Где symantec хранит логи
Такое ощущение, что никто не пользовался этим продуктом.
Неужели это так и есть?
100мб - Это основной процесс, + порядка 60-80мб дополнительные (при полной установке, а не одного клиента) памяти он столько жрать не может.
Если не проходит сканирования по требованию или обновления он потребляет около 24 мб.
Проверяли на работе при развертывании в тестовой лаборатории.
Кто скажет как у него файервол на пробиваемость. Если кто тестил, то дайте свои отзывы.
кто юзает даный продукт подскажите скоко весит ежедневный апдейт ?
По разному, от 40-50 кило до 400 и более(?) кило. Антивирус обновляется 1 раз в сутки стабильно, фаер вроде как 1(?) раз в неделю. Что до превинтивной защиты, то фиг его знает :quest::).
Памяти жрет порядка 100 мб.
100мб - Это основной процесс, + порядка 60-80мб дополнительные (при полной установке, а не одного клиента)
памяти он столько жрать не может.
Если не проходит сканирования по требованию или обновления он потребляет около 24 мб.
Проверяли на работе при развертывании в тестовой лаборатории.
Полностью согласен, где-то в пределах 20-28!
Подскажите пожалуйста, может кто сталкивался.
Установил SEPM Build 11.0.776.942 на XP PRO SP2.
Правила в фаерволе выключил, точнее создал самым первым в списке правило для своей локалки - всем всё можно, т.к. в инет стоит прокси-север.
Установил 5 клиентов на XP PRO SP2.
В целом всё работает как надо, но чтобы ускорить работу с 1С 7.7. решил внести в глобальные исключения путь к северу 1С, включая все подпапки (например, вот так:
\\Север1С\2007\).
Не срабатывает.
Если указывать путь к локальным папкам, типа C:\Crack\ то срабатывает.
Не понимаю, это глюк или недонастройка?
Мапить диски и указывать в глобальных исключениях пути к ним не вариант. Т.к. кроме ускорения 1С, часто возникает необходимость доступа к серверу в локальной сети за кряками (они же вирусы для SEPа) в шарах, соотвественно доступ к файлу блокируется.
Доброе время суток!
Народ подскажите кто сталкиваля :
Скачал обновления для Symantec Endpoint Protection 11.0 20071201-002-v5i32.exe December 01, 2007 December 1, 2007 18.57 MB
MD5: EE2FA041ABAE7DBD1147B1485C67B3A7 all MD5 hashes
Доброе время суток!
Народ подскажите кто сталкиваля :
Скачал обновления для Symantec Endpoint Protection 11.0 20071201-002-v5i32.exe December 01, 2007 December 1, 2007 18.57 MB
MD5: EE2FA041ABAE7DBD1147B1485C67B3A7 all MD5 hashes
Там (в перечне обновлений) написано как скачать и обновить через эту систему.
Относительно обновлений превентивной и сетевой защиты, я отдельных обновлений не видел.
Поставил, неделю помучился, рубит терминальных пользователей, ресурсов жрет много. Вернулся к связке Kerio + KAV.
Добавлено через 11 минут
памяти он столько жрать не может.
Если не проходит сканирования по требованию или обновления он потребляет около 24 мб.
Проверяли на работе при развертывании в тестовой лаборатории.
Попробуй развернуть серверную часть и установить клиентов на машинах в сети (хотя бы 3-4-х). И скажи каков получился результат.
Как то раз попробовал установить - зависло, а после загрузки больше не хочет устанавливаться - говорит не произошли измения и все тут((Удалил уже все знакчения в реестре и папки и файлы и спец прогой пользовался - ничего не помогло - пришлось перейти на ESS. А чтобы разблокировать локалку, (кроме создания правила на разрешения всего в фаерволе) кто-нибудь знает другой способ? А то терзают сомения, что это правильный способ.
Windows XP Pro CE SP3RC, Система практически чистая.
Устанавливаем SEP Client v11.0.1000.1375 EN в режме "Full", перегружаемся.
Смотрим, изучаем.
Удаляем через Add/Remove Programs, перегружаемся.
Итого:
Настроенные ранее VPN соединения отсутствуют.
