EPSecLib 从 ESXi 主机 NSX 客户机侦测平台主机代理 (MUX) 中接收事件。
日志路径和示例消息
EPSecLib 日志路径 |
---|
/var/log/syslog |
EPSecLib 消息采用以下格式:<timestamp> <VM Name><Process Name><[PID]>: <message>
在下面的示例中,[ERROR] 是消息类型,(EPSEC) 表示使用 NSX 客户机侦测平台的任何功能特定的消息。
例如:
Oct 17 14:26:00 endpoint-virtual-machine EPSecTester[7203]: [NOTICE] (EPSEC) [7203] Initializing EPSec library build: build-00000 Oct 17 14:37:41 endpoint-virtual-machine EPSecSample: [ERROR] (EPSEC) [7533] Event terminated reading file. Ex: VFileGuestEventTerminated@tid=7533: Event id: 3554.
收集日志
要为 EPSec 库(使用
NSX 客户机侦测平台的任何服务中的组件)启用调试日志记录,请执行以下操作:
- 与防病毒安全供应商或 NSX 恶意软件防护安全供应商合作以启用对 SVM 的控制台或 SSH 访问。按照合作伙伴提供的说明启用控制台或 SSH 访问。
- 从 NSX Manager 中获取控制台密码以登录到 EPP 或 NSX 恶意软件防护 SVM。
-
创建 /etc/epseclib.conf 文件并添加:
ENABLE_DEBUG=TRUE
ENABLE_SUPPORT=TRUE
可在 (RHEL/SLES/CentOS) /var/log/messages 或 (Ubuntu) /var/log/syslog 中找到调试日志。由于调试设置可能会导致 /var/log 文件填满,因此请在收集了您需要的所有信息之后立即禁用调试模式。
- 运行 chmod 644 /etc/epseclib.conf 命令以更改权限。
- 与防病毒合作伙伴或 NSX 恶意软件防护合作伙伴合作以提取为 SVM 生成的日志。
- 对于 NSX 恶意软件防护,请配置安全 Hub 虚拟机以启用 EPSecLib。