Dell Unity. Тестирование вредоносного ПО Eicar в сетевой системе хранения данных Unity сообщает о сетевой ошибке

Тестовый файл EICAR Anti-Virus Test File или тестовый файл EICAR — это компьютерный файл, разработанный Европейским институтом компьютерных антивирусных исследований (EICAR) и Организацией по исследованию компьютерных антивирусов (CARO) для тестирования реакции компьютерных антивирусных программ (AV).

В качестве пользователя используется движок AV стороннего производителя, то есть Sophos Central Intercept X.

There is a problem accessing \\172.xx.xx.xx\abc  (NasIP \testfolder ) 
You have received this message because an event that has occurred on your Unity system requires your attention. The alert is:
"The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: OFFLINE, httpStatus: 1006 Connection Disconnected)"
The virus checker server 172.xx.xx.xx has encountered an error and is no longer operational.(Error: ERROR_AVINTERFACE)"
"No virus checker server is available."

 

Эта ошибка явно указывает на то, что сервер Windows Server, на котором работает стороннее программное обеспечение антивирусной защиты и агент CAVA, не был доступен для предоставления служб в течение периода оповещения. Если устройство Unity исправно иным образом, проблема может быть связана либо с перебоями в работе сети, либо с Windows Server, либо с антивирусными службами. Пользователь или администратор Windows должен проверить журнал оповещений Windows, чтобы определить четкую первопричину.

Действия по устранению неполадок в Unity.

1. Поиск в местонахождении журнала Unity:

EMCSystemBackup.log  - cd /EMC/C4core/log/
grep -i infect EMCSystemBackup.log
grep -i blocked EMCSystemBackup.log

c4_safe_ktrace.log – cd /EMC/C4core/log/
grep -i "virus checker" c4_safe_ktrace.log
zgrep -i "virus checker" /EMC/C4core/log/c4_safe_ktrace.log*

Nas server name/IP : OV-xx-x-xxx-xx-001/ 172.xx.xx.xx
AV server IP address: 172.xx.xx.xx

 

Command Usage: svc_cava
svc_cava { <NAS_Server_Name> | ALL }
 [-h | --help]
 | <no option>
 | -stats
 | [ -set accesstime={ now | none | [[[[yy]mm]dd]hh]mm[.ss] }]
 | [ -fsscan [<fs_mountpath> { -list | -create | -delete } ]
Example : svc_cava -stats
svc_cava nas1 -stats
svc_cava nas1

08:38:39 root@DE4142343780xx spa:/EMC/C4Core/log# svc_cava OV-xxx-x-xxx-xx-001 -stats
OV-xxx-x-xxx-xx-001 : commands processed: 1
command(s) succeeded
output is complete 
1712653384: VC: 5: Total Requests: 0.
1712653384: VC: 5:
1712653384: VC: 5: NO ANSWER from the Virus Checker Servers: 0.
1712653384: VC: 5: ERROR_SETUP: 0.
1712653384: VC: 5: FAIL: 0.
1712653384: VC: 5: TIMEOUT: 0.
1712653384: VC: 5:
1712653384: VC: 5: 0 files in the collector queue.
1712653384: VC: 5: 0 files processed by the AV threads.
Command succeeded

2. Скачайте файл viruschecker.config и проверьте, отображается ли shutdown=no или shutdown=viruschecking:

Откройте интерфейс>пользователя системы хранения Unity >Безопасность> сервера > сетевой системы хранения данных Антивирусное ПО >Извлечь текущую конфигурацию (просмотреть файл)  

3. Обновите значение viruschecker.conf (загрузите новую конфигурацию) и примените изменения:

# Example: OV-xxx-x-xxx-xx-001
#
masks=*.EXE:*.COM:*.DOC:*.DOT:*.XL?:*.MD?:*.VXD:*.386:*.SYS:*.BIN:*.ppt:*docx:*.rar:*.zip:*.txt
excl=pagefile.sys:*.tmp
# masks=*.RTF:*.OBD:*.DLL:*.SCR:*.OBT:*.PP?:*.POT:*.OLE:*.SHS:*.MPP
# masks=*.MPT:*.XTP:*.XLB:*.CMD:*.OVL:*.DEV
# masks=*.ZIP:*.TAR:*.ARJ:*.ARC:*.Z
addr=172.xx.xx.xx >> AV Server IP address
shutdown=no (update the value to shutdown=viruschecking and upload the viruschecker.conf file to unity GUI)
# Stops SMB/CIFS if no AV machine available.(No Windows clients can access any Unity share)