При попытке создать новое VPN соединение наблюдаем в Network Connection Wizard на стадии выбора Dial-Up/VPN - всё залочено (серое).
Кроме того, после удаления SEPP в Списке протоколв/служб (Свойства любого сетевого подключения) остаётся "Teefer2 Driver", сносим, но результата это не меняет.
Повторная установка и удаление Symantec'овским инсталятором результата не меняет.
Зато при повторной установке все потерянные VPN соединения чудесным образом воскресают вместе с сохранёнными паролями.
Да, конечно можно отследить тем же InCntrl'ом, чего он там в реестре меняет при установке/удалении, можно потом руками это всё выпрямить, но это же не дело, так вот грубо. А какие ещё могут глюки позже всплыть?
Удалять его кто-нибудь пробовал? Проверьте мои симптомы?
не смог найти, как разрешить доступ в интернет только избранным приложениям. есть такая возможность?Ой, нашел конечно. стормозил, извиняемся :oops: ..вот так (может кому пригодится):
-На боковой панели клиента выберите Состояние.
-В разделе "Защита от угроз из сети" выберите Параметры > Настроить правила брандмауэра.
-В окне "Настроить правила брандмауэра" нажмите кнопку Добавить.
Ну и создаем одно правило, запрещающее доступ всем (без указания приложения - то есть для всех), и правила разрешающие тем, кому можно. Правила на разрешение должны стоять выше..
В итоге: "запрещено все, что не разрешено" А в каком статусе Radmin у endpointa по дефолту, кто знает ?:cool:
Операционка Windows Vista устаовлена буквально дня три назад.
Была проблема: при отлючении от сети комп напрочь отказывался подключаться к интернету. Выдавал ошибку 800 или 734.
Подключался только после перезагрузки.
Проблема была в установленном антивирус + фаервол Symantec Endpoint Protection (только клиент) 11.0.780.1109.
Ковыряния в настройках и временные отключения ничего не дали.
Тем не мене антивирусник очень хороший, ну нравится он мне :-)
Решение: при установке программного обеспечения антивирус был установлен до создания VPN-подключений.
Вылечилось деинсталляцией антивируса, перезагрузка по требованию, а затем повторная инсталляция.
Избежать этой проблемы можно если сначала создать VPN-подключение и только потом устанавливать ативирус.
P.S.: Вдруг у кого-то тоже возникнет такая проблема и данная инфа окажется полезной.
Приношу свои извинения, если Вы зря потратили свое время на прочтение этой информации.
:oops:
Возможно причина была в настройке фаервола? OperatorPC, если по дефолту устанавливалось, какие там настройки..) Кто-нибудь пробовал заставить на серваке работать с Apache? Возможности нет разносить на разные серверы IIS и Apache Пользуюсь уже около 2 недель . На работе компа ни как не сказывается , правда , Атлон 5200 стоит , да пару кило оперативки =) Вобщем , антивирусник достойный.
А никто не знает, что значит приписка "MR2" после номера версии в названии программы (например, "Symantec Endpoint Protection 11.0.2000.1567 MR2") ? Спасибо!
Помогите решить проблему обновления SEP с 11.0.1000.1375 MR1 до Build 11.0.2000.1567 MR2.Сервер обновился без проблем. Но вот клиенты не обновляются, а ключевое обновление MR2, это пожирание меньше системных ресурсов.
Пожалуйста подскажите: в чем отличие полной версии Symantec Endpoint Protection от клиента Symantec Endpoint Protection??
Спасибо - gbudnikov за ответ.
подскажите пожалуйста, есть ли возможность настроить так, чтоб при осмотре ничего не удалялось, а помещалось в изолятор? в чем отличие полной версии Symantec Endpoint Protection от клиента Symantec Endpoint Protection? в двух словах - централизованным управлением, т. е. Вы можете на сколько угодно машин поставить только клиента, но при объединении их в сеть возникает (по логике вещей) потребность в Администраторе, который отвечает за состояние сетки. Полный SEP, как раз, предоставляет возможность удаленного управления клиентами.lok_d, так по умалчанию, он перемещает в изолятор
Добавлено через 1 минуту
MPOINT, плюс в полной есть контроль сетевого трафика
Может кто подскажет?
