Ghi chú: Loại trừ các thư mục cài đặt trình quản lý, MariaDB và SolrDB khỏi quá trình quét phần mềm chống phần mềm độc hại
Môi trường dữ liệu
- McAfee Network Security Manager (NSM)
Vấn đề
Trang log của NSM không hiển thị cảnh báo tấn công mới. CLI của cảm biến hiển thị số lượng cảnh báo gia tăng được gửi đến người quản lý. Các hiện tượng khác bao gồm lỗi triển khai cấu hình NSM trong quá trình biên dịch và lỗi nhập bộ chữ ký.
Nguyên nhân
NSM nhận được cảnh báo và chúng được gửi thành công tới SQL, nhưng không được lưu trong tài liệu Solr. Dữ liệu Solr vẫn còn trong tệp thô được duy trì tại \ Solr \ server \ solr \ alerts. Từ nhật ký, bạn có thể thấy rằng do các vấn đề về quyền đối với tệp, việc ghi vào tài liệu Solr không thành công.
Bảng nhật ký tấn công NSM được truy xuất từ tài liệu Solr. Vì việc ghi vào tài liệu Solr không thành công, lưới nhật ký tấn công không hiển thị cảnh báo mới
Nguyên nhân của sự cố là do Chương trình bảo vệ Windows, nhưng bất kỳ phần mềm chống vi-rút nào cũng có thể gây ra sự cố này. Không có loại trừ nào được định cấu hình cho các tệp và thư mục Cài đặt NSM, MariaDB và SolrDB.
Giải pháp
Đối với các hoạt động bình thường của NSM, Bộ phận Hỗ trợ Kỹ thuật khuyên bạn nên loại trừ các thư mục sau và nội dung của chúng khỏi quá trình quét chống phần mềm độc hại. Phần mềm này bao gồm McAfee Endpoint Security và Windows Defender:
- Thư mục cài đặt NSM: để tránh lỗi biên dịch tệp tin và lỗi nhập Bộ chữ ký
- Thư mục cơ sở dữ liệu NSM: để tránh thiếu bảng điều khiển trong quá trình cài đặt hoặc nâng cấp NSM.
- Các thư mục cơ sở dữ liệu NSM Solr: để tránh hỏng chỉ mục SolrDB và các cảnh báo mới không được hiển thị trong trang nhật ký tấn công sau khi nâng cấp NSM.
Để biết thêm thông tin về các loại trừ này, hãy xem phần “Cách sử dụng phần mềm chống vi-rút với trình quản lý” trong hướng dẫn cài đặt và bắt đầu cho bản phát hành của bạn.
Bộ phận Hỗ trợ kỹ thuật khuyên bạn cũng nên xem thông tin về cách định cấu hình loại trừ trong hướng dẫn sản phẩm cho phần mềm chống vi-rút của bạn.
Đối với các tài liệu về sản phẩm, hãy truy cập sản phẩm cho Doanh nghiệp.
Cách giải quyết
Bạn có thể giảm thiểu các cảnh báo mới không hiển thị sự cố:
- Dừng Dịch vụ Cơ quan giám sát NSM và Dịch vụ NSM.
- Xóa thư mục dữ liệu trong \ solr \ server \ solr \ alerts.
- Đăng nhập vào bảng điều khiển Maria DB và thực hiện các lệnh SQL sau:
use lf;
Update iv_emsproperties SET VALUE = “true” WHERE NAME = “iv.core.solr.importenabled”;
- Khởi động dịch vụ NSM và tính năng giám sát NSM.
Trân trọng cám ơn quý độc giả.
Biên dịch Lê Toản – Help.pacisoft.com