Где symantec хранит логи
ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.
SEP for Linux logging:
- installation logs
- sylink: client-server communications
- vpdebug: antivirus configuration and scans
- liveupdate: antivirus definition update downloads
- defutil: antivirus definition update processing (post-download)
- daemon debug logging: rtvscand, smcd, symcfgd --- of lesser utility than those above
- syslog: client system event logging
Overview of log and configuration files in Symantec Endpoint Protection for Linux (versions 14.3.1169 or older)
Article ID: 161862
Updated On:
Products
Issue/Introduction
What kinds of debug logging does Symantec Endpoint Protection (SEP) for Linux produce, where are the log and configuration files, and how is logging configured?
Environment
NOTE: This article is only for SEP for Linux versions 14.3 MP1 (14.3.1169) or older. For SEP Linux Agent 14.3 RU1 (14.3.3384) or newer, see Troubleshooting the Symantec Linux Agent
Resolution
Кому подойдет Symantec Endpoint Protection?
В первую очередь, защитный комплекс Symantec Endpoint Protection создан для крупных компаний, в которых 100 и более пользователей. Symantec Endpoint Protection работает с единым агентом (центром управления/управляемым клиентом), что позволяет ему обеспечить централизованное управление безопасностью в физических и виртуальных конечных системах Windows и Mac. Для корпоративных клиентов, есть возможность использовать пробную версию на протяжении 60 дней, с управляемым клиентом. При этом, если вам не нужна возможность единого управления защитным комплексом Symantec Endpoint Protection на всех устройствах, вы можете установить и использовать его без управляемого клиента.
Пробная версия 60 дней/Неуправляемый клиент – без ограничений по сроку. Однако, нужно понимать, что это не значит бесплатность данного решения. Рассмотрим пример. Если на предприятии (либо в частном порядке) в случае соответствующей проверки найдут этот продукт без подтверждения активной и купленной лицензии – будет либо админ. ответственность/штраф, либо УК (если сумма нанесенного ущерба больше нескольких минимальных зарплат. Цену каждого найденного нелицензионного софта берут средней по оф. цене на рынке данного региона. Уточняйте конкретно для своей страны). Причем каждая установленная копия и архивная/дистрибутив считается как отдельный экземпляр, если обратное не оговорено в купленной лицензии. И не забывайте сумму нанесенного морального ущерба, которая может быть в несколько раз больше суммы нелицензионного софта. Соответственно, если вы планируете использовать данный продукт для бизнеса или поставите его на свой домашний ноутбук и будете носить на работу, а там придут проверяющие и «загребут» ваш домашний ноутбук, который вы носили на работу. Вы, попали. Надеюсь, суть уловили. Это отличный продукт, но, его нужно использовать легально и понимать, как и где его можно использовать на «бесплатной» основе. Если вам нужен защитный комплекс, по доступной цене и с достойной защитой, ознакомьтесь с информацией: «Установка и легальная активация Kaspersky Internet Security».
При этом, защитное ПО Symantec Endpoint Protection можно использовать на домашних компьютерах, благодаря отличной защите от вирусов, неизвестных угроз. Для использования в домашних условиях, можно использовать неуправляемый клиент – без ограничений по сроку. По основному функционалу, неуправляемый клиент ничем не отличаются от управляемого клиента. Единственное, без управляемого клиента, вы не сможете управлять одновременно всеми настройками безопасности, на которых установлен Symantec Endpoint Protection. Вам придется на каждом устройстве, настраивать отдельно Symantec Endpoint Protection. Таким образом, для домашнего использования, можно рассматривать данный продукт, полностью функциональным и удобным.
Symantec Endpoint Protection имеет русскую локализацию. Есть полная официальная документация, на официальном сайте.
3 Replies
Just in case anyone else ever has this problem. I uninstalled the SEP client and was then able to delete the .dmp files. I then reinstalled the client and everything is back to normal.
Brand Representative for Symantec
Generally failed client install logs are logged under %AllUsersProfile%\Application Data\Symantec\Symantec Endpoint Protection\%currentversion%.105\Data\Install\logs
If issue reoccurred I would recommend to uninstall SEP client with the help of Cleanwipe tool. Tool is available in part2 download.
Also can run Symhelp tool. Symantec Help (SymHelp) is a utility designed to quickly and efficiently diagnose common issues encountered on multiple Symantec products. SymHelp can identify most of the problems that you might run into when installing the client, and provide instructions on how to solve them. If SymHelp cannot identify the problem, it can create a detailed report that you can submit to Technical Support to identify the problem.