На сервере стоит Symantec Antivirus Corporate, хочу перейти на Symantec Endpoint Protection Rus MR2 MP2
есть двухдисковая версия
Symantec_Endpoint_Protection_11.0.2020_MR2_MP2_All Win_RU_CD1.zip - 389.75 MB
Symantec_Endpoint_Protection_11.0.2020_MR2_MP2_All Win_RU_CD2.zip - 154.41 MB
Собственно вопросы: Можно ли обновиться или предется ставить с нуля? И полная ли это версия?
lok_d, так по умалчанию, он перемещает в изолятор
не всегда. зачастую просто удаляет.
1) Говорят что SEP отлично удаляет аутораноские файлы и прочую нечесть, но как правельно настроить, вроде все настроил по максимуму, а все ранво как то не активно ловит. Начинает себя более менее себя пероявлять если показывать скрытые файлы. есть ли возможность настроить как например в касперском что бы при вставлянии флешки если она заражена аутораноским вирусом что бы он его сразу отлавливал?
2) И как обновлять если машина не подключина к инету. Интеледжент апдейт проходит только для защиты от вирусов и программ шпионов, больше не обновляет, а есть ли способ обновлять полность весь SEP? SEP сильно грузит систему во время загрузки, у меня с ним Винда минуты на 2 дольше грузится Подскажите пожалуйста, SEP делает запрос на исключение или автоматом перемещает в изолятор? Установил последнюю версию Endpoint 11..0.2020.56 RUS из менеджера обновился базы на 21 октября (вирусная, превентивная) и 15 октября (сетевых угроз)
Ставлю клиента. Все вроде нормально, через минуты 2 происходит обновление баз на клиенте. Система пишет, что неполадок не обнаружено, однако, через какой то промежуток времени превентивная защита угроз переходит в состояние ВЫКЛ. и ждет обновления.
Что за нафиг? Подскажите в каком направлении копать?
такая же фигня. с неделю примерно. временами зеленет, но чаще вот так:
такая же фигня. с неделю примерно. временами зеленет, но чаще вот так.
У меня такое было раньше - надолго. Думаю если нечасто обновлять такое возможно. В последний раз пару дней красным повисело, потом обновилось и позеленело. Не парьтес - прога все равно работает по полной.
Но обновления, которые я обычно качаю (для клиентов без интернета) не встали на этот продукт. Лог пишет: Fri Dec 19 15:05:04 2008 : IU failed while deploying V because a compatible product could not be found on the system. Please make sure that a compatible Symantec product is installed on the system.
Короче, продукт, подходящий под это обновление, не найден. Подождем пару дней. Или выйдет другая версия или в обновления чего-нибудь добавят. Попробуйте, жду отзывов - получилось у кого-нибудь обновиться или нет.
Обновился сегодня файлом "20081224-002-v5i32.exe" без проблем. Может Вам попробовать извлечь файлы из exe-контейнера и скопировать их в папку с базами? На моей OS Vista 32-bit путь к базам такой: C:\Users\All Users\Symantec\Definitions\VirusDefs\ + посмотрите, что пишется в логе "Log.IntelligentUpdater", который должен находиться в папке "Temp". Как мне кажется, надо удалять клиента, вычищать реестр и ставить заново. Сдается, что Ваша проблема - единична; что стояло на ПК до SEP Client Version 11.0.4000.2295? Что-то в реестре ведь сидит, раз апдейтер к нему цепляется.
При попытке восстановить, восстанавливает и тут же глушит снова в изолятор. Можно ли файл из изолятора поместить в исключения?отключите файловый монитор, восстановите файлы из карантина. Для того, чтобы добавить их в исключения, откройте главное окно > Centralized Exceptions > Configure Settings > Add и выбирайте, что необходимо добавить: файл, папку, расширение.
