SymantecDLP数据防泄漏系统运维操作手册Word下载.docx
《SymantecDLP数据防泄漏系统运维操作手册Word下载.docx》由会员分享,可在线阅读,更多相关《SymantecDLP数据防泄漏系统运维操作手册Word下载.docx(21页珍藏版)》请在冰点文库上搜索。
iSvrte«
AioJcadg
C6F<
«
rBr•vxrCrwdtnliaL,皿
小于动率其保瑞
文.・己启动自动吴
包孝功左姓需缢
争用革炼济
力于动车期前
送己学上劭/学巴
加•.B6=i)自动*庭研
2’已再哄本港筠
防日即自动下嫁以
以已助R动主麻折
Lm小1
•%J
--
lujflJcrvwbocdLracbwP;
U已氏助esZJi晶妙》*但
IG5.41*ix4<
vRo.«
c«
rS«
s«
:
<
内4”《r*2..已后功自功主Ui系试
aitCPClQz力己国)自动车师*
TellerSsrince诊..自动便..史妙有公
TH^v^ctio£
sf..手动本村都另
4班7*2>
6匚6,川5Hvat..手动室处系咕
二加*OefraEBenter舞手仙塞也茶结
3)步骤:
双击桌面程序“SymantecDataInsightConsole”输入用户名和密码
检查项3:
能否正常登录控制台
-|g|x|
lainInsichl-lindovsInteract.£
xplorex
3▼|区E・.“二;
;
du."
tcloudvoy.con/~三]“证书皆是
腐检夹|台芭建祺磷亶网页快讯库〜
6,叩皿匕gcDat*Insight
*▼国▼.怎。
天面叩-安全(SA工具(0),❷,
III能[,可信站点I在护程式:
禁用,&
艮io.•工
q开始IU日一I后一二二一二二HB
4)步骤:
登录控制台,进入“Settings”,依次查看并检查如下信息
扫描是否成功
检查项6:
Datainsight当前的Index状态
点击“SeHings”->
“Filers”,找到文件服务器,在"
SelectAction"
下拉框中选择“View”
在新出现的界面中点击“MonitoredShares”,查看当前的Index状态是否正常
检查项7:
Datainsight
点击“Settings”->
uDataInsightServersM,在uSelectActionv下拉框中选择“View”
在新出现的界面中点击“Services"
查看当前的服务(除DatalnsightCelerra外)状态是否正常
为确保DLP系统稳定运行,对于有监控平台的用户,可将DLP加入监控:
2.1服务监控
数据库服务:
Orac1eOraDb11g_home1TNSListener
Orac1eServicePROTECT
Vontu服务:
VontuUpdate
VontuIncidentPersister
VontuManager
VontuMonitor
VontuMonitorController
VontuNotifier
2.2性能监控
监控项目
参数阀值
CPU
90%
内存
硬盘
>
15%的可用空间
\physicaldisk\%disktime
100
\physicaldisk\Avg.DiskQueueLength
1
3.1ENDPOINT服务器的停止、重新启动
DLP系统中,ENDPOINT服务器的管理由ENFORCE服务器来完成,以上服务器在安装完成后,依据相关需求注册到ENFORCE服务器上,对于以上服务器的管理,包括运行状态,服务的停止、重启等,可直接在ENFORCE服务器界面来完成操作,以ENDPOINT服务器为例,如下图所示,点击选定的ENDPOINT服务器,_
SymantecD.)t—“■A4mwuaveux】'
创穿玄日
耳♦门X疑
不烧养*RA♦”中■附尸30♦K・2maMime
m&
I闻%a”1
vm代次■我i就有代・•
Cr^tM—2fl.rv・“♦”!
(拿)
ew*
n>
穴・
■5
BK.I4”
W5iW-0W»
€«
2u>
not
ue
e♦R6・
!
»
■
C®
U
CM
例・“。
u
twciir
teanv
务
e
VO
in代・
€*•
tit«
・
M
a«
ra
RIEK4。
XX*Xll»
aaCST
ev
iese.hc.ae
wc^m
2神・
kx.0b.n・
M&
t)3
ah•午附切1814・皿知己的
•&
11-4-24BOX
磔।牛&
%i8i«
为<
A她好m
也//a©
14S/rNQyt*iy”/Buut”>
,al.49"
vUsU«
utsI0)y・?
