Перейти к содержанию

Мониторинг kaspersky security center

Maksat

Автор Maksat
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Maksat

Maksat

Опубликовано
Опубликовано

Цифры "Есть устройства со статусом отличным от OK" иногда переваливает две с половиной тысяч. Большинство из них пишет "давно не выполнялся поиск вирусов". Настроена задача, что бы раз в неделю выполнял сканирование по поиску вирусов. Данного периодичности (раз в неделю) достаточно согласно требованиям регулятора. Но мне приходится каждый день запускать задачу, что бы уменьшить количество красных устройств. Ито это мне снижает количество красных устройств на около 900, что плохо влияет на статистику работоспособности системы Касперского. 

Добавляю информацию:

На статусах устройств в самих группах выставлены 14 дней по умолчанию.
Если зайти во вкладку задачи на самих проблемных ПК через KSC, там как будто бы задача по сканированию выполнено (зелёная галочка на задаче по сканированию).

 

На проблемных хостах установлены продукты: 
Kaspersky Embedded Systems Security
Kaspersky Endpoint Security для Windows
Kaspersky Security для Windows Server

Галочка "Считать выполнение задачи проверкой важных областей" стоит на Embedded Systems Security и Security для Windows Server. На Endpoint Security для Windows такой галочки не нашел.

Насколько я понял, события не заблокированы в KSC. Для удостоверения информацией прикладываю скирншот: 

ksc.JPG

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

Добрый день

Если честно из описания не понятно что именно вы пытаетесь сделать.

Мне понятно что задача поиск вирусов не выполняется (вроде как).

 

Было бы полезно узнать ваши версии продуктов - KSC, KES, KSWS. KSSE

какое общее количество устройств и используется ли авто распределение запуска задач (задержка) , так как может они не успевают отработать.

Спойлер

1968993562_.png.979fdd47d01f23a41f56d71ec0326fe4.png

 

посмотрите расписание запуска вашей задачи проверки, не установлен ли там режим ВРУЧНУЮ

Спойлер

858198626_.thumb.png.24520136f57bfb351668378f4fcf7235.png

 

и проверьте что у вас установлено в этих пунктах ... по умолчанию там стоит проверять только во время простоя ... а это практически "никогда" в постоянно рабочей сети

Спойлер

512173838_.thumb.png.694214baaea721ed198c62783e843ca5.png

 

 

про "зеленые галочки" это означает что задача групповая и применяется к этому устройству, а не то что она выполнилась.

Спойлер

1252658861_.thumb.png.7b99ad209dafcaca4b528a8fec87cb0b.png

 

На вашем скрине, системный раздел в который попадают частые события, которые система посчитала не нужными из за частого повторения ...то есть эти события не будут попадать в базу, вы множите удалить их, но добавить их сюда нельзя.

в решении вашей задачи этот раздел не поможет.

Изменено пользователем ElvinE5
Maksat

Maksat

Опубликовано
  • Автор
Опубликовано (изменено)

Выше перечисленные пункты помогут нет, это рекомендации самого вендора. 

Версии: 

KSC-14

Агенты амнистирования -14

KES - 11.4,  11.5, 11.10 (Прошу не упирать весть вопрос на устаревшие версии, так как проблема имеется в том числе на 11.10) 

KESS - 2.3 (xp), 3.0

KSWS - 10.1, 11.0

 

В расписании задач в ручную не указано. Везде стоит по расписанию раз в неделю.   

 

Галочка "проверить только в момент простоя" не стоит.

 

Так же хотел добавить, что мы на данный момент не готовы  на 5000 устройствах обновлять версии. Для этого есть несколько своих причин. Как админ я понимаю что стоило бы актуализировать. Но ОДНО из причин, версии Каспера не  стабильны. в тесовых зонах куда мы ставили новые версии всегда работали с проблемами, то есть они не работали, он выключались и на консоли много устройств со статусом система безопасности не запущена. Это другой вопрос, по данному поводу и кейс заводили вендору и так далее. Но вендор к решению не пришел да и мы остались на старых версиях. Теперь проблема в том что во из 5000 - 2500 примерно пишет, что давно  не выполнялся поиск вирусов. 

Изменено пользователем Maksat
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано
4 минуты назад, Maksat сказал:

Так же хотел добавить, что мы на данный момент не готовы  на 5000 устройствах обновлять версии. Для этого есть несколько своих причин. Как админ я понимаю что стоило бы актуализировать. Но ОДНО из причин, версии Каспера не  стабильны. в тесовых зонах куда мы ставили новые версии всегда работали с проблемами, то есть они не работали, он выключались и на консоли много устройств со статусом система безопасности не запущена. Это другой вопрос, по данному поводу и кейс заводили вендору и так далее. Но вендор к решению не пришел да и мы остались на старых версиях. Теперь проблема в том что во из 5000 - 2500 примерно пишет, что давно  не выполнялся поиск вирусов. 

