Jump to content
fcsistemi

Client fuori controllo

Recommended Posts

Ho un cliente con struttura "distribuita" (Security Center 10.5.1781in sede e client 11.0.0.6499 in giro per l'Italia).

Vedo tutti i client nella lista, ho già spuntato su tutti la voce "Non eseguire disconnessione da Administration Server", solo che di alcuni non ho controllo, nel senso che i pulsanti per avviare e stoppare le attività restano disabilitati.

Questo, secondo me, comporta il fatto che alcuni di questi client risultano perennemente in uno stato di "attenzione" a causa della "scansione non eseguita per molto tempo" (di cui avevo parlato in un precedente post), pur essendoci anche una pianificazione indipendente per la "scansione rapida".

E' un problema che può essere risolto con qualche impostazione?

 

Share this post


Link to post

ciao,

hai verificato che il Net Agent presente su queste macchine sia in esecuzione e si colleghi\sincronizzi correttamente con il KSC Server?

M

Share this post


Link to post

I client remoti sono 21

p.s. il problema si manifesta random. Alcune volte riesco a controllarli, altre no.

Il problema costante, invece, è quello della segnalazione di mancata scansione

Share this post


Link to post

il Net Agent è 10.5? Ogni quanto il Net Agent si sincronizza con il server?
Se non hai il controllo dell'host remoto (pulsanti play e stop in grigio) vuol dire che la 15000UDP remota non è disponibile. Se tutto funziona come dovrebbe, con il Do not disconnect abilitato, alla prima sincronizzazione la connessione client-to-server dovrebbe rimanere attiva fintanto che non interviene qualche evento che la fa cadere. Prova a verificare che, dopo aver effettuato una sincronizzazione la macchina sia effettivamente gestibile dalla console.
Lo stato di "scansione non eseguita da tanto tempo" è riscontrabile anche localmente sulla macchina remota? Sei sicuro che il task si completi?

M

Share this post


Link to post

Oltre a quello che ha segnalato Mastropizza, ti avverto che il NA permette un massimo di 20 connessioni contemporanee (il resto viene gestito con delle code), quindi usarne 21 costantemente stabilite porterà inevitabilmente a qualche malfunzionamento. Per la questione della scansione non eseguita da molto tempo, controlla quanto indicato da Mastropizza, poi vai sul client e apri l'utility KLCNSGTGUI come amministratore (è nella cartella di installazione del Network Agent) e vedi cosa ti segnala come ultima connessione al server (last access) e ultima scansione eseguita (last full scan).

 

A disposizione.

Share this post


Link to post

Riepiloghiamo.

Il NetAgent è la ver. 10.5.1781 (come KSC), il KES è 11.0.0.6499, sync ogni 15 minuti. Porta UDP 15000 aperta nel FW, però che ci sia o meno la spunta da "non eseguire disconnessione", in molti casi le attività non risultano controllabili (ma questo potrebbe essere un problema di code come dice SHaZer). Sulla macchina che sto esaminando, adesso le attività sono controllabili (per ora).

Sul pc, il registro eventi locale mi segnala la scansione completata ieri, ma lanciando l'utility KLCNSGTGUI mi dice che l'ultima scansione completa risale addirittura a luglio 2018! Domanda da 1 milione di €: ma se io creo un'attività "Scansione" (con i parametri standard, quindi di fatto controlla processi attivi, memoria e dischi locali) dal centro di controllo, non viene considerata scansione completa?

 

Share this post


Link to post
On 1/3/2019 at 12:27 PM, fcsistemi said:

ma se io creo un'attività "Scansione" (con i parametri standard, quindi di fatto controlla processi attivi, memoria e dischi locali) dal centro di controllo, non viene considerata scansione completa?

Per praticità, il set MINIMO di elementi da scansionare per considerare "completa" una scansione sono questi:

  • Running processes and startup objects
  • Kernel memory
  • Disk boot sectors
  • %systemroot%\ (non includere sotto cartelle)
  • %systemroot%\system\ (non includere sotto cartelle)
  • %systemroot%\system32\ (non includere sotto cartelle)
  • %systemroot%\system32\drivers\ (non includere sotto cartelle)
  • %systemroot%\syswow64\ (non includere sotto cartelle)
  • %systemroot%\syswow64\drivers\ (non includere sotto cartelle)

Creane una esattamente come questa, falla eseguire e dicci come va.

Share this post


Link to post

Attualmente la scansione periodica è impostata per scansionare:

 

Memoria del kernel

Processi in esecuzione e oggetti di avvio

Settori di avvio del disco

Tutte le unità rimovibili

Tutti i dischi rigidi

 

Più completa di così... eppure ogni 2x3 ho questa segnalazione

Share this post


Link to post

purtroppo devi provare ad aprire ticket per la problematica della scansione perché non saprei cosa altro suggerirti e molto probabilmente sarà necessario fare prove più approfondite.

Se l'utility KLCNSGTGUI non ti segnala una scansione più recente nonostante negli eventi risulti completata senza errori, è evidente che ci sono problemi e vanno analizzati.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.