Symantec DLP数据防泄漏系统运维操作手册.docx
- 文档编号:24650941
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:15
- 大小:1,009.46KB
Symantec DLP数据防泄漏系统运维操作手册.docx
《Symantec DLP数据防泄漏系统运维操作手册.docx》由会员分享,可在线阅读,更多相关《Symantec DLP数据防泄漏系统运维操作手册.docx(15页珍藏版)》请在冰豆网上搜索。
SymantecDLP数据防泄漏系统运维操作手册
1DLP系统检查
1、DataInsight系统服务器主机检查:
1)步骤:
本地运行mstsc,输入IP,输入用户名和密码
检查项1:
能否正常登录服务器
2)步骤:
开始-----运行-----输入:
service.msc
检查项2:
检查服务Datainsight相关服务是否开启
DataInsightComm
DataInsightConfig
DataInsightFpolicy
DataInsightWeb
此部分的Datainsight服务可利用现有的监控平台对应用程序运行状态进行监控。
3)步骤:
双击桌面程序“SymantecDataInsightConsole”------输入用户名和密码
检查项3:
能否正常登录控制台
4)步骤:
登录控制台,进入“Settings”,依次查看并检查如下信息
检查项4:
DataInsight系统基本状态
点击“Settings”->“SystemOverview”
检查项5:
DataInsight最近一次扫描状态
点击“Settings”->“Scanning”->“ScanStatus”,查看最近一次的全量扫描和增量扫描是否成功
检查项6:
Datainsight当前的Index状态
点击“Settings”->“Filers”,找到文件服务器,在“SelectAction”下拉框中选择“View”
在新出现的界面中点击“MonitoredShares”,查看当前的Index状态是否正常
检查项7:
DataInsight
点击“Settings”->“DataInsightServers”,在“SelectAction”下拉框中选择“View”
在新出现的界面中点击“Services”,查看当前的服务(除DataInsightCelerra外)状态是否正常
2DLP系统监控
为确保DLP系统稳定运行,对于有监控平台的用户,可将DLP加入监控:
2.1服务监控
数据库服务:
OracleOraDb11g_home1TNSListener
OracleServicePROTECT
Vontu服务:
VontuUpdate
VontuIncidentPersister
VontuManager
VontuMonitor
VontuMonitorController
VontuNotifier
2.2性能监控
监控项目
参数阀值
CPU
<90%
内存
<90%
硬盘
>15%的可用空间
\physicaldisk\%disktime
<100
\physicaldisk\Avg.DiskQueueLength
<1
3DLP系统维护
3.1ENDPOINT服务器的停止、重新启动
DLP系统中,ENDPOINT服务器的管理由ENFORCE服务器来完成,以上服务器在安装完成后,依据相关需求注册到ENFORCE服务器上,对于以上服务器的管理,包括运行状态,服务的停止、重启等,可直接在ENFORCE服务器界面来完成操作,以ENDPOINT服务器为例,如下图所示,点击选定的ENDPOINT服务器,
选择重新启动按钮后,在弹出的对话框中选择“确定”按钮,ENDPOINT服务器的服务开始重启,在等待大约2分钟左右后,服务状态显示正在运行,表明服务重启成功,如下图所示服务重启过程中的变化,此过程可点击界面右上角的刷新按钮,刷新当前状态:
一:
重新启动服务
状态一:
正在关闭
状态二:
正在启动,
状态三:
正常启动
二、停止服务
点击停止按钮,如下图所示:
在等待大约1分钟后,状态显示如下,表明服务正常停止:
如果需要重新将服务启动,则点击开始按钮。
3.2配置事件计数器
如果SymantecDataLossPrevention识别出有违反策略的新事件发生,它会在EnforceServer使用的Oracle数据库中创建并保存这些事件。
该数据库中存储的事件数目会随着时间而增加,并且可能影响事件报告的性能。
为了在事件数目增加到过大时通知管理员,SymantecDataLossPrevention每天会运行一次“事件计数器”进程,并在事件数目超出可配置的阈值时生成一个系统事件。
事件数目不包括存档的事件。
如果事件数目超出阈值,事件计数器会生成事件代码2316。