_Brian
Symantec Endpoint Protection - мощный программный защитный комплекс корпоративного уровня. Обеспечивает усиленную защиту от всех типов атак для физических и виртуальных систем.
Symantec Endpoint Protection доступен для ОС:
- Windows
- Windows Server
- Windows Embedded
- MacOS
- Linux
Защита Symantec Endpoint Protection основана на пяти основных направлениях:
Файловая защита – в режиме реального времени контролирует все события в системе, относящиеся к защите от вирусов. Все файлы сканируются на наличие вредоносного кода во время их открытия, создания или запуска.
Сетевая защита – обеспечивает безопасность устройства из вне. Позволяет определять случаи, когда как известные, так и неизвестные уязвимости используются для входа в систему пользователя.
Поведенческий анализ – обнаруживает новые, неизвестные угрозы, для блокирования их вредоносной деятельности.
Проверка репутации – позволяет определить надежность/ненадежность файлов на основе основных критериев:
- возраст файла
- происхождение
- путь файлв
- местонахождение файла
Удаление угроз – позволяет надежно изолировать угрозу, устранить вредоносную активность.
Symantec Endpoint Protection использует технологии Insight, которая позволяет ему на раннем этапе и с большей точностью обнаруживать неизвестные угрозы, по сравнению с решениями, реализующими проверку сигнатур или анализ поведения.
Как установить Symantec Endpoint Protection (неуправляемый клиент) на ОС Windows?
Официальный сайт Symantec Endpoint Protection.
Скачиваем Symantec Endpoint Protection по ссылке. На момент создания заметки, была самая последняя версия Symantec Endpoint Protection: 14.3
Вы можете выбрать нужную версию и скачать Symantec Endpoint Protection:
После загрузки, запустите установочный файл. Установщик в автоматическом режиме, произведет распаковку установочных файлов:
Подготовит меню установки:
Проверит установочные файлы:
После, у нас появиться возможность приступить к установке Symantec Endpoint Protection, где нужно нажать «Далее»:
Принимаем условия лицензионного соглашения и нажимаем «Далее»:
Выбираем тип установки* «Клиент даркнет» и нажимаем «Далее»:
*При выборе установки «Клиент даркнет», будут установлены все защитные компоненты Symantec Endpoint Protection, что позволит более гибко настроить антивирусный комплекс и обеспечить максимальную защиту.
В окне «Выберите компоненты программы для установки», щелкаем напротив значка «Базовые файлы» и в открытом выпадающем списке, выбираем второй пункт «Весь компонент будет установлен на локальный жесткий диск» и нажимаем «Далее»:
Для более детального анализа неизвестных угроз (меньшего числа ложного срабатывания), лучше не снимать галочку напротив пункта отправки анонимных данных о файлах в компанию (по умолчанию включено):
Вы можете убрать галочку с пункта, если не хотите отправлять информацию в компанию, о ходе установки ПО на свое устройство и нажимаем «Установить»:
Ждем окончания процесса установки Symantec Endpoint Protection:
Теперь, перезагрузите свое устройство. После перезагрузки, можно приступать к настройке Symantec Endpoint Protection. Стоит обратить внимание, что установщик Symantec Endpoint Protection не создает ярлык на рабочем столе. Открыть настройки Symantec Endpoint Protection, можно через «Пуск» «Установленные программы» или на панели задач (в трее справа, где часы).
Приветствуются комментарии с полезной информацией: уточнениями, дополнениями, вопросами. Очень хорошо, когда вы делитесь своим опытом. Ваш опыт и информация, могут быть полезны другим.
Категорически запрещено в комментариях использование ненормативной лексики (в том числе нецензурную речь). Комментарии со спамом и рекламой, не пройдут модерацию.
Все комментарии, проходят модерацию и публикуются только после рассмотрения и одобрения.
Без политики и языковых перепалок.
Мной была добавлена дополнительная система комментариев от Телеграм. Вы можете оставлять комментарии в обычной форме (нужен Google аккаунт) или через Телеграм (комментарии расположены выше). Правила одинаковые:
Без мата и оскорблений.
Без политики и языковых перепалок.
Без спама и рекламы.
Defutil
Defutil logging is saved to /opt/Symantec/virusdefs/defutil.log (for example). The log name is specified in configuration below; "defutil.log" is used here, but any name may do. Defutil logging is helpful when the LiveUpdate log indicates a successful session, but definition updates are still not being applied. For example, "Failure in post processing" error seen at the command line when attempting to update definitions. To enable defutil logging, edit or create the following file: /etc/symc-defutils.conf, add a [defutillog] section if it does not exist, and add "defutillog_name=defutil.log" .
