2024年1月12日发(作者:)
目录
1
2
DLP系统检查 ....................................................................................................................... 2
DLP系统监控 ....................................................................................................................... 6
2.1
服务监控 ....................................................................................................................... 6
2.2
性能监控 ....................................................................................................................... 6
3
DLP系统维护 ....................................................................................................................... 7
3.1
ENDPOINT服务器的停止、重新启动 .......................................................................... 7
3.2
配置事件计数器............................................................................................................. 9
3.3
日志文件 ..................................................................................................................... 11
4
DLP系统常见问题处理 ...................................................................................................... 13
4.1
DLP客户端常见问题 ................................................................................................... 13
4.1.1
客户端主要进程有哪些 .................................................................................. 13
4.1.2
如何卸载客户端 ............................................................................................. 13
4.1.3
如何检查DLP客户端是否连接服务器 ........................................................... 13
4.1.4
客户端安装日志收集方法 .............................................................................. 13
4.1.5
DLP客户端支持哪些操作系统 ....................................................................... 13
4.1.6
为何安装了DLP客户端后,我的C盘(系统盘)剩余空间很快用完了 ............................................................................................................... 14
4.1.7
DLP客户端为何连接不到Endpoint Server ................................................... 14
4.1.8
客户端安装出现进度条回滚 ........................................................................... 14
4.1.9
客户端安装时,CMD窗口一闪就消失了,并提示Windows
Installer存在问题 ................................................................................................. 14
4.1.10
客户端程序安装结束后发现没有服务和进程 .......................... 15
4.1.11
EDPA服务器无法启动,提示16398 0X4005错误 .................................. 15
4.2
DLP服务器常见问题 ................................................................................................... 15
4.2.1
搭建管理服务器时,执行命令报错或不成功 ................................................. 15
4.2.2
使用EM登入到数据库发现表空间占用接近100% ....................................... 15
4.2.3
升级服务器的过程中出现文件被锁定的错误提示 .......................................... 15
4.2.4
使用sqlplus连接数据发现数据库用户被锁 ................................................... 15
4.2.5
