Training-1020
ePO
ePO 3个服务:
Tomcat>8443>占用内存最多1-3GB>log记录在apsvr和orion,可以查看system event log
Apache>客户端通信>同时可以处理250-6=244个通信(涉及到性能与客户端的关系)
加一个AH就相当于加了一个Apache(244点连接数)
If(客户端多于5000点)
Then 建议分离ePO server和DB server
ePO硬件需求:
——此处应该看hardware sizeing guide,460就460吧
epo_460_Hardware_Sizing_and_Bandwidth_Usage_Guide_en-us
test:4核ePO server和8核DB server
ePO
1G*4核=4G内存(这是4.6)
CPU不到3GHz
DB
1G*8核=8G内存
CPU2GHz
Interval-间隔
Agent-server-communication interval越长,可被ePO管理的MA越多,几乎成正比,如果出性能问题可以把ASCI时间改长
ASCI是1h时候66000台client
ePO性能:
推荐每台客户端每次通信上传小于25个事件
Agent-server-communication interval越长,可被ePO管理的MA越多,几乎成正比,如果出性能问题可以把ASCI时间改长
为什么可以改长:
威胁事件严重性在major以上及时上传,5min传一次(可以在server settings>event filter看事件等级)
策略属性更新没有那么频繁
唤醒代理是ePO发广播告诉MA,MA再找ePO通信
性能较低可以优化策略,一些事件可以不传到ePO
eg:扫描超时,访问保护
固态和机械硬盘读写速度差2倍左右
保证AH和EPO通讯时候用443 port,MA4.8以上用443port
1433/1434(或者在SSCM里面改的IP all地址)用来连SQL server
SQL本地性能看performance manager(这玩意在哪)
In performance manager, 参数complete参数在supportability guide第8页
通过攻击TCP viewer看,如果established条目满了要调整ASCI(时间加长)或者增加AH
Apsvr里面会包含复制时候的错误
提高SQL server性能也能提升ePO性能
ePO架构(PPT里的):
1) 客户端数量大于5000点,建议EPO和数据库分离
2) 考虑Agent handler的数量 (Agent handler的原理介绍)
AH多了占用Apache服务>导致DB性能下降(当然DB server的硬盘读写和内存都ok的话随便搞)>普通建议最多2个remote AH>某个厉害的DB server用6个
AH丢到外面的IP映射地址在agent handlers>published DNS name和published IP address填
3) 考虑分布式资料库 (分布式资料库的作用,和Agent handler区别)
FTP/UNC/HTTP/SA 一个放包的地方而已
UNC走Windows netbnios共享端口,无需其他端口
4) 是否使用EPO Cluster
5) Review Sizing手册-ePO460
6) 考虑是否存在外网的机器需要管理,是否需要在DMZ部署Agent handler
改ePO server host和FQDN:
原来的A.test.com with IP 192.X.X.X(此时通讯正常)
要改成B.test1.com with IP 10.x.x.x
步骤:
在DNS文档里面加一条记录:A.test.com with IP 10.x.x.x(这样原本通过A.test.com可以正常通信),IP 10.x也可以通信了
如果想改回去,IP 10.x可以通信之后再改ePO的server.ini文件
路径C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB,改DNS name
数据库表:
EPE(MDE)的表
Orion.extensions>保存扩展名和属性(具体版本)
LeafNodeNT>system tree
eventNT>event
分析EPO大小的脚本 KB76720
自动清除event(有一个服务器任务-purge events more than 90 days)
一般要清理的是客户端事件、病毒事件、DLP历史事件/evidence/非历史事件
DB维护(SQL express里面没有):
在SSMS里面>SQL server>新建维护任务(maintains task)>re-index
有碎片看KB67184,rebuild index(记得有脚本,跑一下就行了)
删DB时候要预留一定的可用空间,因为DB文件分mdf和ldf(事务日志),mdf是实际存储用的,ldf是保存数据以便失败回滚用的
(举个栗子,如果删10G的mdf文件,mdf暂时不会少但是ldf会多出来)
DB里面的视图>将两个不同的表join到一起
Store procedure(存储过程)>是定义好可以直接用的脚本(类似库文件)
select count(*) from table_name>得到这个表中的记录条数,如果小于几十万可以直接删
这部分没什么逻辑了:
apache可以在httpd.conf改,但是不建议这么搞
在server log里面有一列I-info信息 E-error错误
MOD_EPO是开了debug才能看到的
keepAlive on>会导致客户端一直占用Apache的一个位置(244中的一个),导致server busy 503> MA5.0.5及以上版本修复这个bug
来源站点启用备用是指对客户端更新启用备用站点(如果客户端通过其他方式都更新不了再用这里的站点)
Relayserver> MA作为中继?
