Dell Unity: Ett nätverksfel uppstår vid testning av skadlig programvara på Eicar på Unity NAS

EICAR Anti-Virus Test File eller EICAR-testfilen är en datorfil som utvecklats av European Institute for Computer Anti-Virus Research (EICAR) och Computer Anti-Virus Research Organization (CARO) för att testa svaret från datorantivirusprogram

(AV).Användaren är en AV-motor från tredje part som är Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Det här felet är en tydlig indikation på att Windows Server som kör AV-programvaran från tredje part och Cava Agent inte var tillgänglig för att tillhandahålla tjänster under tidsramen för varningen. Om Unity-enheten i övrigt är problemfri kan det bero på ett nätverksavbrott eller ett Windows Server-problem, eller möjligen ett problem relaterat till AV Services. Användaren eller en Windows-administratör måste undersöka Windows-varningsloggen för en tydlig rotorsak.

Felsökningssteg från Unity:

1. Sök på Unity-loggplats:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Hämta filen viruschecker.config och kontrollera om shutdown=no eller shutdown=viruschecking visas:

Öppna Unity-användargränssnittet>NAS-lagringsserver >>Säkerhet >Antivirus Hämta >aktuell konfiguration (visa filen) 

3. Uppdatera värdet viruschecker.conf (Överför ny konfiguration) och tillämpa ändringarna:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Problemet löstes och CAVA började fungera korrekt efter att ha ändrat nätverkets IP.

Felsökning av rekommendationer:

1. Bekräfta inställningarna för viruschecker.conf. (avstängning = viruskontroll)
2. Bekräfta att CAVA-tjänsten körs med AV-användarkontot.
3. Bekräfta att den installerade antivirustjänsten (Sophos, TrendMicro, McAfee och så vidare) körs med det lokala systemkontot.
4. Bekräfta att AV-användaren är medlem i den lokala administratörsgruppen på varje AV-server.
5. Bekräfta att antivirusprogrammet och CEE är installerade i rätt ordning, CEE först, sedan antivirus
6. Starta om CAVA-tjänsterna
7. Starta om AV-servern en gång
8. Kontrollera att CAVA-servrarna endast har ett nätverksgränssnitt.
9. Bekräfta med användaren om klientdatorn är tilldelad samma eller olika nätverks-IP-adresser för NAS-servrar (rekommenderas alltid att den är i samma nätverk)

I det här scenariot är AV-motorn från tredje part Sophos Central Intercept X, men den återspeglas som Microsoft Anti-virus. Det är därför Microsoft-leverantören måste inaktiveras (stegen och artikeln nämns för att inaktivera Microsoft Anti-virus)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Bästa praxis:

1. Ställ inte in Policy VirusChecking=Nej eftersom detta kan leda till blockerade trådar och inte anses vara bästa praxis.
2. Använd inte en enda AV-server eftersom det inte rekommenderas.
3. Använd inte en enda AV-server för flera plattformar eftersom detta inte rekommenderas och bör betraktas som att det inte stöds.

Om problemet kvarstår måste användaren kontakta antivirusleverantörens support från tredje part för ytterligare hjälp.

Mer information finns i dokumenten nedan:

• Inaktivera Defender-antivirusskydd i Windows-säkerhet
• Dell CEE med Common Event Enabler på Windows-plattformar