где находится Изолятор в который эта бука SEP помещает файлы
А сам карантин (изолятор) вот он, доступ к нему так же из главного окна программы:
Проблема решилась путем удаления и повторной установки. На втором компе встал без проблем.
georgy_n - спасибо!! А разъясните мне, кто может, какая принципиальная разница между endpoint protection и Norton Internet Security? разница - небо и земля. Другой антивирусный движок, другая эвристика, другой интерфейс, другие пакеты кумулятивных обновлений, другое отношение к лицензии :). SEP - наш выбор. А NIS выпускают на компашках с драйверами к новым ПК с ограничением в 90 дней. Делайте выводы. другое отношение к лицензии А можно об этом по подробнее. Сам сейчас сижу на связке: Win 2003 server enterprise R2 SP2 + Symantec Endpoint Protection 11, консоль управления и пока 1 клиент. Установил, развернул, и всё замечательно обновляется, и работает без проблем. Но тут в организации встал вопрос о лецензировании програмного обеспечения. Я краем уха слышал что этот продукт не требует лицензирования. Тоесть скачал, установил, настроил и пользуйся себе на здоровье. А если Аудит!, то на все каверзные вопросы аудитора касающиеся Антивиря просто отвечаешь что "данный продукт не требует лицензирования". Так ли это? Если это не так то подскажите пожалуйста, где взять лицензии на 1 сервак и 45 машин? Сколько всё это добро будет стоить в казахстане? Заранее благодарен за скорейшие ответы. vovanj4, точно знаю, что создатели SEP предусмотрели, что их продукт всё-таки будут покупать :).
Прямо в клиенте можно нажать Help, кажется так, и посмотреть как приобрести продукт. Но если этого не сделать, аудиторы точно не похвалят. Просто сам SEP не нуждается в каких бы то ни было ключах, серийниках и регистраций на сервере издателя, чтобы работать в полную силу без ограничений.
Спасибо за понимание.
Возможностей настолько тонкой настройки (по опыту работы с SEP) не предусмотрено.
А можно об этом по подробнее. Сам сейчас сижу на связке: Win 2003 server enterprise R2 SP2 + Symantec Endpoint Protection 11, консоль управления и пока 1 клиент. Установил, развернул, и всё замечательно обновляется, и работает без проблем. Но тут в организации встал вопрос о лецензировании програмного обеспечения. Я краем уха слышал что этот продукт не требует лицензирования. Тоесть скачал, установил, настроил и пользуйся себе на здоровье. А если Аудит!, то на все каверзные вопросы аудитора касающиеся Антивиря просто отвечаешь что "данный продукт не требует лицензирования". Так ли это? Если это не так то подскажите пожалуйста, где взять лицензии на 1 сервак и 45 машин? Сколько всё это добро будет стоить в казахстане? Заранее благодарен за скорейшие ответы.
На сколько я владею информацией сервер и клиенты лицензирования не требуют, лицензировать необходимо только консоль управления, но возможно я неправ.
Приветствую всех! Я работаю системным инженером в компании «Онланта». На одном из наших проектов я занимался внедрением и сопровождением Elastic Stack. Мы прошли путь от сбора логов фактически вручную до централизованного, автоматизированного процесса. Вот уже два года мы практически не меняем архитектуру решения и планируем использовать удобный инструмент в других проектах. Нашей историей его внедрения, а также некоторыми сильными и слабыми сторонами делюсь с вами в этом посте.
Источник
В начале 2016 года логи у наших администраторов и разработчиков были, что называется, «на кончиках пальцев», то есть инженер для работы с ними подключался с помощью SSH к хосту, где располагался интересующий его сервис, расчехлял универсальный набор из tail/grep/sed/awk и надеялся, что нужные данные удастся найти именно на этом хосте.
Был у нас и отдельный сервер, куда по NFS монтировались все каталоги с логами со всех серверов, и который иногда надолго задумывался от того, что на нем делали с логами все желающие. Ну а tmux с несколькими панелями c запущенным tail на какие-нибудь активно обновляющиеся логи выглядел для сторонних наблюдателей весьма впечатляюще на большом мониторе и создавал волнительную атмосферу причастности к таинствам продакшена.
Всё это даже работало, но ровно до тех пор, пока не требовалось быстро обработать большой объем данных, а требовалось это чаще всего в моменты, когда в проде уже что-нибудь свалилось.
Иногда на расследование инцидентов требовалось совсем уж неприличное время. Его значительная часть уходила на ручную агрегацию логов, запуск костылей разнообразных скриптов на Bash и Python, ожидание выгрузки логов куда-нибудь для анализа и т.п.
