suomalainen

Symantec Endpoint Protection

В этой теме 13 сообщений

Всем добрый день!

В сети одновременно существуют и SEP и SAV 10. Был настроен просмотр логов клиентов предыдущих версий в SEPM. Все нормально работало. После обновления на MR4 MP2. Логи SAV10 в SEPM перестали отображаться, хотя все настройки сохранились и ничего не изменялось. Логи своих клиентов SEPM отображает нормально, Symantec System Center также нормально отображает логи своих клиентов, а вот в SEPM они не видны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

suomalainen в настройках ничего не сбилось? Попробуйте пересохранить настройки Импорта логов из 10 версии. Если не поможет - звоните в тех. поддержку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я предположу в чем проблема :)

Очевидно, что в SAV в качестве Reporting server указано что то типа http://SEP_server_name:8014/Reporting

Проверить достаточно просто:

1) Открываете оснастку SAV, смотрите URL куда определен Reporting server

2) Открываете этот URL. Если видите предложение с вводом логина и пароля (при условии что страница "Монитор" в SEPM работает во избежание конфузов с джавой и IIS) - то определено правильно.

Если SEP Reporting крутится не на дефолтном сайте, и есть проблема с переназначением в SAV - можете сделать редирект, в Home Directory дефолтного сайта редирект на http://sepservername:8014/Reporting/

Проблемы должны исчезнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я предположу в чем проблема :)

При установке, вы могли перейти с дефлотного порта 80 на 8014.

К сожалению проблема видимо не в этом. Порт 8014 у нас используется изначально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В продолжении моей темы.

Прошло около месяца с момента появления у нас вышеописанной проблемы.

3 июня открыл case по проблеме через mysupport. Очень оперативно со мною связался инженер технической поддержки из Польского представительства Symantec и, что очень приятно все общение происходило на русском языке. Большое спасибо инженеру он искренне и очень профессионально пытался и пытается мне помочь.

Но, к сожалению его рекомендации проблему не решили, и он эскалировал проблему на уровень выше 5 июня. Прошло почти 2 недели. 18 июня получили ответ от вышестоящего инженера, который за две недели размышлений предложил только попробовать смоделировать ситуацию на тестовом оборудовании.

Что собственно я и сделал. То есть ставлю на новый сервер с нуля Win2003 r2 Ent. sp2, на него ставлю SEPM 11.0.4000.MR4, разворачиваю 2 тестовых клиентов, включаю опцию обработки логов предыдущих версий в консоли SEPM. Затем через Symantec System Center настраиваю отправку логов на вновь установленный SEPM. Смотрю результат - все работает нормально, логи от старых клиентов успешно отображаются.

Далее, беру SEPM 11.0.4014.MR4.MP1, провожу обновление. Проверяю результат - все настройки сохраняются и логи со старых клиентов продолжают поступать и отображаться в консоли SEPM.

Идем далее, берем SEPM 11.0.4014.MR4.MP2, проводим обновление. Проверяем - настройки сохраняются, но логи не отображаются. Смотрим в папку C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log\tex\legacy и видим что раз в минуту в этой папке появляются файлы вида 917E6B1288800510006EF7BA1CA4938B.tmp.dat.err и накапливаются там.

Провожу другой эксперимент: удаляю полностью Symantec Endpoint Protection с сервера используя CleanWipe_11.0.4020.2.exe, перегружаюсь ставлю на сервер сразу SEPM 11.0.4014.MR4.MP2, делаю необходимые настройки, проверяю - эффект тот же. Логи старых клиентов в консоли SEPM не отображаются, а в папке C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log\tex\legacy накапливаются .tmp.dat.err с переодичностью раз в минуту.

21 июня сообщил о своих экспериментах в техподдержку. Инженер с которым я работал переслал мои результаты уровнем выше и тишина, пока ...

Продолжение следует ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня обновился до версии 11.0.5 и проблема исчезла.

А ведь техподдержка проблему так и не признала. Утверждали, что не могут смоделировать ситуацию. Просили выслать им полные образы серверов. Гонял им по ftp не один десяток гигабайт.

А сейчас читаю release notes и вижу

Resolved issues

The Symantec Endpoint Protection Manager no longer accepts

RISK logs from legacy Symantec AntiVirus servers after

migration

Fix ID 1679706

■ Symptom: The Symantec Endpoint Protection Manager no longer accepts RISK

logs from legacy Symantec AntiVirus servers after migrating to Symantec

Endpoint Protection Manager 11.0 MR4 MP2.

■ Solution: Fixed agent log collection.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Была аналогичная проблема. Помогло обновление до 11.0.5. Спасибо suomalainen. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возник вопрос:

Сервер управления SAV настроен на передачу логов на сервер управление SEP. У сервера SAV, кроме клиентов 10 версии, имеются клиенты 8 и 9 версии. Будет ли работать передача их логов на сервер SEP? Машины там старенькие, поэтому желательно их не трогать smile.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У сервера SAV, кроме клиентов 10 версии, имеются клиенты 8 и 9 версии. Будет ли работать передача их логов на сервер SEP?

У меня тоже есть клиенты с версией 8 и, даже версии 7.5 и 7.6. В мониторах и отчетах SEPM они присутствуют. Алерты от них на SEPM приходят. При просмотре логов можно использовать фильтры с учетом в том числе и версий клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня тоже есть клиенты с версией 8 и, даже версии 7.5 и 7.6. В мониторах и отчетах SEPM они присутствуют. Алерты от них на SEPM приходят. При просмотре логов можно использовать фильтры с учетом в том числе и версий клиентов.

Ещё раз спасибо. Получается главное чтобы сервер управления был не ниже 10 версии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Где и в каком формате хранятся логи клиентов сервера управления SEP ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос немного не по адресу, но все же...

На сколько мне известно SAVCE 10 хранит файлы в C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs. В данной папке имеются файлы типа 07272009.Log где название файла - это месяц,день,год. судя по всему логи за сутки хранятся в подобных файлах. Это так?

Просто след. ситуация: сервер SAVCE был настроен на передачу логов на сервер SEP. При просмотре логов на сервере SEP имеются события за даты которых нет в указанной выше папке. На сервере SAVCE отчет по логам посмотреть не удается т.к. скопилось слишком большое количество.

Выходит что в файлах типа 07272009.Log хранятся логи за разные дни?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всем добрый день!

В сети одновременно существуют и SEP и SAV 10. Был настроен просмотр логов клиентов предыдущих версий в SEPM. Все нормально работало. После обновления на MR4 MP2. Логи SAV10 в SEPM перестали отображаться, хотя все настройки сохранились и ничего не изменялось. Логи своих клиентов SEPM отображает нормально, Symantec System Center также нормально отображает логи своих клиентов, а вот в SEPM они не видны.

я могу подсказать удобную crm программудля работы с клиентами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...