 

08:18:51 root@DE414234378xxx spa:/cores/service/user# svc_cava OV-xxx-x-xxx-xx-001
OV-xxx-x-xxx-xx-001: commands processed: 1
command(s) succeeded
output is complete
1712650760: VC: 5: OV-xxx-x-xxx-xx-001: Enabled and Started.
1712650760: VC: 5: 1 Checker IP Address(es):
1712650760: VC: 5: 172.xx.xx.xx                                   ONLINE at Tue Apr  9 08:19:14 2024 (GMT-00:00)
1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )
1712650760: VC: 5:                                                Remediation Window: 30 seconds
1712650760: VC: 5:                                                Server Name: 172.xx.xx.xx
1712650760: VC: 5:                                                Last time signature updated: Tue Apr  9 05:29:36 2024 (GMT-00:00)
1712650760: VC: 5:
1712650760: VC: 5: 15 File Mask(s):
1712650760: VC: 5: *.EXE *.COM *.DOC *.DOT *.XL? *.MD? *.VXD *.386 *.SYS *.BIN *.PPT *DOCX *.RAR
1712650760: VC: 5: *.ZIP *.TXT
1712650760: VC: 5: 2 Excluded File(s):
1712650760: VC: 5: PAGEFILE.SYS *.TMP
1712650760: VC: 5: Share \\ov-yml-p-ser-fs-001.yoma.com.mm\CHECK$.
1712650760: VC: 5: RPC request timeout=25000 milliseconds.
1712650760: VC: 5: RPC retry timeout=5000 milliseconds.
1712650760: VC: 5: High water mark=200.
1712650760: VC: 5: Low water mark=50.
1712650760: VC: 5: Scan all virus checkers every 10 seconds.
1712650760: VC: 5: When all virus checkers are offline:
1712650760: VC: 5: Continue to work with Virus Checking and CIFS.
1712650760: VC: 5: Scan on read disable.
1712650760: VC: 5: MS-RPC User: OV-xxx-x-xxx-xx-001-FS$
1712650760: VC: 5: MS-RPC ClientName: ov-xxx-x-xxx-xx-001.abc
 Command succeeded

Проблема устранена, и после изменения сетевого IP-адреса CAVA заработало должным образом.

Устранение неполадок с рекомендациями:

1. Подтвердите настройки viruschecker.conf. (выключение = проверка на вирусы)
2. Убедитесь, что сервис CAVA запущен с учетной записью пользователя антивирусной защиты.
3. Убедитесь, что установленный антивирусный сервис (Sophos, TrendMicro, McAfee и т. д.) запущен с учетной записью локальной системы.
4. Убедитесь, что пользователь антивирусной защиты является членом локальной группы администраторов на каждом антивирусном сервере.
5. Убедитесь, что антивирусное средство и CEE установлены в правильном порядке: сначала CEE, а затем антивирусное ПО
6. Перезагрузите службы CAVA
7. Перезагрузите сервер антивирусной защиты один раз
8. Убедитесь, что серверы CAVA имеют только один сетевой интерфейс.
9. Уточните вместе с пользователем, назначен ли клиентскому компьютеру один и тот же или разные сетевые IP-адреса серверов NAS (рекомендуется, чтобы клиентский компьютер всегда находился в одной сети)

В этом сценарии сторонним антивирусным модулем является Sophos Central Intercept X, однако он отражается как антивирус Microsoft. Поэтому поставщик Microsoft должен быть отключен (приведены инструкции и статья для отключения антивируса Microsoft)

1712650760: VC: 5:                                                HTTP, CAVA version: 8.9.10.0
1712650760: VC: 5:                                                AV Engine: Microsoft Antivirus ( Third party AV Engine )

Передовые практики.

1. Не настраивайте политику VirusChecking=No, так как это может привести к заблокированным потокам и не считается передовой практикой.
2. Не используйте один антивирусный сервер, так как это не рекомендуется.
3. Не используйте один антивирусный сервер для нескольких платформ, так как это не рекомендуется и должно рассматриваться как неподдерживаемое.

Если проблема не будет устранена, пользователю необходимо обратиться за помощью в службу поддержки стороннего поставщика антивирусной программы.

Дополнительные сведения см. в следующих документах:

• Отключение антивирусной защиты в Защитнике в разделе «Безопасность Windows»
• Dell CEE Использование Common Event Enabler на платформах Windows