Example entry in symc-defutils.conf:
In SEP 14.2 and newer, create empty defutil.log under /opt/Symantec/virusdefs directory first before editting symc-defutils.conf.
Overview of log and configuration files in Symantec Endpoint Protection for Linux (versions 14.3.1169 or older)
Article ID: 161862
Updated On:
Products
Issue/Introduction
What kinds of debug logging does Symantec Endpoint Protection (SEP) for Linux produce, where are the log and configuration files, and how is logging configured?
Environment
NOTE: This article is only for SEP for Linux versions 14.3 MP1 (14.3.1169) or older. For SEP Linux Agent 14.3 RU1 (14.3.3384) or newer, see Troubleshooting the Symantec Linux Agent
Resolution
Sylink/Communication Module
Sylink logging in SEP 12.1.x is saved to /var/symantec/Logs/debug.log.
In SEP 14 and newer, path is /var/symantec/sep/Logs/debug.log
To enable sylink debug logging, create a new text file named /etc/symantec/sep/log4j.properties ( /etc/symantec/log4j.properties in SEP 12.1.x ), with the following contents:
Then, restart the smc daemon:
Syslog
System event logging is saved by default to /var/symantec/Logs/syslog.log and is always on.
Через некоторое время после установки в корпоративной сети антивируса Symantec Endpoint Protection 12.1. На машине, отведенной под сервер данного "чуда" начало стремительно заканчиваться дисковое пространство. Немного пошарив по каталогам, я обнаружил виновника. Оказалось, что лог операций с внутренней базой Symantec Endpoint Protection Manager ( C:\Program Files\Symantec\Symantec Endpoint Protection Manager\db\sem5.log ) за пару месяцев разросся до десятков гигабайт.
Кому-то может показаться, что 57 Гб за полгода это совсем не много, в свое оправдание скажу, что с момента создания лог уже очищался.
Так как в повседневной жизни есть занятия более интересные, чем следить за тем, чтоб антивирус не занял все свободное пространство на системном диске, было принято решение ограничить размер лога или как-то автоматизировать его очистку. Первое, что пришло в голову - это простенький .bat - файл, который останавливал бы службу, очищал файл и запускал службу снова. И такой вариант нашелся на сайте Symantec:
How to periodically free up the space used by the sem5.log in EPSBE 12.1 RU1
Автор подробно (с картинками) рассказывает как как создать и добавить в планировщик .bat-файл со следующим содержимым:
net stop semsrv
net stop SQLANYs_sem5
attrib -r "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\db\sem5.log"
del "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\db\sem5.log"
net start SQLANYs_sem5
net start semsrv
Вариант отличный, я тут же его опробовал и убедился в работоспособности. Нужно только проверить пути к файлу лога. Но почему-то хотелось найти решение, которое предлагает компания Symantec, ведь за антивирусное программное обеспечение платятся деньги, а допиливать купленные решения вручную не хочется. В очередной раз пролистав Руководство по внедрению (Implementation Guide), которое располагается на 1167 страницах, я понял, что производитель об этом не упомянул (может я плохо искал?).
Оказывается нужно просто в консоли администрирования, в разделе "Админ" (Admin), в пункте "Серверы" (Servers) выбрать сервер базы данных и выполнить задачу "Очистить журнал транзакций" (Truncate the database transaction logs). А за одно и выполнить реиндексацию (Rebuild Indexes Now).
Также можно настроить выполнение задач по расписанию в свойствах базы данных. Для этого отметим соответствующие пункты и выберем желаемое время:
I'm having issues with installing SEP 12 using the manager and I'd like to know where the log file is located. I already opened a ticket with Symantec but I have to wait until tomorrow so while waiting, I'm curious to dig through logs.
Contest ends 2022-05-15 Contests Complete a survey about your desktop and or gaming PC(s) Contest Details View all contests
From the client side, the SEP_Inst.log is located at %temp% and/or %systemroot%\temp.
Установка и администрирование Symantec Endpoint Protection.
Защитный комплекс Symantec Endpoint Protection, поставляется в двух вариантах для установки и администрирования.
1. Упавляемый клиент. Управляемые клиенты подключаются к Symantec Endpoint Protection Manager. Клиентскими компьютерами можно управлять из консоли Symantec Endpoint Protection Manager. С помощью консоли можно обновлять программное обеспечение клиента, политики безопасности и описания вирусов на управляемых клиентских компьютерах.
Управляемый клиент может получать обновления содержимого от Symantec Endpoint Protection Manager, поставщиков обновлений группы, через Интернет или LiveUpdate.
