安全 : Cisco AMP Threat Grid - Appliances

诊断数据的集从一FireAMP连接器运行的在Windows

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2016 年 4 月 21 日) | 反馈

简介

本文描述步骤生成从FireAMP连接器的诊断文件。如果遇到一个技术问题用在Microsoft Windows运行的FireAMP连接器,思科技术支持工程师也许要分析日志消息可用在诊断文件。

贡献用Nazmul Rajib和养育Lipkey, Cisco TAC工程师。

生成诊断文件

从属在Windows版本,定位对FireAMP连接器支持诊断工具也许不同的。在多数Windows操作系统中,您去Start菜单为了查找FireAMP连接器支持诊断工具。例如:

开始>所有Programs> FireAMP连接器>支持诊断工具

注意:如果有用户帐户的Run窗口控制,请点击为了允许工具运行。

支持诊断工具在桌面创建在7z格式的一个压缩文件并且保存它。这是诊断文件的文件名的示例在桌面的:

Sourcefire_Support_Tool_2016_01_15_10_44_11.7z

或者,您能运行此可执行文件作为管理员:

C:\Program Files\Sourcefire\fireAMP\X.X.X\ipsupporttool.exe

调试模式

调试模式的能力提升计划在FireAMP连接器的提供另外的冗余给记录日志,准许更多见解到问题用连接器。此部分描述如何启动在FireAMP连接器的调试模式。

警告:调试模式,只有当思科技术支持工程师请求此数据,应该启用。启用最长时间的调试模式非常迅速填满磁盘空间并且也许防止支持诊断文件采集连接器日志盘日志由于额外的文件大小。

在您运行在调试模式后的支持诊断工具,其它数据在这些文件存储:

  • sfc.exe.log
  • iptray.exe.log

这些文件在fireAMP文件夹存储查找在Program Files目录下。在本例中, 3.x.x是在主机安装的FireAMP连接器的版本。

在x86平台中:

C:\Program Files (x86)\Sourcefire\fireAMP\3.x.x

在x64平台中:

C:\Program Files\Sourcefire\fireAMP\3.x.x

Enable (event)调试模式

步骤 1:登录FireAMP控制台。

步骤 2:选择Management>策略

步骤 3:找出应用到终端设备或计算机的策略并且点击“Copy”。

步骤 4:在您点击“Copy”后,与复制的策略的FireAMP控制台更新。

步骤5:Click编辑然后单击管理功能

步骤 6:对于盘日志级别连接器日志级别,请从下拉列表选择调试

步骤 7:点击更新策略为了保存更改。

步骤 8:在您更新策略后,您在您要生成调试信息的终端设备需要应用此。

无法启动调试模式

由于连通性问题,如果无法适用于策略FireAMP连接器您无法启动调试模式。在那种情况下,您能下载policy.xml文件和配置FireAMP连接器使用您的已修改策略。遵从这些说明FireAMP网云是否无法用FireAMP连接器通信:

步骤 1:选择Management>策略

步骤 2:找出复制的策略并且点击命名为了显示策略摘要

步骤 3:点击下载策略XML文件然后保存文件到您的计算机。

步骤 4:打开Start > Run的services.msc

步骤 5:找出FireAMP连接器服务并且点击终止

步骤 6:点击开始>计算机,然后导航到这些目录之一根据计算机体系结构:

在x86平台中:

C:\Program Files (x86)\Sourcefire\fireAMP

在x64平台中:

C:\Program Files\Sourcefire\fireAMP

步骤 7:寻找文件policy.xml,并且重命名文件对policy.xml.old。

步骤 8:搬入下载的policy.xml目录然后单击Services窗口的Startthe服务。FireAMP连接器当前是调试模式和日志其他诊断数据。

为了禁用调试模式,请执行步骤5至步骤8,取消对policy.xml.old的更改,并且重新启动FireAMP连接器。



Document ID: 118228