管理服务器控制台中发现生成的事件没有关联到域属性信息 ........................ 16
1 DLP系统检查
1、 DataInsight系统服务器主机检查:
1) 步骤:本地运行mstsc,输入IP,输入用户名和密码
检查项1:能否正常登录服务器
2)步骤:开始-----运行-----输入:
检查项2:检查服务Datainsight相关服务是否开启
DataInsightComm
DataInsightConfig
DataInsightFpolicy
DataInsightWeb
此部分的Datainsight服务可利用现有的监控平台对应用程序运行状态进行监控。
3)步骤:双击桌面程序“Symantec Data Insight Console”------输入用户名和密码
检查项3:能否正常登录控制台
4)步骤:登录控制台,进入“Settings”,依次查看并检查如下信息
检查项4:DataInsight系统基本状态
点击“Settings”->“ System Overview”
检查项5:DataInsight最近一次扫描状态
点击“Settings”->“ Scanning”->“Scan Status”,查看最近一次的全量扫描和增量扫描是否成功
检查项6:Datainsight当前的Index状态
点击“Settings”->“Filers”,找到文件服务器,在“Select Action”下拉框中选择“View”
在新出现的界面中点击“Monitored Shares”,查看当前的Index状态是否正常
检查项7:DataInsight
点击“Settings”->“Data Insight Servers”,在“Select Action”下拉框中选择“View”
在新出现的界面中点击“Services”,查看当前的服务(除DataInsightCelerra外)状态是否正常
2 DLP系统监控
为确保DLP系统稳定运行,对于有监控平台的用户,可将DLP加入监控:
2.1
服务监控
数据库服务:
OracleOraDb11g_home1TNSListener
OracleServicePROTECT
Vontu服务:
Vontu Update
Vontu Incident Persister
Vontu Manager
Vontu Monitor
Vontu Monitor Controller
Vontu Notifier
2.2
性能监控
监控项目
CPU
内存
硬盘
参数阀值
<90%
<90%
>15%的可用空间
<100
<1
physicaldisk% disk time
physicaldiskAvg. Disk Queue Length
3 DLP系统维护
3.1 ENDPOINT服务器的停止、重新启动
DLP系统中,ENDPOINT 服务器的管理由ENFORCE服务器来完成,以上服务器在安装完成后,依据相关需求注册到ENFORCE服务器上,对于以上服务器的管理,包括运行状态,服务的停止、重启等,可直接在ENFORCE服务器界面来完成操作,以ENDPOINT服务器为例,如下图所示,点击选定的ENDPOINT服务器,
选择重新启动按钮后,在弹出的对话框中选择“确定”按钮,ENDPOINT服务器的服务开始重启,在等待大约2分钟左右后,服务状态显示正在运行,表明服务重启成功,如下图所示服务重启过程中的变化,此过程可点击界面右上角的刷新按钮,刷新当前状态:
一:重新启动服务
状态一:正在关闭
状态二:正在启动,
状态三:正常启动
二、停止服务
点击停止按钮,如下图所示:
在等待大约1分钟后,状态显示如下,表明服务正常停止:
如果需要重新将服务启动,则点击开始按钮。
3.2
配置事件计数器
如果 Symantec Data Loss Prevention 识别出有违反策略的新事件发生,它会在Enforce Server 使用的 Oracle 数据库中创建并保存这些事件。该数据库中存储的事件数目会随着时间而增加,并且可能影响事件报告的性能。为了在事件数目增加到过大时通知管理员,Symantec Data Loss Prevention 每天会运行一次“事件计数器”进程,并在事件数目超出可配置的阈值时生成一个系统事件。事件数目不包括存档的事件。
如果事件数目超出阈值,事件计数器会生成事件代码 2316。可以在 Enforce Server管理控制台的“服务器”>“事件”页面中查看此事件。
配置事件计数器步骤:
1 在 Enforce Server 主机上,使用文本编辑器打开以下文
件:ties(其中 DLPHome
是 Symantec Data Loss Prevention 的安装目录的名称。)
2 设置下表中所述的参数以配置事件计数器。
属性 说明
ntCo设置为 True 可d 启用“事件计数器”
任务。
默认值:True。
ntCo触发系统事件的_incident_count 事件数目。
默认值:1000000。
注意:如果事件数目超过
1,000,000,报告性能通常会降低。
不过,报告性能也取决于多种其他
因素。如果在事件数目超出阈值之
前,性能就已经降低,请减小阈
值。
tics在 Vontu
. Manager 服务启动之后而
“事件计数器”任务运行之前间隔
的毫秒数。
默认情况下,会省略此参数。此参
数仅用于测试目的,除非另有原
因,否则不要在“事件计数器”任
务运行时更改此参数。
如果省略此参数,事件计数器会在
每天淩晨 2:05 运行。
tics事件计数器在两. 次调用该任务之间
所要等待的毫秒数。
默认情况下,会省略此参数。此参
数仅用于测试目的,除非另有原
因,否则不要在“事件计数器”任
务运行时更改此参数。
如果您需要使用两个可选参数中的一个参数,您必须添加它们。
3 保存文件。
4 重新启动 Vontu Manager 服务。
3.3
日志文件
Symantec Data Loss Prevention 提供了许多不同的记录软件行为信息的日志文件。日志文件分成以下类别:
操作日志文件记录有关软件执行的任务及在软件执行这些任务时发生的任何错误的详细信息。Enforce Server 和检测服务器将操作日志文件存储在 SymantecDLPProtectlogs目录中
调试日志文件记录有关构成 Symantec Data Loss Prevention
的单独进程或软件组件的细粒度技术详细信息。Enforce Server
和检测服务器将调试日志文件存储在
SymantecDLPProtectlogs目录中
安装日志文件记录有关在特定计算机上执行的 Symantec Data