2. Неуправляемый клиент. Администрирование клиентского компьютера осуществляется основным пользователем этого компьютера. Неуправляемый клиент не подключается к Symantec Endpoint Protection Manager и не может управляться из консоли. В большинстве случаев неуправляемые компьютеры подключаются к сети время от времени или не подключаются вовсе. Основной пользователь компьютера должен самостоятельно обновлять на нем ПО клиента, политики безопасности и описания вирусов.
Неуправляемый клиент может получать обновления содержимого через Интернет и LiveUpdate. Содержимое потребуется обновить отдельно на каждом клиентском компьютере.
Vpdebug
vpdebug logging is saved to /opt/Symantec/symantec_antivirus/vpdebug.log
To enable vpdebug:
Repeat the command above with an empty --data string to turn vpdebug off. Restart rtvscand for settings change to take effect:
sudo service rtvscand restart
WARNING: SEP for Linux vpdebug logging will quickly grow quite large.
Note : Debug logging is for troubleshooting purpose and is recommended to disable after the log collection is completed.
12 Replies
From the client side, the SEP_Inst.log is located at %temp% and/or %systemroot%\temp.
The SEP install first runs the Microsoft Installer (MSI) install, and then runs the Symantec Installer Server (SIS).
Files to obtain when troubleshooting a failed client install
Look in the following file system locations: %temp% or %systemroot%\temp
Contains SEP_INST.log (MSI log)
Contains ROLLBACK.log (if rolled back during migration)
%AllUsersProfile%\Application Data\Symantec\Symantec Endpoint Protection\%currentversion%.105\Data\Install\logs
Contains SIS_INST.log (Symantec Installer Log)
Contains RORU.log (uninstall log of previous product)
For rollbacks during a fresh install check SEP_INST.log and SIS_INST.log
For failures in SEP_INST.log search for Value 3
For failures in SIS_INST.log search for "failed to execute" "returning non-success" and "ACTION_FAILED."
Other files to obtain when troubleshooting failed client install
%Program Files%\Symantec\Symantec Endpoint Protection\\Scripts
All files (e.g., install script, rollback script, etc.)
%AllUsersProfile%\Application Data\Symantec\Symantec Endpoint Protection\\Data\Scripts\
All files (e.g., install script, rollback script, etc.)
Further logs:
I have a server with SEP and the log files with .dmp extension are filling up the C:\ drive. The files are located at C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs. First, is it safe to delete these? Second, how can I delete these? The system won't let me take ownership or modify the permissions to allow me to delete. None of the other SEP clients have these files.
Contest ends 2022-05-15 Contests Complete a survey about your desktop and or gaming PC(s) Contest Details View all contests
Тестирование Symantec Endpoint Protection 14.3 RU1
Из результатов тестирования видно, что Symantec Endpoint Protection справился практически со всеми угрозами. Примечателен и результат защиты от вирусов-шифровальщиков в Symantec Endpoint Protection, где на тестовой машине, все файлы не были повреждены и/или зашифрованны. При этом, защита антивируса была настроена на средних настройках для обеспечения минимального количества ложных срабатываний. Все это дает нам понимание того, что у Symantec Endpoint Protection большой потенциал и высокий уровень защиты от неизвестных угроз. При более тонко настройке антивирусного комплекса, можно достичь максимальной защиты. Результаты защиты от ПНП/PUP (потенциально нежелательных программ), будут дополнительным аргументом использовать данный антивирус на домашних устройствах, а не только в корпоративной среде.
SEP for Linux configuration files:
- /etc/liveupdate.conf - Not present in SEP 14 and newer. LiveUpdate configuration in SEP 12.1.x. See The default contents of liveupdate.conf in SEP for Linux.
- /etc/Symantec.conf - BaseDir and JAVA_HOME paths used by SEP. These should not be changed, with the exception of JAVA_HOME, when necessary. JAVA_HOME is not used in SEP 14 and newer.
LiveUpdate
- SEP 12.1.x
LiveUpdate logging is saved by default to /opt/Symantec/LiveUpdate/liveupdt.log and is always on. The default liveupdt.log file path can be changed by editing /etc/liveupdate.conf. See The default contents of liveupdate.conf in SEP for Linux. - SEP 14 and newer
LiveUpdate logging is saved by default to /opt/Symantec/LiveUpdate/Logs/lux.log
Note : Debug logging is for troubleshooting purpose and is recommended to disable after the log collection is completed.
Installation
Not all logs may be present, depending on version and components chosen for installation:
Читайте также: