Несколько вопросов к эспертам Symantec - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Shell

Несколько вопросов к эспертам Symantec

Recommended Posts

Shell

Добрый день.

Сейчас делаю один интересующий проект по отчету какие файлы писались на съемные устройства.

1) Возникли по ходу несколько вопросов.

В БД есть таблицы типа

AGENT_BEHAVIOR_LOG_1

AGENT_BEHAVIOR_LOG_2

Насколько можно увидеть, актуальная текущая с префиксом _1, архивная с префиксом _2. Так? Из 1 во 2ю насколько я вижу - переносится по дням, но не в 00 точно. Во второй присутствует текущая дата не смотря на то что число записей в 1 не регламентировано. В настройках SEPM установлено 20 000 записей с ротацией в 60 дней.

Правило переноса из 1 во 2 ю все же какое?

2) Туплю, не могу прописать логирование по маске файлов. Забиваю в app&device policy - в вайлдкардную маску строку *.xml - работает. *.xml,*.doc - перестает работать правило. Не хочется писать в несколько строк. Ведь поддерживаться должна такая строка.

P.S. кто то недавно искал структуру БД. Вот http://service1.symantec.com/SUPPORT/ent-s...a_Ref_Guide.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

поновее схема БД ftp://ftp.symantec.com/public/english_us_...rence_guide.pdf

Первый вопрос решился просмотром через вьюшку V_AGENT_BEHAVIOR_LOG. Но логику так и не удалось найти пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Гадаю по руке. Снимаю порчу. :)

Правило переноса из 1 во 2 ю все же какое?

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

*.xml,*.doc

Может так: *.xml;*.doc Не?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Гадаю по руке. Снимаю порчу. smile.gif

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

Таблицы? Не руками созданы. Есть вьюшка через которую решилось. Но пока осталось непонятным по каким критериям из _1 перебрасывается во _2 ю таблицу. По времени - не подходит, по размеру - совсем не ясно.

И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Может так: *.xml;*.doc Не?

Нет) Не работает.

Версия SEPM 11.0.6005

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Обычно строки перебрасываются sql-ем (insert from select where), по которым мониторинг и позволит выявить условия. Если же программа засасывает таблицу, шурупит, а потом выплёвывает часть во вторую, то всё плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×