可以在EnforceServer管理控制台的“服务器”>“事件”页面中查看此事件。
配置事件计数器步骤:
1在EnforceServer主机上,使用文本编辑器打开以下文件:
DLPHome\Protect\config\Manager.properties(其中DLPHome是SymantecDataLossPrevention的安装目录的名称。
)
2设置下表中所述的参数以配置事件计数器。
属性
说明
com.vontu.manager.system.IncidentCounter.enabled
设置为True可启用“事件计数器”
任务。
默认值:
True。
com.vontu.manager.system.IncidentCounter.max_incident_count
触发系统事件的事件数目。
默认值:
1000000。
注意:
如果事件数目超过
1,000,000,报告性能通常会降低。
不过,报告性能也取决于多种其他
因素。
如果在事件数目超出阈值之
前,性能就已经降低,请减小阈
值。
com.vontu.manager.system.statistics.IncidentCounter.delay
在VontuManager服务启动之后而
“事件计数器”任务运行之前间隔
的毫秒数。
默认情况下,会省略此参数。
此参
数仅用于测试目的,除非另有原
因,否则不要在“事件计数器”任
务运行时更改此参数。
如果省略此参数,事件计数器会在
每天淩晨2:
05运行。
com.vontu.manager.system.statistics.IncidentCounter.period
事件计数器在两次调用该任务之间
所要等待的毫秒数。
默认情况下,会省略此参数。
此参
数仅用于测试目的,除非另有原
因,否则不要在“事件计数器”任
务运行时更改此参数。
如果您需要使用两个可选参数中的一个参数,您必须添加它们。
3保存文件。
4重新启动VontuManager服务。
3.3日志文件
SymantecDataLossPrevention提供了许多不同的记录软件行为信息的日志文件。
日志文件分成以下类别:
⏹操作日志文件记录有关软件执行的任务及在软件执行这些任务时发生的任何错误的详细信息。
EnforceServer和检测服务器将操作日志文件存储在\SymantecDLP\Protect\logs\目录中
⏹调试日志文件记录有关构成SymantecDataLossPrevention的单独进程或软件组件的细粒度技术详细信息。
EnforceServer和检测服务器将调试日志文件存储在\SymantecDLP\Protect\logs\目录中
⏹安装日志文件记录有关在特定计算机上执行的SymantecDataLossPrevention安装任务的信息。
您可以使用这些日志文件验证安装或排除安装错误。
安装日志文件位于下列位置:
installdir\SymantecDLP\.install4j\installation.log存储Symantec
DataLossPrevention的安装日志;installdir\oracle_home\admin\protect\存储Oracle的安装日志
4DLP系统常见问题处理
4.1DLP客户端常见问题
4.1.1客户端主要进程有哪些
答:
如果采用默认安装,DLP客户端主要有以下两个进程
ØEDPA.exe
DLP客户端的主要进程,负责执行敏感数据的保护
ØWDP.exe
DLP守护进程,主要负责监听EDPA.exe是否处于活动状态,当EDPA.exe被停止后,立即将其启动。
4.1.2如何卸载客户端
答:
DLP客户端的卸载可以通过执行AgentInstall.msi文件,选择“Remove”选项进行删除
4.1.3如何检查DLP客户端是否连接服务器
答:
在客户端计算机中打开命令行界面,执行以下命令:
netstat–-an
默认情况下客户端会和服务器的8000端口建立连接,当连接状态为“ESTABLISHED”客户端即和服务器处于“联机”状态
4.1.4客户端安装日志收集方法
答:
1.使用CMD窗口进入客户端程序所在目录
2.执行命令
msiexec/IAgentInstall.msi/L*vdlp_install_log生成安装日志文件
4.1.5DLP客户端支持哪些操作系统
答:
DLP客户端支持以下Windows平台的操作系统:
win7(32位,64位),xpsp3
4.1.6为何安装了DLP客户端后,我的C盘(系统盘)剩余空间很快用完了
答:
请先查看C:
\ProgramFiles\Manufacturer\EndpointAgent文件夹是否过大,若不是该文件夹较大,则和DLP客户端无关,需确认其他程序问题;如该文件夹较大您可以查看C:
\ProgramFiles\Manufacturer\EndpointAgent\temp文件是否增多。
