Dell Unity: Тестування шкідливого ПЗ Eicar на Unity NAS отримує помилку мережі

Тестовий файл антивірусу EICAR або тестовий файл EICAR — це комп'ютерний файл, розроблений Європейським інститутом комп'ютерних антивірусних досліджень (EICAR) та Дослідницькою організацією комп'ютерних антивірусів (CARO) для перевірки реакції комп'ютерних антивірусних програм

(AV).Користувач – це AV-движок стороннього виробника, яким є Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Ця помилка є чітким свідченням того, що Windows Server під керуванням стороннього програмного забезпечення AV і Cava Agent не були доступні для надання послуг протягом періоду дії оповіщення. Якщо Unity Device працює в іншому випадку, проблема може бути пов'язана з відключенням мережі або проблемою Windows-Server, або, можливо, проблемою, пов'язаною зі службами AV. Користувач або адміністратор Windows повинен перевірити «журнал сповіщень Windows», щоб знайти чітку основну причину.

Кроки з усунення несправностей з Unity:

1. Пошук у локації журналу Unity:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Завантажте файл viruschecker.config і перевірте, чи відображається shutdown=no або shutdown=viruschecking:

Відкрийте Unity UI>Storage NAS > Server >Anti-virus >>Retrieve Current Configuration (переглянути файл)  

3. Оновіть значення viruschecker.conf (Завантажити нову конфігурацію) і застосуйте зміни:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Проблема була вирішена, і CAVA почала працювати належним чином після зміни IP мережі.

Рекомендація по усуненню неполадок:

1. Підтвердьте налаштування viruschecker.conf. (shutdown=перевірка на віруси)
2. Переконайтеся, що послугу CAVA запущено з обліковим записом користувача AV.
3. Переконайтеся, що встановлена служба Anti-Virus (Sophos, TrendMicro, McAfee і так далі) працює з локальним системним обліковим записом.
4. Переконайтеся, що користувач AV є учасником локальної групи адміністраторів на кожному AV-сервері.
5. Переконайтеся, що антивірус і CEE встановлені в правильному порядку, спочатку CEE, а потім антивірус
6. Перезавантажте сервіси CAVA
7. Перезавантажте AV-сервер один раз
8. Переконайтеся, що сервери CAVA мають лише один мережевий інтерфейс.
9. Уточніть у користувача, чи призначено клієнтському комп'ютеру однакові або різні мережеві IP-адреси серверів NAS (завжди рекомендується, щоб він знаходився в одній мережі)

У цьому сценарії стороннім AV-двигуном є Sophos Central Intercept X, однак він відображається як Microsoft Anti-virus. Ось чому постачальник Microsoft має бути вимкнений (кроки та стаття вказані для вимкнення антивірусу Microsoft)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Практичні поради:

1. Не встановлюйте політику VirusChecking=Ні, оскільки це може призвести до Заблокованих Потоків і не вважається найкращою практикою.
2. Не використовуйте один AV-сервер, оскільки це не рекомендується.
3. Не використовуйте один AV-сервер для кількох платформ, оскільки це не рекомендується і має розглядатися як таке, що не підтримується.

Якщо проблема не зникає, користувач має звернутися до служби підтримки стороннього постачальника антивірусів для отримання додаткової допомоги.

Дивіться наведені нижче документи для отримання додаткової інформації:

• Вимкнення антивірусного захисту Defender у службі "Безпека у Windows"
• Dell CEE використовує функцію Common Event Enabler на платформах Windows