。
BTfXUA
选择重新启动按钮后,在弹出的对话框中选择“确定”按钮,ENDPOINT服务器的服务开始重启,在等待大约2分钟左右后,服务状态显示正在运行,表明服务重启成功,如下图所示服务重启过程中的变化,此过程可点击界面右上角的刷新按钮,刷新当前状态:
一:
重新启动服务状态一:
正在关闭
—tw系5指*欢・•憎❸a用户修,
Nn*»
Mia■鼻基118。
&
J5I船4M因UgedJt1.
YM8•
Cr«
dk>
CMWW»
ar
代,・♦1a<
1代。
・eMM,代・
Ml
3XI48
▲
WJkM^^WlK
1<
*■
ut
L
wa・
♦E,
€PWM.
VW
UM
1Z・
■OMV
力
■d
,化・
5・
,Z・
ft:
n
am«
((
3«
B*V
ue//itia*«
ar<
ir
,/1・・■皎yr・“XIA■”・9・
1«
IDK
・erj“jre
■»
.»
**«
a夕.o・・
*态三:
壬在启动]
SymantecDataLossPrevention
M*a»
»
■鼻拳口3^
区】41imtw1MAW]
S.*TK*»
C**S*・.
•*•WSJWOOWB
二》■•"
“,・46】
6J・*・3>
一・角e,0
■»
*»
m
多<
Man
■■■BUM
川U・Dynn-H"
巽"
lte*
rxeicn优/•\xeKif.06,
■“jtd女wa"
一$&
•
代用•争i陆有代W-—
eawircw
e・a<
E・•代・
代・
■a,”■
€1,■»
rr我♦上,*srH»
*40or
■■■icr工上«
BiGne)uttf®
wn»
nir运金aatti•〜AM4U
1”・7・IJL年1681202・mum
r翕m**i6
t”Q29Jt午11:
251202年巾长・<
y
♦】
会«
X>
t•”•t
状态三:
正常启动
?
VySymantocD«
M。
L。
,,Prav^ntlan
・•・・<
•|1
A
J:
W
w»
ai1,
裁*亲
*u»
w%«
-aM
•Itm
心■"
・勘■・
3^」2»
」肥%.®
nK\cjL
V8
SM
••
“■■・I以府代内。
CrwAM^iJ・3QWaf<
X量*>
me-
“KhX
・■
2片XMQ30
ze-
y«
«
K^JUUfc)
evwaw
l>
lc・
O«
J・M・
,・,!
rw«
,3。
vna«
■士■
imn«
rr
am
・A
Q-oa
XM13JKS・・
Bfi
■■■
ICBC."
2_・0
•WCVA
a«
1OC."
LT・
■4C,・・
f9。
■ntrrtgnrre・rt।■
nu,“:
♦
t8,—上
・1♦
♦n«
RcMwy
t1-4-247*,6:
制
1014
♦RURcw/y
'
•一f
ll・4HTFF"
1614
•EUR已改存
Acarot&
it
二、停止服务
点击停止按钮,如下图所示:
SymantecDataLossP*rev»
ntlon
盗守守
tra事"
g
・务9代sr
设■9i
用尸tta
Mtf■"
HQ,,・
Y8
■*lotJQQQ4)000
m
OH
忙腰・・iM•代・•CAMA,■■
escns
euino
-N0«
.
6IffC・
/,♦>
M«
34trrwx/ah-csv
W»
€•«
:
,©
•・,
Knorri、,《*(・
MiHMMiWffvnvniis学量Avnw*c
I11*A上1014
11-4-24l»
14-KCKNfie?