Словом, всё это было весьма медленно, навевало уныние и недвусмысленно намекало на то, что пора бы озаботиться централизованным хранением логов.
Если честно, никакого сложного процесса отбора кандидатов на роль технологического стека, который бы нам это обеспечил, тогда не было: связка ELK на тот момент уже была популярна, обладала хорошей документацией, в интернете по всем компонентам имелось большое количество статей. Решение было незамедлительным: нужно пробовать.
Самую первую инсталляцию стека сделали после просмотра вебинара «Logstash: 0-60 in 60» на трёх виртуальных машинах, на каждой из которых запустили по экземпляру Elasticsearch, Logstash и Kibana.
Дальше мы столкнулись с некоторыми проблемами с доставкой логов с конечных хостов на серверы Logstash. Дело в том, что в то время Filebeat (штатное решение стека для доставки логов из текстовых файлов) гораздо хуже работал с большими и быстро обновляемыми файлами, регулярно протекал в RAM и в нашем случае в целом не справлялся со своей задачей.
К этому добавлялась необходимость найти способ доставлять логи серверов приложений с машин под управлением IBM AIX: основная часть приложений у нас тогда запускалась в WebSphere Application Server, работавшем именно под этой ОС. Filebeat написан на Go, более-менее работоспособного компилятора Go для AIX в 2016 году не существовало, а использовать Logstash в качестве агента для доставки очень не хотелось.
Мы протестировали несколько агентов для доставки логов: Filebeat, logstash-forwarder-java, log-courier, python-beaver и NXLog. От агентов мы ожидали высокой производительности, низкого потребления системных ресурсов, легкой интеграции с Logstash и возможности выполнять базовые манипуляции с данными силами агента (например, сборку многострочных событий).
Про сборку многострочных (multiline) событий стоит сказать отдельно. Эффективно ее можно выполнять только на стороне агента, который читает конкретный файл. Несмотря на то, что Logstash когда-то имел multiline-фильтр, а сейчас обладает multiline-кодеком, все наши попытки совместить балансировку событий по нескольким серверам Logstash с обработкой multiline на них же провалились. Такая конфигурация делает эффективную балансировку событий практически невозможной, поэтому для нас чуть ли не самым важным фактором при выборе агентов была поддержка multiline.
Победители распределились так: log-courier для машин с Linux, NXLog для машин с AIX. С такой конфигурацией мы и прожили почти год без особых проблем: логи доставлялись, агенты не падали (ну почти), все были довольны.
В октябре 2016 года была выпущена пятая версия компонентов Elastic Stack, в том числе и Beats 5.0. В этой версии над всеми агентами Beats была проделана большая работа, и мы смогли заменить log-courier (у которого к тому времени обнаружились свои проблемы) на Filebeat, который мы и используем до сих пор.
К этому моменту работа наших инженеров с логами стала гораздо проще: теперь не нужно было знать, на какой сервер идти, чтобы посмотреть интересующий тебя лог, обмен найденной информацией упростился до простой передачи ссылки на Kibana в чатах или почте, а отчеты, которые раньше строились за несколько часов, стали создаваться за несколько секунд. Нельзя сказать, что это был просто вопрос комфорта: изменения мы заметили и в качестве нашей работы, в количестве и качестве закрытых задач, в скорости реагирования на проблемы на наших стендах.
В какой-то момент мы начали использовать утилиту ElastAlert от компании Yelp для рассылки алертов инженерам. А потом подумали: почему бы не интегрировать ее с нашим Zabbix, чтобы все алерты имели стандартный формат и отправлялись централизованно? Решение нашлось довольно быстро: ElastAlert позволяет вместо отправки, собственно, оповещений выполнять любые команды, что мы и использовали.
Сейчас наши правила ElastAlert при срабатывании выполняют bash-скрипт на несколько строк, которому в аргументах передают необходимые данные из события, вызвавшего срабатывание правила, а из скрипта, в свою очередь, вызывается zabbix_sender, который и отправляет данные в Zabbix для нужного узла.
