Dell Unity : Les tests de logiciels malveillants Eicar sur le NAS Unity reçoivent une erreur réseau

Le fichier de test antivirus EICAR ou fichier de test EICAR est un fichier informatique développé par l’Institut européen de recherche sur les antivirus informatiques (EICAR) et l’Organisation de recherche sur les antivirus informatiques (CARO) pour tester la réponse des programmes

antivirus (AV).L’utilisateur est un moteur antivirus tiers, c’est-à-dire Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Cette erreur indique clairement que le serveur Windows exécutant le logiciel antivirus tiers et l’agent Cava n’était pas disponible pour fournir des services pendant la période de l’alerte. Si l’appliance Unity est en bon état, le problème peut être lié à une panne de réseau, à un problème Windows-Server ou peut-être à un problème lié aux services AV. L’utilisateur ou un administrateur Windows doit examiner le « journal des alertes Windows » pour trouver une cause première claire.

Étapes de dépannage à partir de Unity :

1. Rechercher dans l’emplacement du journal Unity :

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Téléchargez le fichier viruschecker.config et vérifiez si shutdown=no ou shutdown=viruschecking s’affiche :

Ouvrez l’interface utilisateur> Unity Stockage > Serveur > NAS Antivirus de> sécurité >Récupérer la configuration actuelle (afficher le fichier)  

3. Mettez à jour la valeur viruschecker.conf (Télécharger la nouvelle configuration) et appliquez les modifications :

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Le problème a été résolu et CAVA a commencé à fonctionner correctement après la modification de l’adresse IP du réseau.

Dépannage recommandé :

1. Confirmez les paramètres viruschecker.conf. (shutdown=viruschecking)
2. Vérifiez que le service CAVA est en cours d’exécution avec le compte d’utilisateur AV.
3. Vérifiez que le service antivirus (Sophos, TrendMicro, McAfee, etc.) installé est en cours d’exécution avec le compte système local.
4. Vérifiez que l’utilisateur AV est membre du groupe d’administrateurs locaux sur chaque serveur AV.
5. Vérifiez que l’antivirus et CEE sont installés dans l’ordre correct, CEE en premier, puis l’antivirus.
6. Redémarrer les services CAVA
7. Redémarrer le serveur AV une fois
8. Vérifiez que les serveurs CAVA n’ont qu’une seule interface réseau.
9. Vérifiez auprès de l’utilisateur si l’ordinateur client est attribué avec la même adresse IP réseau ou une adresse IP différente des serveurs NAS (il est toujours recommandé qu’il se trouve sur le même réseau).

Dans ce scénario, le moteur antivirus tiers est Sophos Central Intercept X, mais il s’agit de Microsoft Anti-virus. C’est pourquoi le fournisseur Microsoft doit être désactivé (les étapes et l’article sont mentionnés pour la désactivation de l’antivirus Microsoft)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Meilleure pratiques :

1. Ne configurez pas la stratégie VirusChecking=No car cela peut entraîner un blocage des threads et n’est pas considéré comme une bonne pratique.
2. N’utilisez pas un seul serveur AV, car cela n’est pas recommandé.
3. N’utilisez pas un seul serveur AV pour plusieurs plates-formes, car cela n’est pas recommandé et doit être considéré comme non pris en charge.

Si le problème persiste, l’utilisateur doit contacter le support du fournisseur d’antivirus tiers pour obtenir de l’aide.

Consultez les documents ci-dessous pour plus d’informations :

• Désactiver la protection antivirus Defender dans Sécurité Windows
• Dell CEE utilisant Common Event Enabler sur les plates-formes Windows