McAfee企业版维护手册(EPO4.5).docx

Mcafee企业版维护手册（for EPO4.5）1. 前言在对系统进行部署之后，即可以通过系统的日常运行来管理我们的网络，经过一段时间的运行，系统中将积累大量的数据。因此，如果来有效管理这样一个网络，使系统稳定运行，以及如何来更加深入地保护我们的网络，则需要对系统进行合理的维护。在本文档里，将对一些后续系统的日常维护做一些简单的介绍。2. 使用仪表盘监视在ePO4.5的系统中，附带了多个默认的仪表板，每个仪表板都有其各自的默认监视器，提供了有关环境的当前数据，是进行系统监控，状态分析的最直观的地方。2.1 默认仪表盘默认仪表盘通常为“ePO摘要”仪表板，是唯一可见的提供概要信息的监视器。 MyAvert Threat Advisory - 显示可用的保护、报告的所有新威胁、最新提供的DAT 和引擎，以及（如果它们位于“我的存储库”中）一个指向“MyAvert Security Threats”页面的链接和最近检查时间。 按最高层级组列出的系统- 显示根据最高层级系统树组来组织的托管系统的条形图。 快速系统搜索- 可以按系统名称、IP 地址、MAC 地址、用户名或代理GUID 搜索系统。 McAfee 链接- 显示指向McAfee 技术支持、提升工具、病毒信息库等更多内容的链接。 McAfee Agent 和VirusScan Enterprise (用于Windows) 遵从性摘要- 按VirusScan Enterprise(用于Windows)、McAfee Agent 和DAT 文件的版本显示环境中遵从或不遵从的托管系统的布尔饼图。 恶意软件检测历史记录- 显示上一季度内部病毒检测数量的折线图。2.2 其它仪表板ePO4.5提供了其它的仪表板，但都需要激活才会显示，要激活仪表板，在“仪表板”页中单击“选项”|“选择活动仪表板”，然后从“可用仪表板”中进行选择。2.2.1 执行仪表板执行仪表板是一组监视器，提供一些有关安全威胁和遵从性的概要报告，包含指向更具体的产品特定信息和McAfee 特定信息的链接。此仪表板中包括以下监视器： MyAvert Threat Advisory - 显示可用的保护、报告的所有新威胁、最新提供的DAT 和引擎，以及（如果它们位于“我的存储库”中）一个指向“MyAvert Security Threats”页面的链接和最近检查时间。 恶意软件检测历史记录- 显示上一季度内部病毒检测数量的折线图。 过去24 小时内的产品部署- 显示过去24 小时内所有产品部署的布尔饼图。成功的部署用绿 色显示。 过去24 小时内的产品更新- 显示过去24 小时内所有产品更新的布尔饼图。成功的更新用绿色显示。2.2.2 产品部署产品部署仪表板概述网络中的产品部署和更新活动。此仪表板中包括以下监视器： 过去24 小时内的产品部署- 显示过去24 小时内所有产品部署的布尔饼图。成功的部署用绿色显示。 过去24 小时内的产品更新- 显示过去24 小时内所有产品更新的布尔饼图。成功的更新用绿色显示。 过去24 小时内失败的产品部署- 显示过去24 小时内所有已失败产品部署的单组条形图，按产品代码进行分组。 快速系统搜索- 可以按系统名称、IP 地址、MAC 地址、用户名或代理GUID 搜索系统。 过去24 小时内失败的产品更新- 显示过去24 小时内所有已失败产品更新的单组条形图，按产品代码进行分组。 过去7 天内尝试的代理卸载- 显示过去7 天内所有代理卸载客户端事件的单组条形图，按日期进行分组。2.2.3 VSE：趋势数据2.2.4 VSE：当前检测数2.3 配置仪表板的刷新频率使用此任务可以配置仪表板的刷新频率（分钟）。每个用户帐户的刷新频率设置都各不相同。 单击“菜单”|“报告”|“仪表板”，然后单击“选项”|“编辑仪表板首选项”。此时会出现“仪表板首选项”页。 在“仪表板页面刷新间隔”旁，键入两次刷新间隔的分钟数。最大页面刷新时间间隔为60 分钟。 单击“保存”。2.4 创建仪表板 单击“菜单”|“报告”|“仪表板”，然后单击“选项”|“管理仪表板”。此时会出现“管理仪表板”页。 单击“新建仪表板”。 输入名称，然后选择仪表板的大小。 对于每个监视器，单击“新建监视器”，选择要在仪表板中显示的监视器，然后单击“确定”。 