Так как вся информация о том, кто и где сгенерировал событие, в Elasticsearch всегда есть, никаких сложностей с интеграцией не возникло. Например, у нас и раньше существовал механизм автоматического обнаружения серверов приложений WAS, а в событиях, которые они генерируют, всегда записывается имя сервера, кластера, ячейки и т.д. Это позволило нам использовать в правилах ElastAlert опцию query_key, чтобы условия правил обрабатывались для каждого сервера отдельно. Скрипту с zabbix_sender затем уходят точные «координаты» сервера и данные отправляются в Zabbix для соответствующего узла.
Еще одно решение, которое нам очень нравится и которое стало возможным благодаря централизованному сбору логов, – это скрипт для автоматического заведения тасков в JIRA: раз в сутки он выгребает все ошибки из логов и, если по ним еще нет тасков, заводит их. При этом из разных индексов по уникальному ID запроса в таск подтягивается вся информация, которая может пригодиться при расследовании. В результате получается эдакая стандартная заготовка с необходимым минимумом информации, которую потом инженеры могут дополнять при необходимости.
Разумеется, перед нами вставал вопрос мониторинга самого стека. Частично это реализовано с помощью Zabbix, частично с помощью все того же ElastAlert, а основные performance-метрики по Elasticsearch, Logstash и Kibana мы получаем с помощью штатного мониторинга, встроенного в стек (компонент Monitoring в X-Pack). Также на самих серверах с сервисами стека у нас установлена netdata от Firehol. Она бывает полезна, когда нужно посмотреть, что происходит с конкретной нодой прямо сейчас, в реальном времени и с высоким разрешением.
Когда-то в ней была немного поломан модуль для мониторинга Elasticsearch, мы это обнаружили, починили, добавили всяких полезных метрик и сделали пулл-реквест. Так что теперь netdata умеет мониторить последние версии Elasticsearch, включая базовые метрики JVM, показатели производительности индексации, поиска, статистику по логу транзакций, сегментам индексов и так далее. Netdata нам нравится, и нам приятно, что мы смогли сделать небольшой вклад в неё.
Сегодня, спустя почти три года, наш Elastic Stack выглядит примерно таким образом:
Инженеры работают со стеком тремя основными способами:
- просмотр и анализ логов и метрик в Kibana;
- дашборды в Grafana и Kibana;
- прямые запросы к Elasticsearch с использованием SQL или встроенного query DSL.
Всего у нас в составе Elastic Stack сейчас трудятся 13 виртуальных машин: 4 машины под «горячие» ноды Elasticsearch, 4 – под «тёплые», 4 машины с Logstash и одна машина-балансировщик. На каждой горячей ноде Elasticsearch запущено по экземпляру Kibana. Так сложилось с самого начала, и пока что у нас не было необходимости перемещать Kibana на отдельные машины.
А вот решение вынести Logstash на отдельные машины оказалось, наверное, одним из самых правильных и результативных за время эксплуатации стека: высокая конкуренция за процессорное время между JVM Elasticsearch и Logstash приводила к не очень приятным спецэффектам во время всплесков нагрузки. Больше всех страдали сборщики мусора.
Мы храним в кластере данные за последние 30 дней: сейчас это около 12 млрд. событий. В сутки «горячие» ноды записывают на диск 400-500ГБ новых данных с максимальной степенью сжатия (включая данные шардов-реплик). Наш кластер Elasticsearch имеет архитектуру hot/warm, но перешли мы на неё сравнительно недавно, поэтому на «тёплых» нодах пока что хранится меньше данных, чем на «горячих».
Наша типичная нагрузка для рабочего времени:
- индексация – в среднем 13000 rps с пиками до 30000 (без учета индексации в шарды-реплики);
- поиск – 5200 rps.
За время, прошедшее с запуска первого кластера, мы успели для себя определить некоторые положительные и отрицательные стороны Elastic Stack как средства агрегации логов и поисково-аналитической платформы.
Symantec Endpoint Protection - мощный программный защитный комплекс корпоративного уровня. Обеспечивает усиленную защиту от всех типов атак для физических и виртуальных систем.
Symantec Endpoint Protection доступен для ОС:
- Windows
- Windows Server
- Windows Embedded
- MacOS
- Linux
Защита Symantec Endpoint Protection основана на пяти основных направлениях:
- возраст файла
- происхождение
- путь файлв
- местонахождение файла
Symantec Endpoint Protection использует технологии Insight, которая позволяет ему на раннем этапе и с большей точностью обнаруживать неизвестные угрозы, по сравнению с решениями, реализующими проверку сигнатур или анализ поведения.
