問題
在 SEPM 上修改策略後,某些組無法獲取新的策略,並且客戶端的病毒定義也無法獲取更新。
環境
SEP11
原因
被破壞的策略導致 SEPM 在編譯組策略和更新文件信息失敗,導致編譯中斷。
解決方案
可以通過以下方法來定位受損的客戶端組:
1. 開啓 SEPM 的 debug
編輯 :\\Program Files\Symantec\Symantec Endpoint Protection\tomcat\etc下的conf.properties 文件,並在最後添加一行 scm.log.loglevel = finest,然後保存退出。
2. 重啓 SEPM 的服務
3. 在一段時間後,或者可以嘗試在一段時間內修改策略來觸發服務器進行編譯。每一次編譯都是從My company 組開始,我們可以通過查看 My Company 組的策略序列號的前四位,然後在到:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\ 下找到前四位相同的文件夾,該文件夾的名稱就是 My Company的組 ID,然後在日誌PackagePublisherTask-0.log 中過濾 My Company 組的 ID 信息,如以下樣本。
SEPM 每次都是從組 CF4CA5B8A5CA348201B249AE4E1A2F98 開始編譯,最後一個組爲051E4F56A9FE9D9601B340DA66D77060
4. 如果在第三步中發現被編譯組的數量比實際的組要少,那麼就需要找到最後一個編譯的組名。在知道最後一個組的組 ID 是 051E4F56A9FE9D9601B340DA66D77060 後,可以在:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\下找到跟這個組同名的文件夾{051E4F56A9FE9D9601B340DA66D77060.ZH_CN} ,然後用 IE 打開文件 profile.xml,可以從這個文件中獲取到相對應的組的名稱。
5. 在 SEPM 上創建新的策略文件,將該組的所有策略替換。
From Symantec
專家點評
本來剛開始看這個題目挺有興趣的,但是最後發現是策略損壞造成的SEPM也客戶通信異常,而且解決方法還是新建策略。我認爲如果根據客戶端異常進行統計來判斷哪個組有問題實際上更方便,而且分組多了用以上方法的話查找PackagePublisherTask-0.log時一定會死人。我測試時短短幾分鐘日誌就達到了400多K。