在本课中,你将学习故障排除。
通过展示在高级故障排除方面的能力,你将能够排除收集器升级的故障,并获取收集器日志以排除性能问题,包括第三方应用程序、系统挂起和系统崩溃的问题。
上图概述了收集器升级的故障排除过程。你将在本课后面学习更多关于这些步骤。首先在管理控制台上验证设置。你不希望在整个故障排除过程中发现收集器组被设置为错误的版本。
接下来,重启设备。通常,升级FortiEDR收集器不需要重新启动,但偶尔,兼容性问题(通常与杀毒软件有关)需要重新启动。
第三,定位收集器日志。你可以在本地机器上执行此操作,或者你可以通过管理控制台(如果已连接)下载它们。如果您使用的是本地日志,那么你可以查看它们以定位故障发生的位置,或者将它们发送给Fortinet支持人员。通过管理控制台获取的日志是加密的,需要发送给Fortinet支持进行解密和分析。
接下来,尝试使用安装程序文件在本地更新收集器。
最后,在收集器日志不能提供足够信息的极少数情况下,Fortinet支持可能会要求你在安装的同时运行Process Monitor并返回日志。除非支持部门特别要求,否则不需要这样做。
同样,故障排除升级的第一步是在控制台上验证你的设置。首先,需要为正在调查的设备分配收集器组。正如你在前面的课程中学到的,您可以通过单击INVENTORY选项卡并搜索设备名称来定位它。搜索结果显示分配给设备的采集器组及其版本。验证版本号是你所期望的,并记录收集器组名称。请记住,默认情况下,你只看到降级收集器,因此请确保单击蓝色的Show all collector链接。
分配完收集器组后,可以在ADMINISTRATION选项卡的LICENSING面板上检查分配的版本。单击“更新收集器”按钮。“更新收集器版本”对话框打开。找到你前面提到的收集器组,并确保将其分配给正确的收集器版本。
注意,在多租户环境中,Fortinet建议从Hoster视图执行设备升级。
现在,你将了解检索收集器日志的过程。获取日志的最简单方法是通过管理控制台,如果设备当前连接到你的网络,就可以这样做。在INVENTORY选项卡上找到收集器并选择它的复选框。单击“导出”下拉列表,选择“采集器日志”。本地保存日志。它们被下载到一个有密码保护的zip文件中。收集器文件本身是加密的,以防止篡改,因此你必须将它们发送给Fortinet支持来进行解密和分析。
当收集器没有连接到FortiEDR中央管理器时,你可以将收集器日志下载到本地。你可以使用上图中的CLI命令下载收集器日志。
在收集器上,如果你需要验证FortiEDR安装是否成功,并且没有配置或通信问题,请使用上图中显示的CLI命令。
新安装的收集器不会显示在中央管理器控制台的INVENTORY选项卡上,有时会看到处于断开连接状态的收集器。要解决连接问题,请验证所有FortiEDR组件之间是否存在网络连接。验证端口555和8081是否打开,并且没有第三方应用程序阻塞这些端口。像telnet和netstat这样的命令行工具可以验证这些端口是否可用。
如果升级收集器仍有问题,请在终端用户的机器上本地运行安装程序文件。为此,你需要组织的注册密码,可以在TOOLS下的管理控制台的ADMINISTRATION选项卡上找到该密码。
如果Fortinet支持需要收集器日志中不包含的额外信息,他们可能会要求你运行ProcMon,这是微软提供的一个免费的Sysinternals工具。这种情况很少发生,但如果需要,可以在执行安装时运行ProcMon,并将ProcMon日志保存到PML文件中。然后通过“/1*vx log.txt”获取安装日志。并将这些日志发送给Fortinet支持部门。
获取日志的最简单方法是通过管理控制台,如果组件当前连接到你的网络,你可以这样做。在系统组件下的INVENTORY选项卡上找到核心或聚合器,并选择它的复选框。单击“导出”下拉列表,选择“核心日志”或“聚合器日志”。本地保存日志。它们被下载到一个有密码保护的zip文件中。将这些文件发送到Fortinet支持解密和分析。
如果你正在排除设备性能问题,请从重新启动开始。如果这没有帮助,请在管理控制台上禁用收集器。如果问题仍然存在,请在有更新版本时升级收集器。
如果性能问题仍然存在,下一步取决于你正在调查的问题类型。你将在接下来的图片中了解每一个步骤。如果是第三方应用程序的性能问题,你必须记录重现问题的步骤。对于系统挂起,创建手动崩溃转储,然后在系统挂起时收集完整的内存转储。当系统崩溃或蓝屏时,请确认发生了蓝屏,然后在系统挂起时收集全内存转储。
如果你仍然需要更多信息,请尝试在设备运行时使用刚刚完成的过程收集收集器日志。如果你需要帮助,请向Fortinet提供支持。
现在,你将更详细地了解这些步骤。如果遇到性能问题,首先要尝试禁用收集器,这可以在管理控制台上进行。如果在禁用收集器时问题仍然存在,那么问题不太可能与FortiEDR有关。
下一步检查收集器版本。你在前面了解了如何定位收集器的当前版本。在本课前面看到的“更新收集器”对话框中查找可用的较新的收集器版本。或者,你也可以使用Fortinet支持打开支持ticket,以了解最新的收集器版本。如果有可用的更新,将它们应用到受影响的收集器,并查看性能是否有所提高。
如果你仍然遇到问题,请复制问题并记录重现问题的步骤。在接下来中,你们会学到更多。
如果你的性能问题涉及到第三方应用程序,那么从检查阻塞事件开始。在管理控制台中,单击EVENT VIEWER选项卡并搜索正在调查的应用程序的可执行文件名。如果你定位到任何阻塞事件,请确认它们是安全的。有可能,一个涉及看似安全进程的事件实际上是恶意的,例如,一个恶意宏可以运行在一个合法的Microsoft Word副本中,或者一个恶意程序可能伪装成一个合法的应用程序。在你验证事件是安全的之后,你可以创建一个异常来允许安全进程运行。
如果没有阻塞事件,并且你正在调查的应用程序无法连接到网络,请检查通信控制策略。首先,单击COMMUNICATION CONTROL选项卡,然后选择Policies。查找应用于用户的收集器组的策略。然后在应用列表中搜索该应用。突出显示应用程序并检查Policies面板,以确保用户的策略没有设置为拒绝来自该应用程序的通信。也要检查各个版本,有时旧版本会因为已知的漏洞而被屏蔽,但允许更新、更安全的版本。
如果你仍然没有找到问题的根源,请使用之前的过程检索收集器日志概述了早些时候。
如果遇到系统挂起,首先使用来自Microsoft或第三方实用程序(如Bang)的适用说明创建手动崩溃转储。
接下来,在系统挂起时收集一个完整的内存转储。你将在本课后面学习这个过程的细节。完成之后,压缩内存转储文件并记录Sha256以验证文件的完整性。
最后,检索受影响设备的收集器日志。再次,参考你在本课之前学到的步骤。
如果正在调查系统崩溃,首先要验证是否发生了蓝屏。你应该找到一个内存转储并停止内存中的代码。系统文件夹下的dmp文件。你还可以查看Windows事件查看器应用程序日志。通过搜索kernel power定位到某个蓝屏的记录。
接下来,在系统挂起时创建全内存转储。压缩内存转储文件,并记录Sha256。
最后,与前面的过程一样,检索收集器日志(本地检索或通过管理控制台检索),如本课前面所述。
答案:B
答案:B
通过掌握本课涉及的目标,你学习了一些有用的故障排除技巧FortiEDR。
6384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
