Перейти к содержанию
Shell

Несколько вопросов к эспертам Symantec

Recommended Posts

Shell

Добрый день.

Сейчас делаю один интересующий проект по отчету какие файлы писались на съемные устройства.

1) Возникли по ходу несколько вопросов.

В БД есть таблицы типа

AGENT_BEHAVIOR_LOG_1

AGENT_BEHAVIOR_LOG_2

Насколько можно увидеть, актуальная текущая с префиксом _1, архивная с префиксом _2. Так? Из 1 во 2ю насколько я вижу - переносится по дням, но не в 00 точно. Во второй присутствует текущая дата не смотря на то что число записей в 1 не регламентировано. В настройках SEPM установлено 20 000 записей с ротацией в 60 дней.

Правило переноса из 1 во 2 ю все же какое?

2) Туплю, не могу прописать логирование по маске файлов. Забиваю в app&device policy - в вайлдкардную маску строку *.xml - работает. *.xml,*.doc - перестает работать правило. Не хочется писать в несколько строк. Ведь поддерживаться должна такая строка.

P.S. кто то недавно искал структуру БД. Вот http://service1.symantec.com/SUPPORT/ent-s...a_Ref_Guide.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

поновее схема БД ftp://ftp.symantec.com/public/english_us_...rence_guide.pdf

Первый вопрос решился просмотром через вьюшку V_AGENT_BEHAVIOR_LOG. Но логику так и не удалось найти пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Гадаю по руке. Снимаю порчу. :)

Правило переноса из 1 во 2 ю все же какое?

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

*.xml,*.doc

Может так: *.xml;*.doc Не?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Гадаю по руке. Снимаю порчу. smile.gif

Если сделано руками, то SQL Monitor или трассировка сессии на серваке должна помочь выявить условия.

Таблицы? Не руками созданы. Есть вьюшка через которую решилось. Но пока осталось непонятным по каким критериям из _1 перебрасывается во _2 ю таблицу. По времени - не подходит, по размеру - совсем не ясно.

И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Может так: *.xml;*.doc Не?

Нет) Не работает.

Версия SEPM 11.0.6005

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
И причем тут SQL monitor? Если в 1й лежит за 28 и часть за 27 июля. Во второй часть 28июля- . Поэтому и прошу разъяснений.

Обычно строки перебрасываются sql-ем (insert from select where), по которым мониторинг и позволит выявить условия. Если же программа засасывает таблицу, шурупит, а потом выплёвывает часть во вторую, то всё плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×