单击“保存”，然后选择是否激活此仪表板。活动仪表板随后会显示在“仪表板”的选项卡栏上。 （可选）可以通过在“管理仪表板”页中单击“公开”来公开此仪表板。附注：所有的新仪表板都将保存到专用的“我的仪表板”类别中。3. 创建自动响应3.1 配置电子邮件服务器 单击“菜单”|“配置”|“服务器设置”，然后在“设置类别”列表中单击“电子邮件服务器”。 单击“编辑”。此时会出现“编辑电子邮件服务器”页。 键入SMTP 服务器名称和SMTP 服务器端口（选择用公共邮箱来发送的话，SMTP服务器名称填写邮箱的SMTP服务器，如，而SMTP服务器端口，通常都为25）。 选择是否要通过电子邮件服务器的身份验证，并且如果选择“身份验证”，请提供凭据（通常为您用来发邮件的邮箱用户和密码）。 键入ePolicy Orchestrator 发送的邮件上显示为返回地址的电子邮件地址。 单击“保存”，然后选择“电子邮件服务器”。 在“测试电子邮件”旁的内容区域中，键入接收电子邮件的有效电子邮件地址，然后单击“测试”验证设置，如果能收到邮件，则服务器配置成功。3.2 新建联系人 单击“菜单”|“用户管理”|“联系人” 点击“新建联系人” 在新建页里面输入联系人的姓名及邮件地址3.3 配置自动响应3.3.1 描述规则 单击“菜单”|“自动”|“自动响应”，然后单击“操作”|“新建响应”，或者单击现有规则旁的“编辑”。此时会打开“响应生成器”向导 在“描述”页上，键入该规则的唯一名称和任何注释。附注：每个服务器上的规则名称必须是唯一的。例如，如果某个用户创建一个名为“紧急警报”的规则，则其他用户（包括全局管理员）就不能创建同名规则。 从“语言”菜单中，选择该规则所使用的语言。 选择触发此响应的“事件组”和“事件类型”。 在“状态”旁选择规则是“已启用”还是“已禁用”,单击“下一步”。3.3.2 设置规则过滤器 从“可用属性”列表中，选择所需的属性，并指定用来过滤响应结果的值。附注：可用属性取决于在该向导的“描述”页上选择的事件类型和事件组。 单击“下一步”。3.3.3 设置规则阀值 在“累积”旁，选择“针对每个事件触发此响应”（当需要对特定时间内的事件通过邮件的形式发送到指定邮箱，需要在过滤器项中定义检查时间，此处选择此项） 如果选择“如果此时间内发生多个事件，则触发此响应”，则可以选择在符合指定的条件时触发响应。这些条件是以下条件的任意组合（此选项一般针对特殊事件，如大规模病毒发生进行邮件报警，如在特定时间累积到100条等等）。： 当事件属性的非重复值的数量至少为某个值时。当选择了事件属性实例的非重复值时，将使用此条件。 当事件数量至少为。键入所定义的事件数量。附注：可以选择一项或两项都选。例如，可以将规则设置为在所选事件属性实例的非重复值超过300 或事件数量超过3,000 时（超过任何一个阈值即可）触发此响应。 在“分组”旁，选择是否对累积事件进行分组。如果选择对累积事件分组，请指定要作为这些事件分组依据的事件属性。 如果需要，请在“限制”旁，选择“触发此响应的最大间隔时间”，定义必须经过多长时间该规则才能再次发送通知消息。时间以分钟、小时或天为单位。 单击“下一步”。3.3.4 设置自动响应规则在响应规则里，有创建问题、执行计划任务、运行外部命令、发送SNMP陷阱、发送电子邮件几个选项，可以根据需要进行配置，在此我们将对电子邮件进行配置：从下拉列表中选择“发送电子邮件”。 在“收件人”旁，单击“.”，然后选择邮件的收件人。这个可用收件人列表来自“联系人”（“菜单”|“用户管理”|“联系人”）。另外，可以手动键入逗号分隔的电子邮件地址。 选择通知电子邮件的重要性。 键入邮件的“主题”。（可选）您可以将任何可用变量直接插入主题。 键入要在邮件“正文”中显示的任何文本。（可选）您可以将任何可用变量直接插入正文。 完成后，请单击“下一步”，或单击“+”再添加一个通知（可以同时将一个事件进行多种处理，如在发送电子邮件的同时，将事件记入到问题管理里）。3.4 常见问题如果为病毒检测设置了响应规则，是否有必要针对在病毒发作期间所接收的每个事件都收到一则通知消息？不必，可以这样配置规则，即只有在指定的时段内发生指定数量的事件时才发送一次通知，或者在指定时间内最多只能发送一次通知（即在过滤器中添加检测日期）是否可以创建一条对多个收件人生成通知的规则？