Перейти к содержанию

Recommended Posts

beelesnik

Добрый день.

Имеются сервер и клиенты SEP 11.0.6000.550.

После того, как количество клиентов перевалило за 15000 начал периодически наблюдать следующую картину.

На клиенте в щите SEP пропадает зеленая точка (как я понимаю связь с сервером), плюс если зайти в Help and Support - Troubleshooting в строке Server вместо адреса или имени сервера вижу "Offline". Затем через некоторое время зеленая точка появляется в щите клиента и в строке Server снова появляется адрес-айпишник. Клиенты - Pull с интервалом опроса 1 раз в час.

Правильно ли я понимаю, что это могут быть симптомы критической нагрузки на сервер SEP?

Чем это может грозить и как с этим бороться?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

15000 компов это имхо много для одного сервера.

Поднимите второй SEPM в режиме балансировки или как дополнительный и перебросьте на него часть клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
beelesnik
15000 компов это имхо много для одного сервера.

Поднимите второй SEPM в режиме балансировки или как дополнительный и перебросьте на него часть клиентов.

Вообще говоря, серверов SEP - два. Основной и резервный.

Включил дебаг на клиенте. Вижу вот это:

06/29 12:14:30 [3632] <GetIndexFileRequest:>SMS return=503

06/29 12:14:30 [3632] <ParseHTTPStatusCode:>503=>503 SERVICE NOT AVAILABLE

06/29 12:14:30 [3632] HTTP returns status code=503

06/29 12:14:30 [3632] <GetIndexFileRequest:>RECEIVE STAGE COMPLETED

06/29 12:14:30 [3632] <GetIndexFileRequest:>COMPLETED

06/29 12:14:30 [3632] <IndexHeartbeatProc>GetIndexFile handling status: 503

06/29 12:14:30 [3632] <IndexHeartbeatProc>Switch Server flag=1

06/29 12:14:30 [3632] HEARTBEAT: Check Point 5.1

06/29 12:14:30 [3632] <ScheduleNextUpdate>new scheduled heartbeat=128 seconds

06/29 12:14:30 [3632] HEARTBEAT: Check Point 8

06/29 12:14:30 [3632] Get Next Server!

06/29 12:14:30 [3632] <IndexHeartbeatProc>switch to another server

06/29 12:14:30 [3632] <DecrementScheduleTime:>New scheduled heartbeat=64 seconds

06/29 12:14:31 [3632] HEARTBEAT: Check Point 1

06/29 12:14:31 [3632] HEARTBEAT: Check Point 2

06/29 12:14:31 [3632] <PostEvent>going to post event=EVENT_SERVER_CONNECTING

06/29 12:14:31 [3632] <PostEvent>done post event=EVENT_SERVER_CONNECTING, return=0

06/29 12:14:31 [3632] HEARTBEAT: Check Point 3

06/29 12:14:31 [3632] <IndexHeartbeatProc>Setting the session timeout on Profile Session to 30000

06/29 12:14:31 [3632] HEARTBEAT: Check Point 4

Кстати, сейчас обратил внимание, что на сервере присутсвуют ошибки вида:

sep unexpected server error error code 0x10010000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

1) Запустите dbvalidate.bat - будут ли ошибки?

2) Заупустите Symantec Endpoint Protection Support Tool

URL: http://service1.symantec.com/support/ent-s...008071709480648

на клиенте и на сервере. Будут ли ошибки?

Установлен ли IPS или NTP (Network threat protection) на сервере?

3) Проверьте права на директории SEPM

4) что в логе SEPM scm-server-0.log ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
beelesnik
1) Запустите dbvalidate.bat - будут ли ошибки?

2) Заупустите Symantec Endpoint Protection Support Tool

URL: http://service1.symantec.com/support/ent-s...008071709480648

на клиенте и на сервере. Будут ли ошибки?

Установлен ли IPS или NTP (Network threat protection) на сервере?

3) Проверьте права на директории SEPM

4) что в логе SEPM scm-server-0.log ?

Специалисты Symantec указали на статью http://service1.symantec.com/support/ent-s...c9?OpenDocument

Увеличил соответствующий параметр вдвое - мониторю что и как.

Кстати, а как можно посмотреть сколько клиентов на каком из серверов SEP сидят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Кстати, а как можно посмотреть сколько клиентов на каком из серверов SEP сидят?

На глазок только. Потому как через минуту при балансировке клиент может быть на другом уже сервере. Щелкнуть на главной в SEPM по virus distribution --> посмотреть Virus Definitions Distribution на каждый сервер. Клиент отдает СВОЕМУ управляющему серверу информацию. Иных способов помоему нет. Если только базу копнуть... Сделать выборку из БД SQL таблицы SEM_AGENT с сортировкой по полю [LAST_SITE_ID]. Пример:

SELECT [AGENT_ID],[AGENT_VERSION],[LAST_SERVER_ID],[PROFILE_SERIAL_NO],[COMPUTER_ID],(select top 1 [COMPUTER_DOMAIN_NAME]  from [Endpoint].[Endpoint].[sEM_CLIENT] where [COMPUTER_ID] = [sEM_AGENT].[COMPUTER_ID])FROM [Endpoint].[Endpoint].[sEM_AGENT]order by [LAST_SERVER_ID]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров

я бы использовал примерно следующий запрос:

select "name", count (*) from sem_agent, identity_map where identity_map.id=sem_agent.last_server_id and identity_map.type='semserver' and sem_agent.deleted=0 group by "name", last_server_id

покажет он только то, сколько клиентов последний раз подключались к какому серверу. В принципе, при следующем включении они будут снова пытаться подключиться к этому серверу. Но есть небольшое НО: если клиент больше никогда не включится, то он будет выдаваться этим запросом до тех пор, пока не будет удален (скорее всего это поизойдет по истечению времени, указанного в настройках SEPM).

Т.ч. запрос более- менее показывает кол-во клиентов на каждом сервере. Но это не текущее кол-во подключений....

Может, кому-нибдуь да поможет))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×