Установка и администрирование Symantec Endpoint Protection.
Защитный комплекс Symantec Endpoint Protection, поставляется в двух вариантах для установки и администрирования.
1. Упавляемый клиент. Управляемые клиенты подключаются к Symantec Endpoint Protection Manager. Клиентскими компьютерами можно управлять из консоли Symantec Endpoint Protection Manager. С помощью консоли можно обновлять программное обеспечение клиента, политики безопасности и описания вирусов на управляемых клиентских компьютерах.
Управляемый клиент может получать обновления содержимого от Symantec Endpoint Protection Manager, поставщиков обновлений группы, через Интернет или LiveUpdate.
2. Неуправляемый клиент. Администрирование клиентского компьютера осуществляется основным пользователем этого компьютера. Неуправляемый клиент не подключается к Symantec Endpoint Protection Manager и не может управляться из консоли. В большинстве случаев неуправляемые компьютеры подключаются к сети время от времени или не подключаются вовсе. Основной пользователь компьютера должен самостоятельно обновлять на нем ПО клиента, политики безопасности и описания вирусов.
Неуправляемый клиент может получать обновления содержимого через Интернет и LiveUpdate. Содержимое потребуется обновить отдельно на каждом клиентском компьютере.
Кому подойдет Symantec Endpoint Protection?
В первую очередь, защитный комплекс Symantec Endpoint Protection создан для крупных компаний, в которых 100 и более пользователей. Symantec Endpoint Protection работает с единым агентом (центром управления/управляемым клиентом), что позволяет ему обеспечить централизованное управление безопасностью в физических и виртуальных конечных системах Windows и Mac. Для корпоративных клиентов, есть возможность использовать пробную версию на протяжении 60 дней, с управляемым клиентом. При этом, если вам не нужна возможность единого управления защитным комплексом Symantec Endpoint Protection на всех устройствах, вы можете установить и использовать его без управляемого клиента.
Symantec Endpoint Protection имеет русскую локализацию. Есть полная официальная документация, на официальном сайте.
Тестирование Symantec Endpoint Protection 14.3 RU1
Из результатов тестирования видно, что Symantec Endpoint Protection справился практически со всеми угрозами. Примечателен и результат защиты от вирусов-шифровальщиков в Symantec Endpoint Protection, где на тестовой машине, все файлы не были повреждены и/или зашифрованны. При этом, защита антивируса была настроена на средних настройках для обеспечения минимального количества ложных срабатываний. Все это дает нам понимание того, что у Symantec Endpoint Protection большой потенциал и высокий уровень защиты от неизвестных угроз. При более тонко настройке антивирусного комплекса, можно достичь максимальной защиты. Результаты защиты от ПНП/PUP (потенциально нежелательных программ), будут дополнительным аргументом использовать данный антивирус на домашних устройствах, а не только в корпоративной среде.
Как установить Symantec Endpoint Protection (неуправляемый клиент) на ОС Windows?
Официальный сайт Symantec Endpoint Protection.
Скачиваем Symantec Endpoint Protection по ссылке. На момент создания заметки, была самая последняя версия Symantec Endpoint Protection: 14.3
Вы можете выбрать нужную версию и скачать Symantec Endpoint Protection:
После загрузки, запустите установочный файл. Установщик в автоматическом режиме, произведет распаковку установочных файлов:
Подготовит меню установки:
Проверит установочные файлы:
Для более детального анализа неизвестных угроз (меньшего числа ложного срабатывания), лучше не снимать галочку напротив пункта отправки анонимных данных о файлах в компанию (по умолчанию включено):
Ждем окончания процесса установки Symantec Endpoint Protection:
Приветствуются комментарии с полезной информацией: уточнениями, дополнениями, вопросами. Очень хорошо, когда вы делитесь своим опытом. Ваш опыт и информация, могут быть полезны другим.
Категорически запрещено в комментариях использование ненормативной лексики (в том числе нецензурную речь). Комментарии со спамом и рекламой, не пройдут модерацию.