Loss Prevention安装任务的信息。您可以使用这些日志文件验证安装或排除安装错误。安装日志文件位于下列位置:
存储
Symantec
Data Loss Prevention 的安装日志;installdiroracle_homeadminprotect存储 Oracle 的安装日志
4 DLP系统常见问题处理
4.1 DLP客户端常见问题
4.1.1
客户端主要进程有哪些
答:如果采用默认安装,DLP客户端主要有以下两个进程
➢
DLP客户端的主要进程,负责执行敏感数据的保护
➢
DLP守护进程,主要负责监听是否处于活动状态,当被停止后,立即将其启动。
4.1.2
如何卸载客户端
答:DLP客户端的卸载可以通过执行文件,选择“Remove”选项进行删除
4.1.3
如何检查DLP客户端是否连接服务器
答:在客户端计算机中打开命令行界面,执行以下命令:
netstat –-an
默认情况下客户端会和服务器的8000端口建立连接,当连接状态为“ESTABLISHED”客户端即和服务器处于“联机”状态
4.1.4
客户端安装日志收集方法
答:
1. 使用CMD窗口进入客户端程序所在目录
2. 执行命令
msiexec /I /L*v dlp_install_log生成安装日志文件
4.1.5 DLP客户端支持哪些操作系统
答:DLP客户端支持以下Windows平台的操作系统:win7(32位,64位),xp sp3
4.1.6
为何安装了DLP客户端后,我的C盘(系统盘)剩余空间很快用完了
答:请先查看C:Program FilesManufacturerEndpoint Agent文件夹是否过大,若不是该文件夹较大,则和DLP客户端无关,需确认其他程序问题;如该文件夹较大您可以查看C:Program
FilesManufacturerEndpoint Agenttemp文件是否增多。如果存在些问题,在您下次接入公司网络,并连接到DLP服务器后,客户端和服务器同步事件后,这些文件会自动被清除。
4.1.7 DLP客户端为何连接不到Endpoint Server
答:如果连接不到Endpoint Server请参照以下方法进行排除:
1. 检查客户端进程和服务器进程是否在运行
2. 终端计算机是否刚启动
如果终端计算机刚启动,可能会因为DLP客户端进程已启动,而网络连接并不畅通,造成DLP客户端连接不到Endpoint
Server,请等待10分钟DLP客户端会自动重新连接Endpoint
Server。
3. 客户端DNS是否能解析到Endpoint Server 的域名;
将DNS更新,尝试ping通Endpoint Server 的域名即可确认DNS是否存在问题;
4. 如果可以正常解析域名,查看客户端是否与Endpoint Server的8000端口正常通讯
可以在终端计算机中打开Dos窗口,运行以下命令测试终端计算机是否能够和Endpoint Server 8000端口通信:
telnet endpointserver_IP 8000
5. 终端计算机防病毒程序是否将DLP客户端禁用
如果终端计算机防病毒程序误将DLP客户端进程认为是“危险”进程,将其禁用。请在防病毒程序中将其“排除”
4.1.8
客户端安装出现进度条回滚
答:
1. 删除
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestdifd105注册表,然后安装;
2. 确认是否已存在Manufacture文件夹,手动删除该文件夹并重新安装;
3. 如果还出现此问题请参照2.4,收集安装日志。
4.1.9
客户端安装时,CMD窗口一闪就消失了,并提示Windows Installer存在问题
答:
1. 确认Windows Installer程序已安全,并未被其他程序调用;
2. 确认Windows Installer服务正常启动,如未启动,手动开启Windows Installer服务,尝试安装。
4.1.10
客户端程序安装结束后发现没有服务和进程
答:
1. 确认安装的磁盘空间是否已满;
2. 确认是否安装目录是否存在Manufacture文件夹;
3. 如存在文件夹,请重启计算机,并再次确认是否正常,如不存在文件夹,拷贝一份正常客户端的文件夹,用DLP卸载工具卸载一遍后请再试使用MSI安装包重新安装;
4. 确认是否运行了一些扫描杀毒工具,例如360软件,将客户端程序的某些驱动阻止加载;完全退出杀毒工具,并点击MSI安装包,选择Repair进行修复
4.1.11 EDPA服务器无法启动,提示16398 0X4005错误
答: 确认客户端程序的安装目录是否被修改,将客户端程序的安装目录还原到原始路径后,重新启动服务。
4.2 DLP服务器常见问题
4.2.1
搭建管理服务器时,执行命令报错或不成功
答:确认执行的命令末端包含分号(“;”),确认手册中需要设置的环境变量设置成功,查看手册验证执行的命令无误,重新设置环境变量
4.2.2
使用EM登入到数据库发现表空间占用接近100%
答:这是正常现象,因为在设置表空间初始大小的时候设置的比较小,表空间自动按设置的增量扩大,如果该现象会影响其他工作检测,可根据方案中的手册将表空间的初始大小调大,或者添加表空间文件
4.2.3
升级服务器的过程中出现文件被锁定的错误提示
答:
1. 回退整个升级过程(点击取消),注销控制台
2. 卸载趋势,重启计算机,
3. 停止vontu相关的6个服务,
4. 删除或重命名
* 文件
5. 重新启动服务。登入控制台,重新升级。
4.2.4
使用sqlplus连接数据发现数据库用户被锁
答:使用数据库解锁命令解锁:
进入cmd,输入命令:sqlplus/nolog
SQL>alter user protect account unlock;
SQL>commit;
4.2.5
管理服务器控制台中发现生成的事件没有关联到域属性信息
答:
1. 确认该事件的用户为域用户;(administrator用户以及everyone用户忽略该问题)
2. 查看事件快照,点击查找看是否能关联到域属性信息;如能关联上,请在 系统-事件数据-属性选项中点击“重新加载自定义查找插件”按钮;如果不能关联上,请根据提示操作:
3. 如提示“自定义查找属性失败”,请根据方案重新配置管理服务器与AD域服务器的联动;
4. 如提示“自定义查找属性成功”请确认在AD域中该用户的信息是否完整填充;
5. 确认给管理服务器分配的AD域信息查询账户是否过期,如已过期,管理服务器无法登入到域服务器查询域属性信息,请参照手册重新配置账户加密凭证
发布评论