伸
£
EotH.e
在等待大约1分钟后,状态显示如下,表明服务正常停止:
如果需要重新将服务启动,则点击开始按钮。
32配置事件计数器
如果SymantecDataLossPrevention识别出有违反策略的新事件发生,它会在EnforceServer使用的Oracle数据库中创建并保存这些事件。
该数据库中存储的事件数目会随着时间而增加,并且可能影响事件报告的性能。
为了在事件数目增加到过大时通知管理员,SymantecDataLossPrevention每天会运行一次“事件计数器”进程,并在事件数目超出可配置的阈值时生成一个系统事件。
事件数目不包括存档的事件。
如果事件数目超出阈值,事件计数器会生成事件代码2316O可以在EnforceServer管理控制台的“服务器”〉“事件”页面中查看此事件。
配置事件计数器步骤:
1在EnforceServer主机上,使用文本编辑器打开以下文
件:
DLPHome\Protect\config\Manager.properties(其中DLPHome是SymantecDataLossPrevention的安装目录的名称。
)
2设置下表中所述的参数以配置事件计数器。
属性
说明
com.vontu.manager.system.IncidentCounter.enabled
设置为True可启用“事件计数器”任务。
默认值:
True。
com.vontu.manager,system.IncidentCounter.max_incident_count
触发系统事件的事件数目。
默认值:
1000000o注意:
如果事件数目超过
1,000,000,报告性能通常会降低。
不过,报告性能也取决于多种其他因素。
如果在事件数目超出阈值之前,性能就已经降低,请减小阈值。
com.vontu.manager,system.statistics.IncidentCounter.delay
在Vontu
Manager服务启动之后而
“事件计数器”任务运行之前间隔的毫秒数。
默认情况下,会省略此参数。
此参数仅用于测试目的,除非另有原因,否则不要在“事件计数器”任务运行时更改此参数。
如果省略此参数,♦件计数器会在
每天凌晨2:
05运行。
com.vontu.manager.system.statistics.IncidentCounter.period
事件计数器在两次调用该任务之间所要等待的毫秒数。
此参数仅用于测试目的,除非另有原因,否则不要在“事件计数器”任务运行时更改此参数。
如果您需要使用两个可选参数中的一个参数,您必须添加它们。
3保存文件。
4重新启动VontuManager服务。
3.3日志文件
SymantecDataLossPrevention提供了许多不同的记录软件行为信息的日志文件。
日志文件分成以下类别:
■操作日志文件记录有关软件执行的任务及在软件执行这些任务时发生的任何错误的详细信息。
EnforceServer和检测服务器将操作日志文件存储在\SymantecDLP\Protect\logs\目录中
■调试日志文件记录有关构成SymantecDataLossPrevention的单独进程或软件组件的细粒度技术详细信息。
EnforceServer和检测服务器将调试日志文件存储在
\SymantecDLP\Protect\logs\目录中
■安装日志文件记录有关在特定计算机上执行的SymantecDataLossPrevention安装任务的信息。
您可以使用这些日志文件验证安装或排除安装错误。
安装日志文件位于下列位置:
installdir\SymantecDLP\.install4j\installation.log存储
Symantec
DataLossPrevention的安装日志;
installdir\oracle_home\admin\prolecl\存储Oracle的安装日志
4.1OLP客户端常见问题
4.1.1客户端主要进程有哪些
答:
如果采用默认安装,DLP客户端主要有以下两个进程
EDPA.exe
DLP客户端的主要进程,负责执行敏感数据的保护
WDP.exe
DLP守护进程,主要负责监听EDPA.exe是否处于活动状态,当
EDPA.exe被停止后,立即将其启动。
4.1.2如何卸载客户端
DLP客户端的卸载可以通过执行Agentinstall,msi文件,选择"
Remove"
选项进行删除
4.1.3如何检查DLP客户端是否连接服务器答:
在客户端计算机中打开命令行界面,执行以下命令:
netstat--an
默认情况下客户端会和服务器的8000端口建立连接,当连接状态为"
ESTABLISHED"
客户端即和服务器处于“联机”状态
TCP192-148.2.32-1398.0.0.0=0LISTENING
TOPI192l168-2,32=2470128.64.108.86:
8000ESTfiBLISHED
TCP192716872.32:
2532T28.64.191-238:
