search cancel

Linux エージェントで検出した脅威のログが SEPM にアップロードされない場合がある

book

Article ID: 255196

calendar_today

Updated On:

Products

Endpoint Security Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (以下、SEP )14.3 RU1 以降に含まれている Linux エージェントを利用している環境で、ウイルスが検出されているがその記録が Symantec Endpoint Protection Manager (以下、SEPM )コンソール側にリスクログとして確認ができない。また定時スキャンの開始のログが記録されているが、終了時のログがアップロードされないため、スキャンが継続しているように見えている。
SEPM コンソール上でログが正常に確認できない原因を知りたい。
 

Environment

Release : 14.3 RU1 以降

Cause

Linux エージェントがリスクログを送信する際に、エージェントが所属するグループに割り当てられている管理サーバーリストの設定に従って作成された Sylink.xml ファイルに登録されている接続情報で SEPM に送信を試みます。
選択された SEPM に対して何かしらの理由で送信に失敗した場合、次の接続情報を利用して接続を試みます。
その接続に成功した場合にも前回 SEPM への送信に失敗したログの再送が行われるように実装されておりませんでした。
そのためリスク検出後に選択された接続先が通信できない場合、ログが欠落します。

AVMan.log に含まれるログでのみこの問題が発生します。

Resolution

SEPM への接続に失敗した後の通信でログが再送されるよう、2023 年 2 月にリリース予定の SEP 14.3 RU6 の Linux エージェントで修正が予定されております。

既存のバージョンのエージェントでの回避策として、誤った設定の接続先、到達できない接続先、名前解決できないホスト名での接続先が無いように管理サーバーリストを編集したものをグループに割り当ててください。

Additional Information

CRE-10789
CRE-11666