可以，在“响应生成器”向导中输入多个收件人的电子邮件地址。是否可以创建一条生成多个通知类型的规则？可以，ePolicy Orchestrator 的通知功能在每条规则中支持以下通知类型的任意组合： 电子邮件（包括标准SMTP、SMS 和文本寻呼机） SNMP 服务器（通过SNMP 陷阱） 安装在ePolicy Orchestrator 服务器上的任何外部工具 问题 计划的服务器任务4. 系统报告ePO包括可用来报告网络情况并对网络进行管理的预先配置的查询，以便生成有关ePO服务器的报告，报告中包括以下类型的信息： 在整个网络中部署的托管产品。例如，McAfee Agent 或McAfee VirusScan Enterprise。 ePO服务器上的用户操作。例如，在过去的30 天内服务器上的登录企图失败的次数。 策略分配。例如，为网络中的每个系统分配哪些策略。对预先配置的查询取决于已经安装的托管产品。预先配置的查询使用各种图表类型来显示查询结果，而且可以根据需要进行修改。提示：建议在修改预先配置的查询之前先创建其副本，以便可以保留每个查询的初始功能。在ePO中有两个预定义的查询组，一个是共享组，一个是我的组。4.1 共享组所有预先配置的查询都包括在“共享组”类别中。默认情况下，出现在“共享组”类别中的预先配置的查询按功能和对托管产品的依赖性组织为子组。在ePO控制台中，单击“菜单”|“查询”以打开“查询”页。在共享组里面，有很多默认的预先配置，常用到最多的就是病毒报告，即VirusScan Enterprise组，其它的与产品相关的，如更新情况，部署情况等等，则相对较少，可根据情况进行查看。如需要查看最近一周的病毒监测情况，可： 在“组”列中，单击“共享组”|“VirusScan Enterprise”。 在“快速查找”字段中键入查询的名称，然后单击“应用”。提示：可以键入查询名称的一部分来缩小结果的范围。 使用滚动条来查找查询。查询按字母顺序排列。 在“操作”列中，选择需要查询的项，单击查询右侧的“运行”。查询结果将显示在一个图表中，该图表与查询同名。 如有内容，可单击数字内容，可以查看有关相应系统的更多详细信息。 单击“关闭”将返回到查询结果表，再次单击“关闭”将返回到“查询”页。 在“操作”列中，单击“详细信息”可查看此查询的详细信息。4.2 我的组“我的组”类别中的查询为我们自己根据需要而创建的使用的类别，所创建的查询只能由其所有者查看。4.2.1 自定义预先配置下面以一个“最近 30 天内ePO控制台中成功的用户操作”为例，列举自定义的步骤： 单击“菜单”|“查询”并创建一个新的专用查询组： 单击“组操作”|“新建组”。 将这个新组命名为用户审核，然后从“组可见性”选项中选择“专用组(我的查询组)”。 单击“保存”。此时将打开“查询”页。 在“组”列中，展开“我的组”列表以查看用户审核子组。 在“所有查询”的“快速查找”字段中，键入最近 30 天内ePO控制台中失败的用户操作，然后单击“应用”。 单击该查询旁边的复选框，然后单击“操作”|“复制”。此时会打开“复制”对话框。 在“新名称”字段中，键入最近 30 天内ePO控制台中成功的用户操作。 从“接收的组”菜单中，选择“我的组”类别下面的“用户审核“。所复制的查询将出现在“我的组”|“用户审核”子组中。 在自定义查询旁边的“操作”列中，单击“编辑”。此时会打开查询向导。 再次单击“下一步”前移到“列”页。从“可用列”列表中，添加“成功”列。 对这些列重新排序，以便“成功”是表中的第一列。附注：要对列重新排序，请使用左右箭头，或者使用拖放功能将所需的列移动到新位置。 单击“下一步”以打开“过滤器”页。将“成功”值设置为“真”，然后单击“运行”。此查询现在返回在过去30 天内执行的所有成功的用户操作。 单击“编辑查询”以返回到查询向导。 将图表类型更改为“饼图”，并修改配置，使其与以下值相匹配：标签为：用户名排序依据：值(降序)饼图扇区值为：“数量”和“操作”附注：单击“显示总计”复选框。 单击“运行”。现在，查询结果中显示在过去30 天内每个用户已经执行的成功操作数。您可以单击饼图中的任何扇区或者摘要表中的行条目来查看每个用户所执行操作的详细信息。 