Так по факту что пишет в статистике? Полное сканирование проходит или нет?

2026126031_.thumb.png.3bbf93f5446487afeb66b8bb57b11fa2.png

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

@Goddeimos13

и в событиях задачи на проблемном устройстве что сказано

Спойлер

942974706_.thumb.png.de22db7eb22839ef41e51615514ee9dd.png

 

 

и KESS 2.3 наверно лучше все таки обновить :) - если конечно там не Long Term реализация - https://support.kaspersky.ru/corporate/lifecycle#b2b.block0.kess2

Изменено пользователем ElvinE5
Maksat

Maksat

Опубликовано
  • Автор
Опубликовано

Задачи по обновлению баз сигнатур и сканированию имеют статус ожидает выполнения. image.thumb.png.7e224bca3755a1d79294c3aab8cfcf61.png

 

Что то мешает выполнению задач? Или в чем может быть проблема  

ElvinE5

ElvinE5

Опубликовано
Опубликовано

как я выше писал задачи могут иметь отложенный запуск

его можно задать вручную, также возможно у вас стоит остановка выполнения задачи по времени, и это мешает завершить проверку.

Спойлер

549261414_.thumb.png.a421ff20fecc428f9bfdcb38435ddcf6.png

 

но это новый вопрос, а что с проблемными устройствами так и не понятно.

пришлите скины как вас просили выше, и если есть возможность прислать выгрузку задачи в формате *.klt что бы можно было посмотреть на настройки не дергая вас каждый раз.

 

так же на скрине видно что у вас 12 агент администрирования, при том что вы говорили что KSC 14, обновление агента не должно вызвать проблем на клиентском устройстве. обновите.

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

Так ну тогда так

1. Добавляя задачи по обновлению баз из трех присланных вами для разных программ я получаю одну ...только для KES

 

Спойлер

175789211_.thumb.png.0f0c8501532fddb0190d2bc28a30e623.png

 

то есть если это не ошибка при экспорте то у вас НЕТ задач для обновления баз KSWS и KESS - создайте их если это так ... для каждого продукта должна быть своя задача

Спойлер

610192561_.thumb.png.ddf97345ad680e62c5f502298da675f4.png

 

2. Задача обновления для KES настроена по времени раз в 6 часов, при этом стоит пункт запускать пропущенные. Это на мой взгляд достаточно накладно и для устройств и для сервера ... то есть он будет запускать ее в каждые 6 часов не взирая на то что надо это или нет ... тем более при вашем количестве устройств, это будет вызывать нагрузку на сеть и сервер.

Спойлер

827966308_.thumb.png.97595f0d83b96a09ba427e7075d666e5.png

 

Посмотрите что у вас стоит в задаче "загрузка обновлений на сервер администрирования" ... попробуйте настроить так

Спойлер

919767861_.thumb.png.f35e0e025c3b64b9bd69aecc4faa881b.png

 

и измените расписание задач для скачивания обновлений на клиентские устройства на такое ...

Спойлер

1618460259_.thumb.png.0c0ac0e3721f8ad4efb6eac39dcd57a8.png

 

3. В задаче для проверки KES у вас стоит задержка запуска - можно попробовать убрать или вручную указать интервал, но думаю не сильно поможет.

Спойлер

156806151_.thumb.png.175c0eacead57a9c6c13ecd3d5564734.png

 

в проверке для KESS тоже,  надо разобраться а наступает ли момент простоя на этих устройствах?

наверно можно отключить ... но аккуратно сначала на тестовой группе.

Спойлер

1689949903_.thumb.png.ec916dc8785f24ebe6f66054840ce294.png

 

 

 

 

есть предположение что сервер просто не успевает обрабатывать запросы от всех устройств.

насколько я понимаю все они подключены к одному KSC, надеюсь что БД у вас SQL коммерческая а не Express, так как 5000+ устройств могут генерировать много событий. И это рекомендация вендера.

на вашем месте я начал бы задумывая об оптимизации работы сервер ...разделение устройств на подгруппы, возможно поднятие дополнительных KSC для филиалов и групп на медленном канале связи, а так же создание точек распространения.

если можно покажите настройки этих пунктов свойств сервера администрирования.

Спойлер

653507022_.thumb.png.e37316b4c89a2d7e64edc2286ee19667.png

 

и настройки политик агента администрирования.

Спойлер

1595936270_.thumb.png.4be81e0aeb9a3a6a5d6e0a288c8880fa.png

 

 

 

Изменено пользователем ElvinE5
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано
16 часов назад, ElvinE5 сказал:

Задача обновления для KES настроена по времени раз в 6 часов, при этом стоит пункт запускать пропущенные. Это на мой взгляд достаточно накладно и для устройств и для сервера ... то есть он будет запускать ее в каждые 6 часов не взирая на то что надо это или нет ... тем более при вашем количестве устройств, это будет вызывать нагрузку на сеть и сервер.