8目80——"
CLOSE-WAIT
TCP192.1G8.2.32:
2783128.64.191.238:
8080ESTABLISHED
UDP0.0.0.9:
445«
4.1.4客户端安装日志收集方法答:
1.使用CMD窗口进入客户端程序所在目录
2.执行命令
msiexec/IAgentinstall,msi/L*vdlp_install_log生成安装日志文件
4.1.5DLP客户端支持哪些操作系统
DLP客户端支持以下Windows平台的操作系统:
win7(32位,
64位),xpsp3
4.1.6为何安装了DLP客户端后,我的C盘(系统盘)剩余空间很快用完了
请先查看C:
\ProgramFiles\Manufacturer\EndpointAgent%件夹是否过大,若不是该文件夹较大,则和DLP客户端无关,需确认其他程序问题;
如该文件夹较大您可以查看C:
\ProgramFiles\Manufacturer\EndpointAgent\temp文件是否增多。
如果存在些问题,在您下次接入公司网络,并连接到DLP服务器后,客户端和服务器同步事件后,这些文件会自动被清除。
4.1.7DLP客户端为何连接不到EndpointServer
如果连接不到EndpointServer请参照以下方法进行排除:
1.检查客户端进程和服务器进程是否在运行
2.终端计算机是否刚启动
如果终端计算机刚启动,可能会因为DLP客户端进程已启动,而网络连接并不畅通,造成DLP客户端连接不到EndpointServer,请等待10分钟DLP客户端会自动重新连接EndpointServero
3.客户端DNS是否能解析到EndpointServer的域名;
将DNS更新,尝试ping通EndpointServer的域名即可确认DNS是否存在问题;
4.如果可以正常解析域名,查看客户端是否与EndpointServer的8000端口正常通讯
可以在终端计算机中打开Dos窗口,运行以下命令测试终端计算机是否能够和EndpointServer8000端口通信:
telnetendpointserver_IP8000
5.终端计算机防病毒程序是否将DLP客户端禁用
如果终端计算机防病毒程序误将DLP客户端进程认为是“危险”进程,将其禁用。
请在防病毒程序中将其“排除”
4.1.8客户端安装出现进度条回滚
1.删除
HKEY_LOCALJ!
ACHINE\SYSTEM\CurrentControlSet\Services\tdifdl05注册表,然后安装;
2.确认是否已存在Manufacture文件夹,手动删除该文件夹并重新安装;
3.如果还出现此问题请参照2.4,收集安装日志。
4.1.9客户端安装时,CMD窗口一闪就消失了,并提示WindowsInstaller存在问题
答:
1.确认WindowsInstaller程序已安全,并未被其他程序调用;
2.确认WindowsInstaller服务正常启动,如未启动,手动开启WindowsInstaller服务,尝试安装。
4.1.10客户端程序安装结束后发现没有EDPA.EXE服务和进程
1.确认安装的磁盘空间是否已满;
2.确认是否安装目录是否存在Manufacture文件夹;
3.如存在文件夹,请重启计算机,并再次确认是否正常,如不存在文件夹,拷贝一份正常客户端的文件夹,用DLP卸载工具卸载一遍后请再试使用MSI安装包重新安装;
4.确认是否运行了一些扫描杀毒工具,例如360软件,将客户端程序的某些驱动阻止加载;
完全退出杀毒工具,并点击MSI安装包,选择Repair进行修复
5.1.11EDPA服务㈱无法启动,提示163980X4005错误
确认客户端程序的安装目录是否被修改,将客户端程序的安装目录还原到原始路径后,重新启动服务。
4.2OLP服务器常见问题
4.2.1搭建管理服务器时,执行命令报错或不成功
确认执行的命令末端包含分号(“;
”),确认手册中需要设置的环境变量设置成功,查看手册验证执行的命令无误,重新设置环境变量
4.2.2使用EM登入到数据库发现表空间占用接近100%
这是正常现象,因为在设置表空间初始大小的时候设置的比较小,表空间自动按设置的增量扩大,如果该现象会影响其他工作检测,可根据方案中的手册将表空间的初始大小调大,或者添加表空间文件
4.2.3升级服务器的过程中出现文件被锁定的错误提示
1.回退整个升级过程(点击取消),注销控制台
2.卸载趋势,重启计算机,
3.停止vontu相关的6个服务,
4.删除或重命名
*\Vontu\Protect\lib\native\msvcr71.dll文件
5.重新启动服务。
登入控制台,重新升级。
4.2.4使用sqlp/us连接数据发现数据库用户被锁
使用数据库解锁命令解锁:
进入cmd,输入命令:
sqlplus/nolog
SQL>
alteruserprotectaccountunlock;
commit;
4.2.5管理服务器控制台中发现生成的事件没有关联到域属性信息