单击“保存”，然后： 将该查询命名为最近 30 天内ePO控制台中成功的用户操作。 在“注释”字段中提供有意义的查询描述。 单击“保存”。4.2.2 创建托管系统查询此任务创建一个新的“托管系统”查询，该查询报告网络中的托管系统上所部署的VirusScan Enterprise DAT 版本（即病毒库版本的更新情况）。 单击“菜单”|“报告”|“查询”，然后单击“操作”|“新建查询”。此时会打开“查询向导”。 在“功能组”窗格中，单击“系统管理”，在“结果类型”窗格中单击“托管系统”，然后单击“下一步”。 在“将结果显示为”窗格中，单击“表”，然后单击“下一步”。 在“可用列”窗格中，从以下各列中选择要包括在表中的列，然后单击“下一步”：上次通信时间（默认情况下包括此列）系统名称（默认情况下包括） 在“过滤器”页中，确保未选择任何“可用属性”，然后单击“运行”。此时会创建一个包含网络中所有系统的表。附注：您可以在表中单击与任何系统相对应的行条目，然后从所打开的“系统详细信息”页中查看有关该系统的更多详细信息。 单击“保存”并指定以下查询详细信息： 名称：VSE DAT 版本 附注：此表显示网络中的系统上所部署的VirusScan Enterprise DAT 版本。 创建一个名为VSE 继承的新专用组。 单击“保存”。此时会打开“查询”页。 查看此查询的详细信息： 在“查询”页中，单击“我的组”|“VSE 继承”。 在“操作”列中，单击“详细信息”。4.2.3 转换“VSE DAT 版本“查询为饼图在前一个任务中，创建了一个名为“VSE DAT 版本”的基于表的查询。如果网络中有大量托管系统，则表格式不是推测有意义数据的最佳方法。使用此任务可以创建此数据的更便于直观访问的表示形式。 单击“菜单”|“报告”|“查询”，然后在“组”窗格中单击“我的组”|“VSE 继承”。 在“查询”窗格中，单击“VSE DAT 版本”查询旁边的复选框，然后单击“操作”|“复制”。 在“复制”对话框中，键入VSE DAT 版本饼图作为查询的“新名称”。将“接收副本的组”保留“VSE 继承”设置，然后单击“确定”。 在新查询旁边的“操作”列中，单击“编辑”。此时“查询向导”的“图表”页将打开。 单击“饼图”并指定以下选项： 标签为：DAT 版本(VirusScan Enterprise) 排序依据：值(减) 显示“其他”：选中的复选框 饼图扇区值为：托管系统数 显示百分比：选中的复选框 单击“运行”以显示更新后的查询结果，然后单击“保存”。键入VSE DAT 版本-饼图作为此查询的名称，然后将它保存到“VSE 继承”组中。可以使用此查询来查看托管系统上当前所部署的VirusScan Enterprise DAT 的版本。4.2.4 创建可显示合规性的布尔饼图在前一个任务中，已经将基于表的查询转换为饼图，该饼图根据网络中的托管系统上所安装的DAT 版本来对系统进行分组。使用此任务可以修改饼图，使其显示VSE DAT 合规性。在成功完成此任务后，查询结果将显示一个饼图，其中包含以下两个类别：l 合规的托管系统- 饼图的绿色部分。这些系统是指安装了最新VirusScan Enterprise DAT 的系统。l 不合规的托管系统- 饼图的红色部分。这些系统是指未安装最新VirusScan Enterprise DAT的托管系统。在完成此任务时，需要先了解McAfee 所提供的最新DAT 版本号 单击导航菜单的“仪表板“选项，出现“ePO 4.5 的摘要”选项卡。 在“MyAvert Threat Advisory”监视器中查找“最新的可用版本”的“DAT”版本。附注：此处如显示无可用的信息，请确认默认的8801端口是否开启，是否被防火墙阻挡。 复制“VSE DAT 版本-饼图”饼图查询。 编辑新查询，从“将结果显示为”窗格中选择“布尔饼图”，然后设置以下选项： 要匹配的标准 单击“配置标准”。 在“配置标准”页中的“可用属性”窗格中，从“VirusScan Enterprise 属性”中选择“DAT 版本(VirusScan Enterprise)”。 将“比较”属性设置为“大于或等于”。 将“值”设置为最新的可用DAT。例如，在上图中，最新的可用DAT 为6134.0000。 单击“确定”。此时“查询向导”的“图表”页将再次打开。 