В своё время оттачивал у себя процесс обновления антивирусных баз. С ЛК обсуждал оптимальные настройки и пришли к выводу, что:

1. Загрузка в хранилище каждые 6 часов (0:00, 6:00, 12:00, 18:00). Чаще не стоит, так как сигнатуры в принципе чаще 6-ти часов не публикуются.

2. Установка обновлений на клиентах каждые 6 часов со сдвигом (1:00, 7:00, 13:00, 19:00).

43761129_.thumb.png.3244d3c31ff7653790bb0064106f4814.png

3. Плюс сделал дополнительную задачу с автоматическим запуском по выборке "Databases are outdated" каждые 10 минут.

 

В результате таких настроек я вообще забыл про процесс обновления антивирусных баз. Раз в неделю поглядываю всё ли там зелёненькое)

 

1676564454_.thumb.png.4db52e31803b5959180f1516ca0cc036.png

ElvinE5

ElvinE5

Опубликовано
Опубликовано
36 минут назад, Goddeimos13 сказал:

В своё время оттачивал у себя процесс обновления антивирусных баз. С ЛК обсуждал оптимальные настройки и пришли к выводу, что:

 

все весьма специфично ... для каждого объекта. Тут требуется время и эксперименты :)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • МаркМанагер
      Kaspersky Security Center
      Автор МаркМанагер
      Добрый день.
      Установлен Kaspersky Security Center 14.2. В политике включен контроль устройств и запрещен доступ к съемным носителям.
      Запрет не отрабатывает, любая флэшка при подключении работает в обычном режиме, то есть доступ разрешен. Хотя в KES отрабатывает автоматическая проверка флэш-носителей, запрет остановки проверки.
      На компьютерах установлен KES 11.7 и 11.4.
      Помогите разобраться.

    • krv_brs
      Kaspersky Security Center 14.0.0.10902
      Автор krv_brs
      Ошибка времени выполнения: Database error occurred: #1950 (9420) Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"
      Информация об ошибке: 1950/9420 (Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"), c:\a\c\g_n97mv7nc\r\product\osmp\ksc\dev\server\db\ado\db_adoprepstmtimpl.cpp, 408.
       
      Как бороться с этой ошибкой?
      Базу очищал.
    • npc_admin
      Перенос Kaspersky Security Center 11
      Автор npc_admin
      Здравствуйте.
      Прошу совета в сложившийся ситуации. Есть задача перенести KSC на новый сервер. KSC версии 11.0.0.1131. На новом сервере, естественно, нужно ставить последнюю, актуальную версию Центра. Затем туда накатывать резервную выгрузку из старого Центра. Но! Для того, чтобы это получилось, нужно старый Центр версии 11 обновить до актуальной, а прежде чем обновляться, нужно сделать бэкап. Так вот проблема заключается в том, что пароль от базы данных KAV утерен и восстановить его не получается. Пытался сбросить пароль в SQLEXPRESS разными способами – не удалось. Вопрос, какое решение видится в этой ситуации?  На данный момент, мое видение – ставить последнюю версию Центра на новом сервере, делать настройки с чистого листа, потом подтягивать клиентов  (порядка 25 машин в офисе).
    • A.Glukhov
      Kaspersky Security Center 14 сертификаты
      Автор A.Glukhov
      Приветствую, уважаемые коллеги! Сервер, на котором работал Kaspersky Security Center 14 - "упал" и к превеликому сожалению его бэкапы вместе с ним... Пришлось осуществлять чистую установку Kaspersky Security Center с последующей его настройкой. Но вот не задача: на этапе опроса нераспределенных устройств выяснилось, что все ранее установленные на рабочих станциях агенты администрирования - не видны (со статусом агент не установлен)! Подключившись к удаленной машине, где установлен агент, в логах наткнулся на ошибку: "Произошла ошибка транспортного уровня при соединении с http://*******:13000: не прошла аутентификация SSL, неверный или просроченный сертификат". Данная ошибка натолкнула на мысль, что все сертификаты, которые до "падения" находились в Kaspersky Security Center и распространялись с инсталляционными пакетами на удаленные машины -  теперь не действительны для нового KSС и наоборот. 
       
      Собственно сам вопрос: существует ли способ подкидывания нового сертификата на рабочие станции, на которых установлены сертификаты со старого Kaspersky Security Center? Или, проще говоря, как сделать, чтобы старые агенты администрирования стали видны в новом Kaspersky Security Center?
    • Sergei Unknown
      Ошибка взаимодействия с Kaspersky Security Center
      Автор Sergei Unknown
      Здравствуйте,
      Возникла интересная ошибка у пользователя, после обновления антивируса машина при скачивании обновлений выпадает в ошибку (см. скриншот) но синхронизация проходит нормально. Попытка скачать из других источников обновление эту ошибку не вызывает. Что пробовали: переустановку Агента и KES.
      Как исправить данную проблему?

×
×
  • Создать...