Все комментарии, проходят модерацию и публикуются только после рассмотрения и одобрения.
Логи – это инструмент, при помощи которого можно отслеживать рабочий процесс сервера или сайта. Поэтому знать, как читать логи это полезное умение для выявления сбоев в работе ПО, быстрого и результативного реагирования на другие проблемы (выявление злонамеренных действий), эффективного анализа рабочий процесс, противодействия DDoS-атакам.
Содержание:
Что такое логи и зачем они нужны
Логи (log) – это специальные текстовые файлы, в которых в хронологическом порядке фиксируется информация обо всех действиях программы или пользователей. Проще говоря, это журнал регистрации всех событий происходивших в системе:
- ошибки сервера (сбои), возникающие при обращении к некоторым функциям сайта или задачам;
- данные о доступе – запись о подключении (или попытке входа) каждого пользователя, откуда и как он попал на сайт;
- прочие, записывающие информацию о работе компонентов сервера.
Логи доступа указывают на уязвимые места сайта (в случае взлома), помогают собирать статистику посещаемости, узнавать откуда проводились запросы и какие ресурсы ссылаются на этот сайт, оценивать популярность страниц. По файлам ошибок проще найти источник проблемы и оперативно устранить баги и сбои. Журналы сервера (server logs) облегчают контроль рабочего процесса серверной машины.
В файлах логов записывается и отслеживается история работы всего программного комплекса. Поэтому специалисты рекомендуют периодически просматривать их, даже если никаких подозрительных моментов не произошло. И тем более немедленно обратиться к ним, если резко возросло количество ошибок, посыпался спам или заметно увеличилась нагрузка на сервер.
Типы логов и где их найти
Месторасположение логов зависит от используемого ПО, настроек, прописанного админом пути. Чаще всего server logs сохраняются в var/log/. Однако, не все сервисы помещают файлы регистрации в эту директорию. В любом случае, можно уточнить такую информацию у веб-хостера.
У дистрибутивов Linux CentOS или Fedora логи серверной машины лежат в /var/log/. Там можно найти:
- файл регистрации ошибок error.log;
- данные о доступах log;
- основной системный журнал syslog;
- файл загрузки ОС dmesg;
- журнал nginx.
Лог ошибок MySQL ($hostname.err) хранится в /var/lib/mysql/. Для Debian или Ubuntu местоположение логов аналогично, за исключением log file ошибок MySQL: /mysql/error.log. А также – логи веб сервера Apache сохраняются по пути /var/log/apache2.
У ОС Windows дружной метод структурирования log-файлов. События делятся на несколько уровней:
- предупреждение – Warning;
- подробности (System и EventData);
- ошибка – Error;
- сведения – Information;
- критический – Critical.
Их можно отсортировать или отфильтровать и выбрать необходимое.
Запуск и отключение логов осуществляется с административной панели. Как правило, доступ через раздел «журнал» или «логи». При этом стоит учитывать, что файлы не сохраняются годами. Поэтому, при необходимости посмотреть log, это нужно сделать своевременно.
Какая информация хранится в логах и как ее интерпретировать?
Для большинства пользователей содержимое log-файлов это бессмысленный набор символов. Как читать логи, чтобы понять, что в них зашифровано?
Строка access.log сервера содержит:
- адрес ресурса;
- IP-адрес пользователя;
- дата и время посещения, часовой пояс;
- GET/POST – запрос на получение или отправку данных;
- к какой странице обращались;
- протокол пользователя (как зашел на ресурс);
- код отклика сервера;
- число переданных байтов;
- информация о посетителе (боте) – устройство, ОС, другие данные.
Как правило, такой информации достаточно, чтобы проанализировать ситуацию и сделать нужные выводы. Например, заблокировать бота, который создал чрезмерную нагрузку на сайт.
Файл ошибок (error.log) регистрирует моменты, когда что-то пошло не так. Из них можно узнать:
Конечно, даже после расшифровки, данных логов еще нужно проанализировать. Для этого существует различное ПО, которое помогает отрабатывать данные из логов – Weblog Expert, WebAlyzer, Analog, Webtrends, Awstats, SpyLOG Flexolyzer и другие платные и бесплатные программы.
Читайте также: