Добрый день.
У меня ситуация такая.
ERAS 5
ERAC 5
Все это стоит на Windows server 2008 r2.
У пользователей ESET Endpoint Antivirus 5 на Windows 7 и пару машин на XP
Настроено в диспетчере уведомлений 2 правила, событие получения журнала
1. Тип срабатывания: Событие получения журнала
Приоритет: Р1
Интервал: не используется.
Фильтр клиентов: FROM основного сервера
Параметры: Журнал угроз(без угроз по требованию); Уровень 1 - Критические предупреждения
Действия: Электронная почта (
[email protected]), Ведение журнала (Уровень 1)
Сообщение: %LOG_LIST%
2. Тип срабатывания: Событие получения журнала
Приоритет: Р1
Интервал: не используется.
Фильтр клиентов: FROM основного сервера
Параметры: Журнал контроля доступа в Интернет; Уровень 1 - Критические предупреждения
Действия: Электронная почта (
[email protected]), Ведение журнала (Уровень 1)
Сообщение %LOG_LIST%
(данное правило добавил чтобы работало в журнале угроз по появлению вируса по URL, а не только по файловой системе)
Так же создано правило, событие вспышки
Тип срабатывания: Событие вспышки
Приоритет: Р2
Интервал: Не используется
Фильтр клиентов: FROM основного сервера
Параметры: Журнал угроз (без угроз по требованию); Уровень 4- То же + диагностика; 1 вхожд. в 10 минут, количество >= 1 отфильтрованных клиентов
Действие: Электронная почта (
[email protected]), ведение журнала (Уровень 1)
Сообщение: Сервер: %PRIMARY_SERVER_NAME%
Параметры: %PARAMETERS%
Дата последнего обновления журнала, вызвавшего это уведомление: %LAST_LOG_DATE%
Список проблемных записей журнала: %LOG_LIST_FULL%
Так же создано правило, событие вспышки на клиенте
Тип срабатывания: Состояние клиента
Приоритет: Р1
Активация после: Срочно
Повторять каждые: не используется
Фильтр клиентов: FROM основного сервера
Параметры: Количество >=1 отфильтрованных клиентов; Условие возникновения проблемы (Состояние защиты: критические предупреждения OR Имеется запись о последней угрозе)
Действие: Электронная почта (
[email protected]), Ведение журнала (Уровень 1)
На всех этих правилах проставлены галки (то есть они активные).
И наконец описываю в чем заключается вопрос:
Когда я проверял как отрабатываются эти правила, я взял ахрив с файлами вируса, распаковал его и ESET их всех поймал, после чего. В ERAC консоли, компьютер передал свой статус, что мол на нем был вирус и он его удалил, через 5-10 минут пришло сообщение на почту типа:
Сервер: Server
Параметры: Журнал угроз(без угроз по требованию); Уровень 4 - То же + диагностика; 1 вхожд. в 10 минут, Количество >= 1 отфильтрованных клиентов Дата последнего обновления журнала, вызвавшего это уведомление: 2013-06-05 14:49:45 Список проблемных записей журнала: Идентификатор угрозы, компьютер, дата события, пользователь, модуль сканирования, уровень, объект, имя, угроза, действие, информация ============================================================
============================================================
============
1300, Server / Test, 2013-06-05 14:49:43 , domain\test Защита в режиме реального времени, Предупреждение, файл, C:\Users\test\Desktop\Virus7100\6\Ac-255.com, Arcv.255 вирус, удален - изолирован, Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zFM.exe.
Я был доволен этим результатом, но когда решил проверить придет ли уведомление когда инцидент происходит через интернет, путем захода на страницу содержащую вирус, то получилось следующее.
ESET поймал вирус, но в консоли в Журнале угроз не отображается это событие!!! Если событие происходит в файловой системе, то событие отображается и уведомления работают как необходимо, с начало в журнале угроз,а потом на почту отправляется сообщение. Но если проблема возникает через URL, то событие не показывается и письмо с уведомлением не приходит.
Помогите пожалуйста разобраться с данной проблемой, а то идеи кончились.
