанных ошибок выдает тот же результат.

Релоад страницы тянет снова же 2 ошибки о том что не может найти конфиги IIS и ошибки IE.

IIS настроен согласно инструкции (log visits, Access data sources across domains for IE, Date, Time, Client IP Address, URI Stem, Protocol Status and Bytes Sent).

OS Win2003 Ent SP2 without enhanced explorer options.

SEPM 11.0.6005 на БД MS SQL 2008

Установленный IE 8.0.6001 не привел к исчезновению ошибок

[Shell 301]

может стоит еще покопаться?)))

А если серьезно:

1. не нужно решать за других, т.к. знаю много заказчиков по всему миру, которые используют и говорят спасибо)

Простите, не хотелось обидеть.

Но пока просто не вижу того что нельзя увидеть в SEPM или выдернуть с БД)

Только трафик SEPM-GUP? Но реальных цифр же нет в отчете - сколько какой скушал. Есть сведения о клиенте, какие на нем дифинишины и остальные данные по железу и ОС. Его и нет в заявленном на STN http://www.symantec.com/connect/imagebrows...60521/_original

Средств урезать трафик GUPа как выше из треда видно, нет (6000+ версия с шаманством по ревизиям).

Предсказуемость GUP - обновит\что то не обновит\ручной запуск тоже пока не реализованы. Отсюда и тема эта.

smc -updateconfig на GUP для принудительного запуска обновления если GUP увидит все таки обновления на SEPM = это шаманство.

Проблемы еще не озвучены в теме - если SEPM 6000\6005 версии а GUP 4202 - непредсказуемая синусообразная закачка обновлений.

Видюшка-гайд, честно, не осилена пока =)

[Shell 301]

Что то редактировать кнопка пропала))

Сведения о железе\компах можно вытянуть из таблицы SQL SEM_COMPUTER.

Гупы - GUP_LIST

Ну и т.д.

Неудобство только с преобразованием IP адресов.

[Олег Шабуров 56]

Shell, спасибо, что помогли найти некоторые недочеты в утилите (по поводу неправильного отображения спика GUP).

Это исправление уже сделано, новая версия утилиты будет доступна со дня на день.

по поводу остального отвечу немного позже.

[Олег Шабуров 56]

Рефреш кстати хоть и включен в конфиге - на странице пишет disabled))

видимо, по причине возникновения ошибок.

Ошибки:

в разделах посвященных пути к логам IIS или пути к SEPM не оставляли, случаем, строки с адресом, в которой в начале стоит знак комментария, например:

# SEPM2_IISlogPath=\\sepm2\e$\SEPMlogs\W3SVC2\

если оставляли, то уберите, т.к. утилита не понимает знаков комментария и пытается обратиться и по этому пути))))). Сам на это напоролся...

Но пока просто не вижу того что нельзя увидеть в SEPM или выдернуть с БД)

я для себя вижу следующее:

- удобное отображение списка GUP-ов, в котором сразу видно, какие GUPы "чувствуют себя плохо"

- по какой причине "им плохо", т.е. какие компоненты у них не обновились или же они просто не доступны и т.д.

- если GUP-ов много отсортировать "безпроблемные" и оствить список только тех, в которых есть проблемы

- общее кол-во использованного трафика (у вас оно пока не работает), предлагаю подождать публикации новой версии (ожидается в понедельник), а там посмотреть... если проблема останется, я был бы рад пообщаться поближе))))

- куча разной информации (при наведении мышкой на различные поля), которая может оказаться полезной.

- большое кол-во функций, которые пока не реализованы, но стоят в списке на ближайшее время))))))))))

Только трафик SEPM-GUP? Но реальных цифр же нет в отчете - сколько какой скушал.

эта фича тоже находится в списке функций, которые владелец утилиты планирует добавить. Т.е. будет видно, какой из GUP-ов сколько "съел".

Средств урезать трафик GUPа как выше из треда видно, нет

не уверен, что понял правильно.... можете уточнить? GUP сокращает трафик, причем очень хорошо. Если он качает полный пакет обновлений, то в большинстве случаев это связано с тем, что клиент был недоступен слишком долгое время и SEPM уже не может предоставить дельту. Если я что-то неправильно понял, то уточните.

Кстати, в 11.0.6.1, будет исправлена одна ошибка, по причине которой случались ситуации, когда GUP качал полное обновление вместо дельты.

Предсказуемость GUP - обновит\что то не обновит\ручной запуск тоже пока не реализованы. Отсюда и тема эта.

smc -updateconfig на GUP для принудительного запуска обновления если GUP увидит все таки обновления на SEPM = это шаманство.

опять же не уверен, что понимаю о чем речь. Если клиент запросил обновление у GUP, то GUP его запросит у SEPM. Если клиент не запрашивает, то, скорее всего, он стоит в PULL MODE и время между хартбитами у него очень большое. Если же он и PUSH и по какой-то причине не начинает закачивать обновление, То можно попробовать из консоли SEPM запустить коману "update content" или что-то похоже)))). У меня стабильно отрабатывает....

[Shell 301]

не уверен, что понял правильно.... можете уточнить? GUP сокращает трафик, причем очень хорошо. Если он качает полный пакет обновлений, то в большинстве случаев это связано с тем, что клиент был недоступен слишком долгое время и SEPM уже не может предоставить дельту. Если я что-то неправильно понял, то уточните.

Кстати, в 11.0.6.1, будет исправлена одна ошибка, по причине которой случались ситуации, когда GUP качал полное обновление вместо дельты.

опять же не уверен, что понимаю о чем речь. Если клиент запросил обновление у GUP, то GUP его запросит у SEPM. Если клиент не запрашивает, то, скорее всего, он стоит в PULL MODE и время между хартбитами у него очень большое. Если же он и PUSH и по какой-то причине не начинает закачивать обновление, То можно попробовать из консоли SEPM запустить коману "update content" или что-то похоже)))). У меня стабильно отрабатывает....

Клиенты действительно все стоят в Pull mode с интервалом в 45 +/- 15 минут. Иначе сервер SEPM захлебывается.

Я имею ввиду две технологии - LU и GUP.

В LU было расписание, в GUP его нет. Хотя LU в SEPM 11.0.4202 чихал на заданное расписание =) и обновлял чаще.

Вы выше написали что будет исправлена ошибка с закачкой полного обновления вместо дельты. Жду как маны небесной

За коррекцию остальных ошибок в утилитке - спасибо, посмотрю как только дела разбросаю (понедельник сложный день).

[Олег Шабуров 56]

В LU было расписание, в GUP его нет

LU позволяет брать обновления либо с LUA, либо с LiveUpdate.

GUP же берет с SEPM. А с SEPM можно брать дельты, которые на порядок отличаются по размеру. Поэтому расписание для GUP - менее критичный параметр.

[Shell 301]

Олег, Вы были правы. После того как убраны ВСЕ комментарии - осталась только ошибка IE при выполнении скрипта.

И рефреш автоматический появился.

[Олег Шабуров 56]

попробуйте последнюю версию:

http://www.symantec.com/connect/sites/defa...onitor_v2.8.zip

в ней должна быть исправлена проблема с неправильным отображением списка GUP-ов.

Если ошибка скрипта так и выдается, то мне нужен ваш конфигурационный файл. Можете поделиться (oleg подчеркивание shaburov собака symantec.com)?