Como Revisar Si Los Eventos Están Siendo Enviados Al Sevidor ePO .


ePolicy Orchestrator
En la siguiente guia le voy a mostrar como revisar si los eventos de una maquina cliente están llegando al servidor ePO correctamente. Para hacer esta prueba tiene que tener instalado en la maquina cliente VirusScan y el Agente de McAfee. El agente de McAfee debe estar comunicándose correctamente con ePO.

Para comenzar seguir los siguiente pasos:

  1. En la maquina cliente habrá la siguiente ruta en una carpeta:
    ProgramData\McAFee\Common Framwork\AgentEvents
    En el ePO habrá las siguiente ruta en otra carpeta:
    Program Files(x86)\McAfee\ePolicy Orchestrator\DB\Events

  2. home

  3. Abrir el monitor de Agente de McAFee.

  4. home

  5. Crear un archivo de texto, nombrarlo “eicar.txt”.

  6. home

  7. Copiar lo siguiente al archivo de texto eicar.txt y guardar:
    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  8. home

  9. Al momento de guardar el archivo sera detectado por el antivirus.

  10. home

  11. Esto creara un evento en “C:\ProgramData\McAFee\Common Framwork\AgentEvents”. Copiar el archivo a su escritorio.

  12. home

  13. Después de haber copiado el archivo a su escritorio, en el monitor de McAfee oprimir el botón mandar eventos. El evento desaparecerá de “C:\ProgramData\McAFee\Common Framwork\AgentEvents”.

  14. home

  15. Por un segundo, se creara un evento en “Program Files(x86)\McAfee\ePolicy Orchestrator\DB\Events”. Si el evento desaparece de esta carpeta, abrir el log Eventparser_.log, este log lo puede encontrar en “Program Files(x86)\McAfee\ePolicy Orchestrator\DB\Logs”.

  16. home

  17. Copiar el nombre de el archivo, que copeamos al escritorio.

  18. home

  19. En el log Eventparser_.log pegar en la búsqueda el nombre, del archivo. Si el evento fue enviando correctamente a la base de datos, lo encontrara en el log marcado como “Succeded”.

  20. home

  21. Después habrá el ePO y seleccione en Paneles “Resumen de ePO”, En “historial de detección de Malware” mostrara la detección que acabamos de crear.

  22. home

  23. También puede ver la detección/evento seleccionando Menu>Informes>Registros de Eventos de Amenaza.

  24. home

Si puede ver los eventos hasta el final, el evento esta llegando al ePO y a la base de datos correctamente.

Si los eventos no están llegando al ePO, el problema esta en la maquina cliente. Si el evento es enviado al ePO, pero se queda en “Program Files(x86)\McAfee\ePolicy Orchestrator\DB\Events” o “Program Files(x86)\McAfee\ePolicy Orchestrator\DB\Events\Debug” el problema puede ser que el ePO no esta enviando a la base de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*