如果存在些问题,在您下次接入公司网络,并连接到DLP服务器后,客户端和服务器同步事件后,这些文件会自动被清除。
4.1.7DLP客户端为何连接不到EndpointServer
答:
如果连接不到EndpointServer请参照以下方法进行排除:
1.检查客户端进程和服务器进程是否在运行
2.终端计算机是否刚启动
如果终端计算机刚启动,可能会因为DLP客户端进程已启动,而网络连接并不畅通,造成DLP客户端连接不到EndpointServer,请等待10分钟DLP客户端会自动重新连接EndpointServer。
3.客户端DNS是否能解析到EndpointServer的域名;
将DNS更新,尝试ping通EndpointServer的域名即可确认DNS是否存在问题;
4.如果可以正常解析域名,查看客户端是否与EndpointServer的8000端口正常通讯
可以在终端计算机中打开Dos窗口,运行以下命令测试终端计算机是否能够和EndpointServer8000端口通信:
telnetendpointserver_IP8000
5.终端计算机防病毒程序是否将DLP客户端禁用
如果终端计算机防病毒程序误将DLP客户端进程认为是“危险”进程,将其禁用。
请在防病毒程序中将其“排除”
4.1.8客户端安装出现进度条回滚
答:
1.删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdifd105注册表,然后安装;
2.确认是否已存在Manufacture文件夹,手动删除该文件夹并重新安装;
3.如果还出现此问题请参照2.4,收集安装日志。
4.1.9客户端安装时,CMD窗口一闪就消失了,并提示WindowsInstaller存在问题
答:
1.确认WindowsInstaller程序已安全,并未被其他程序调用;
2.确认WindowsInstaller服务正常启动,如未启动,手动开启WindowsInstaller服务,尝试安装。
4.1.10客户端程序安装结束后发现没有EDPA.EXE服务和进程
答:
1.确认安装的磁盘空间是否已满;
2.确认是否安装目录是否存在Manufacture文件夹;
3.如存在文件夹,请重启计算机,并再次确认是否正常,如不存在文件夹,拷贝一份正常客户端的文件夹,用DLP卸载工具卸载一遍后请再试使用MSI安装包重新安装;
4.确认是否运行了一些扫描杀毒工具,例如360软件,将客户端程序的某些驱动阻止加载;完全退出杀毒工具,并点击MSI安装包,选择Repair进行修复
4.1.11EDPA服务器无法启动,提示163980X4005错误
答:
确认客户端程序的安装目录是否被修改,将客户端程序的安装目录还原到原始路径后,重新启动服务。
4.2DLP服务器常见问题
4.2.1搭建管理服务器时,执行命令报错或不成功
答:
确认执行的命令末端包含分号(“;”),确认手册中需要设置的环境变量设置成功,查看手册验证执行的命令无误,重新设置环境变量
4.2.2使用EM登入到数据库发现表空间占用接近100%
答:
这是正常现象,因为在设置表空间初始大小的时候设置的比较小,表空间自动按设置的增量扩大,如果该现象会影响其他工作检测,可根据方案中的手册将表空间的初始大小调大,或者添加表空间文件
4.2.3升级服务器的过程中出现文件被锁定的错误提示
答:
1.回退整个升级过程(点击取消),注销控制台
2.卸载趋势,重启计算机,
3.停止vontu相关的6个服务,
4.删除或重命名
*\Vontu\Protect\lib\native\msvcr71.dll文件
5.重新启动服务。
登入控制台,重新升级。
4.2.4使用sqlplus连接数据发现数据库用户被锁
答:
使用数据库解锁命令解锁:
进入cmd,输入命令:
sqlplus/nolog
SQL>alteruserprotectaccountunlock;
SQL>commit;
4.2.5管理服务器控制台中发现生成的事件没有关联到域属性信息
答:
1.确认该事件的用户为域用户;(administrator用户以及everyone用户忽略该问题)
2.查看事件快照,点击查找看是否能关联到域属性信息;如能关联上,请在系统-事件数据-属性选项中点击“重新加载自定义查找插件”按钮;如果不能关联上,请根据提示操作:
3.如提示“自定义查找属性失败”,请根据方案重新配置管理服务器与AD域服务器的联动;
4.如提示“自定义查找属性成功”请确认在AD域中该用户的信息是否完整填充;
5.确认给管理服务器分配的AD域信息查询账户是否过期,如已过期,管理服务器无法登入到域服务器查询域属性信息,请参照手册重新配置账户加密凭证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Symantec DLP数据防泄漏系统运维操作手册 DLP 数据 泄漏 系统 操作手册