显示图表中的标准选中的复选框 匹配扇区的标签符合 不匹配扇区的标签不符合 饼图扇区值为托管系统数 显示总计选中的复选框单击“运行”查看结果。单击“保存”，然后在“名称”字段中键入VSE DAT 版本-合规性。4.2.5 创建可显示VirusScan Enterprise DAT 合规性的信息显示板监视器使用此任务可以根据在前一个任务中创建的布尔饼图查询来创建一个信息显示板监视器。使用所创建的信息显示板监视器可以快速查看托管系统的DAT 合规性。 单击导航菜单的“仪表板“，然后单击“选项”|“管理信息显示板”。 在“信息显示板”窗格中，单击“新建信息显示板”。在“新建信息显示板”页上的“名称”字段中，键入VSE DAT 继承。 从“大小”菜单中，选择“2x1 布局”。 单击“新建监视器”，然后在“选择监视器”对话框中，从“类别”菜单中选择“查询”。 在“监视器”菜单中，选择“我的组- VSE 继承”|“VSE DAT 版本-合规性”，单击“确定”，然后单击“保存”。 当“激活”对话框打开时，单击“是”，然后单击“关闭”。4.3 导出报告对于各种运行的报告，除了可以在ePO里面查看之外，还可以通过导出的方式，将报告导出为四种不同的格式。导出的结果是历史数据，而且无法刷新。导出报告中的数据是不可操作的，这一点与控制台中的查询结果不同。报告可以采用下列几种格式： CSV - 采用此格式可以在电子表格应用程序（如Microsoft Excel）中使用数据。 XML - 采用此格式可以转换数据以用于其他用途。 HTML - 采用此报告格式可以通过Web 页的形式查看导出的结果。 PDF - 需要打印结果时使用此报告格式。可以对导出的数据命名，并将其保存到任何位置，或以电子邮件附件的形式发送。例： 单击“菜单”|“报告”|“查询”，然后选择要导出的一个或多个查询。附注：还可以从“查询”页中运行查询，然后在“查询结果”页中单击“选项”|“导出数据”以访问“导出”页。 单击“操作”|“导出数据”。此时会出现“导出”页。 选择要导出的内容。对于基于图表的查询，选择“仅图表数据”或“图表数据和深入查询表”。 选择是分别导出数据文件，还是导出为一个存档(zip) 文件。 选择导出文件的格式。如果要导出为PDF 文件，请进行如下配置： 选择“页面大小”和“页面方向”。（可选）选择：l 显示过滤标准。l 包括具有这些文本的封面，并包括所需的文本。 选择是否将文件作为电子邮件附件发给选定的收件人，或是否将其保存到服务器上提供链接的位置。您可以通过右键单击文件，将其打开或保存到其他位置。附注：如果键入多个收件人的电子邮件地址，则必须使用逗号或分号分隔每个条目。 单击“导出”。随即会创建文件，并以电子邮件附件的方式发给收件人，或将您带到一个页面，可以在此通过链接访问这些文件。5. 维护ePO数据库必须定期维护数据库才能实现最佳性能并保护数据。根据ePolicy Orchestrator 的部署情况，计划每周花数小时进行定期的数据库备份和维护。本部分中的任务应以每周或每日的频率定期执行。但是，这些不是唯一可用的维护任务。有关还可以执行哪些维护数据库的操作的详细信息，请参阅SQL 文档。5.1 定期维护SQL Server 数据库建议使用简单恢复模式，因为事务日志在该模式下不是必需的，而且不会在备份过程中变得很大。如果您有多个具有不同恢复模式的数据库，则可以分别为每个恢复模式创建不同的数据库维护计划。通过这种方法，您可以包含一个步骤，只将事务日志备份到不使用简单恢复模式的数据库上。执行简单恢复时，如果检查点完成，则会从活动数据库中丢弃检查点之前的事务日志。检查点会在备份时自动产生。建议您制定一个数据库维护计划，执行ePO数据库备份以及“简单恢复”。这样，在成功创建备份后，就会丢弃活动数据库中的部分事务日志，这部分事务日志由于存在备份文件而不再需要。确保恢复模式设置为“简单”。有关简单恢复的信息，请参阅SQL 文档。如果选择不使用简单恢复，则需要定期备份事务日志。5.2 备份和还原ePolicy Orchestrator 数据库定期备份ePolicy Orchestrator 数据库来保护数据，并防止出现硬件和软件故障。一旦需要重新安装服务器，就可能需要从备份中还原。备份频率一些可能的方法包括：n