UpdaterUI是更新安全那个button
更新失败看masvc和mcscript
查BZ: advanced search>release note选产品>resolution要全选>填关键字>search即可
系统传输:
1.注册服务器:把要传输到的系统注册到当前ePO(新系统版本要低于当前或等于当前版本,KB79283说没必要就没必要)
2. 把老服务器的key导入到新ePO(2048位那个),把ASCI改短(又不能手动唤醒,比如改成10min)
3. 点传输系统(点了之后就在老服务器上系统树里就没了)
传输过程
老ePO发临时sitelist.xml给MA(第一个ASCI)
新ePO的sitelist给MA(下一个ASCI)
客户端ma.db里面会保存ePO服务器的信息,db文件可以用SQLlite来看
路径C:\ProgramData\McAfee\Agent\DB
策略/任务:
sitestat.xml(更新DAT最先下载的文件)里面会包含DAT的生成时间和版本,和系统当前的对比,如果比当前的新就更新
策略分配规则(policy assignment rules)里面可以设system based(system based里面可以选tag based)还是user based(优先级最高),MDE有user based
已注册的可执行文件(什么第三方文件都可以扔上来,注册了就能用)
Syscore:
路径C:\Program Files (x86)\Common Files\McAfee\SystemCore
驱动路径C:\Windows\System32\drivers,mfe开头的.sys文件就是了
Syscore最开始的目的是让众多终端共享同一个驱动,例如VSE/ENS/老版本MA
Mfevtps是用来做证书验证的
Syscore-驱动,在内核模式
VScore>进程在user mode
ODS>scanner64>运行在user mode
OAS>驱动(读写)>mcsheild.exe运行在user mode会调用core mode的驱动
Amcore>在用户模式>比VScore多了基于证书的验证
有一个选项是let mcafee design>使用amcore,如果证书受信任就不扫描
MA的自我保护用的是VScore
KB87254(Syscore information)
升级完要尽快重启,因为已经在kernel mode修改过,但是还没写入进去,重启才能写入内核,如果不重启可能会由于不匹配导致问题-solidcore 改完状态要重启也是这个原因
ENS/VSE安装失败:
先看syscore有没有安装成功,bootraper log和vscore log,如果内核没装成功其他的log都不会有
(单提出一篇)
修复系统文件,修复一下有时候也可以解决安装问题
MA:
功能(PPT)
ASCI
Super Agent
P2P (有PPT)
Self Protection
分析log(什么问题看什么log可以看对应产品的supportability guide):
看日志具体报错信息, 有没有错误号,查KB/Insight/Bugizzla etc
阅读报错信息附件的内容和信息
学会Isolate问题, 确定问题在客户端(MA), 还是在EPO
比如 客户端有一个策略拿不到, 可以查看MA里面的策略文件
学会使用Workaournd 解决问题
不是所有问题都有root cause和完美解决方案,要学会用workaround
举个栗子:
推送McAfee Agent多方法:
1)EPO推送
2)本地安装
3) smartinstall URL
4)AD 登录脚本
5)终端管理软件推送
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
