Несколько вопросов к эспертам Symantec - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Shell

Несколько вопросов к эспертам Symantec

Автор Shell, в Вопросы по Symantec Endpoint Protection

Recommended Posts

Shell    301

Shell
Опубликовано

Добрый день.

Сейчас делаю один интересующий проект по отчету какие файлы писались на съемные устройства.

1) Возникли по ходу несколько вопросов.

В БД есть таблицы типа

AGENT_BEHAVIOR_LOG_1

AGENT_BEHAVIOR_LOG_2

Насколько можно увидеть, актуальная текущая с префиксом _1, архивная с префиксом _2. Так? Из 1 во 2ю насколько я вижу - переносится по дням, но не в 00 точно. Во второй присутствует текущая дата не смотря на то что число записей в 1 не регламентировано. В настройках SEPM установлено 20 000 записей с ротацией в 60 дней.

Правило переноса из 1 во 2 ю все же какое?

2) Туплю, не могу прописать логирование по маске файлов. Забиваю в app&device policy - в вайлдкардную маску строку *.xml - работает. *.xml,*.doc - перестает работать правило. Не хочется писать в несколько строк. Ведь поддерживаться должна такая строка.

P.S. кто то недавно искал структуру БД. Вот http://service1.symantec.com/SUPPORT/ent-s...a_Ref_Guide.pdf

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

поновее схема БД ftp://ftp.symantec.com/public/english_us_...rence_guide.pdf

Первый вопрос решился просмотром через вьюшку V_AGENT_BEHAVIOR_LOG. Но логику так и не удалось найти пока.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано

Гадаю по руке. Снимаю порчу. :)

Правило переноса из 1 во 2 ю все же какое?

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

*.xml,*.doc

Может так: *.xml;*.doc Не?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
Гадаю по руке. Снимаю порчу. smile.gif

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

Таблицы? Не руками созданы. Есть вьюшка через которую решилось. Но пока осталось непонятным по каким критериям из _1 перебрасывается во _2 ю таблицу. По времени - не подходит, по размеру - совсем не ясно.

И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Может так: *.xml;*.doc Не?

Нет) Не работает.

Версия SEPM 11.0.6005

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr_dizel    385

dr_dizel
Опубликовано
И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Обычно строки перебрасываются sql-ем (insert from select where), по которым мониторинг и позволит выявить условия. Если же программа засасывает таблицу, шурупит, а потом выплёвывает часть во вторую, то всё плохо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection
×