9 Replies Latest reply: Aug 22, 2014 5:28 AM by atoji RSS

    ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい

    atoji

      ePoポリシーの自動応答で課題の処理ができると聞いたの下記設定をしたのですが、失敗を認識せずメールが飛びません。

       

      イベント

      ・イベントグループ:ePoイベント通知

      ・イベントタイプ:脅威

      プロパティ

      ・脅威カテゴリ:更新の失敗

       

      なお更新の失敗をした際、脅威のイベントログにはログが記録され、そのログ内容を確認すると脅威カテゴリは「更新の終了」となっていました。

      そのため、脅威のカテゴリを「更新の終了」にするとメールが飛びました。

       

      「クライアントのDAT更新失敗を管理者にメールしたい」のが要件ですが、

      上記方法であっているのでしょうか? 正しい設定もしくは他の方法をしっていたら教えてください。イベントIDで対応できるとも聞いたことがありますが、設定内容とIDがわかりません。

      更新の終了だと他の事象でもメールが飛ぶのではないかと考えてます。

      また、「更新の失敗」とは、"何を"失敗した場合に通知する内容となるのでしょうか?知っている人いましたら教えていただけると幸甚です。

        • 1. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
          ansarias

          あなたは、DATのアップデートに失敗したメールボックスまたはユーザーに電子メールをしたい場合は、お気軽にお問い合わせください。

          • 2. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
            tkudo

            atoji さん、こんにちは

             


            マカフィーテクニカルサポートセンターです。
            弊社コミュニティーへご投稿いただき、ありがとうございます。

            クライアントでの更新処理失敗を ePO サーバの自動応答機能を使って、管理者へ通知メールを送りたいとのことですので、ePO 内部での動作を確認したところ、

            以下のように"更新の終了"カテゴリではイベントID 1118と1119のアップデートの成功/失敗の両方を定義しておりますので、"更新の終了"カテゴリをトリガとして

            メール送信設定をされている場合には、アップデートの成功/失敗どちらのイベントでも ePO サーバからメールが送信されてしまいますので、アップデート処理失敗

            のみ通知メールを送信されたいとのことですので、そのような場合には通知のフィルタルールにて "脅威カテゴリ" ではなく、"脅威イベントID" を選択のうえ、通知

            メールを送信する条件となるイベントIDを指定してください。

             

            なお ePO サーバでは様々な製品を管理できるため、どのイベントIDを指定するかを確認されたい場合には、ダッシュボードにある、"脅威イベント"を表示させ、

            "データベース内で数の多い脅威イベント" などから、アップデートに失敗したイベントIDを確認することができるかと思いますs。


            --- ePO内部での処理動作
            ELSE IF @IEventID in (1118, 1119)
            BEGIN
            SET @TmpthreatCategory = 'ops.update.end'
            END

             

            --- イベントリスト
            KB52417 VirusScan Enterprise および AntiSpyware Enterprise のイベント ID の詳細リスト
            https://kc.mcafee.com/corporate/index?page=content&id=KB52417&actp=null&viewloca le=ja_JP

            1118     McUpdate     SEVERITY_INFORMATIONAL         ops.update.end      なし     257     情報     アップデートに成功しました。
            1119     McUpdate     SEVERITY_WARNING                    ops.update.end      なし     258     警告     アップデートに失敗しました。イベント ログを参照してください


            これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


            以上

             
            マカフィー工藤
            ePO/MA/VSE Support Engineering Operations, Japan
            McAfee, Inc.

            • 3. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
              atoji

              工藤様

               

              ご回答ありがとうございます。大変よくわかりました。イベントIDでフィルタして確認してみます。

              ちなみに最初は、「更新の失敗」を選択して悩んでいたのですが、そもそもこの「更新の失敗」はどのような時に利用するのかご存知であれば教えていただけると幸甚です。

              製品マニュアルを読んだのですが、このあたりの説明が記載されてませんでした。この辺のカテゴリの説明が記載されているサイトや製品付属のマニュアル

              あれば教えてください。

              • 4. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                tkudo

                atoji さん、こんにちは

                 

                マカフィーテクニカルサポートセンターです。
                ご質問いただき、ありがとうございます。

                 

                "更新の失敗" ですが、こちらは将来用として予約している機能となるため、現状の ePO サーバではこちらを設定いただいても機能いたしません。

                念のため、自動応答の "脅威カテゴリ" へ登録されている、 "更新" 関連に紐付いているイベントIDを下記へ記載いたしますので、何かのお役に立てれば幸甚でございます。

                 

                更新の失敗                    ops.udate.error                    N/A (将来用として予約)

                更新のキャンセル           ops.update.cancel                1121
                更新の開始                    ops.update.start                    N/A (将来用として予約)

                更新の終了                    ops.update.end                    1118,     1119

                 

                またご質問いただきました情報でございますが、マニュアル等での掲載はございません。

                今回いただきました件につきましては、今後のマニュアル作成の参考とさせていただきます。

                なおお客様の方でご確認いただく方法といたしましては、作成いただきました自動応答ルールをエキスポートいただき、ご使用中のブラウザやエディタ等で内容をご確認

                いただけるかと思います。

                 

                例:

                epoThreatEvent.threatCategory+%22ops.update.end+%22

                 

                これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


                以上

                 
                マカフィー工藤
                ePO/MA/VSE Support Engineering Operations, Japan
                McAfee, Inc.

                • 5. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                  atoji

                  工藤様、早急なご回答ありがとうご゛います。

                   

                  現在、「更新の終了」でも成功の場合は、メールが飛んでいません。成功の場合は、脅威イベントとならないということはないでしょうか?

                  つまり、流れとしては、下記となってないでしょうか?

                  ①脅威か?

                  ②更新の終了(1118 or 1119)か?

                   

                  これであっていれば、1119をフィルタする場合と、動作は同じと考えてもよいのでしょうか?

                   

                  以上

                  • 6. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                    tkudo

                    atoji さん、こんにちは


                    マカフィーテクニカルサポートセンターです。
                    アップデート処理成功時(Event ID: 1118) でも通知メールが送信されないとのことですが、こちらは最初に記載させていただきましたように 自動応答の"脅威カテゴリ"で

                    "更新の終了" を選択いただいた場合には、Event ID: 1118, 1119 どちらのイベントが クライアントマシンからePO サーバ上へアップロードされた時点でトリガされる

                    処理となります。

                     

                    大変お手数ではございますが、"メニュー" > "設定" > "サーバの設定" > "イベントフィルタ" にて Event ID: 1118 がイベントアップロード対象※となっているかをご確認下さい

                    ますでしょうか。(※ Event ID: 1118 はデフォルトトでは ePO サーバ上にアップロードされない無効として設定されています。)

                     

                    なお私の環境では、同様の設定にて通知メールが送信されることを確認させていただいております。

                     

                    これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


                    以上

                     
                    マカフィー工藤
                    ePO/MA/VSE Support Engineering Operations, Japan
                    McAfee, Inc.

                    • 7. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                      atoji

                      工藤様

                       

                      ご回答ありがとうございました。

                      > なお私の環境では、同様の設定にて通知メールが送信されることを確認させていただいております。

                      の同様の設定は、イベントフィルタで1118を有効にしているという認識で間違いないでしょうか?

                       

                      確かに、イベントフィルタは殆どを既定値にしていたので確認したら1118はチェックが入っていませんでした。

                       

                      ということは、この設定でもイベントIDで引っ掛けるのと同じi

                      、"脅威イベントID" を選択のうえ、通知

                      メールを送信する条件となるイベントIDを指定してください。

                      • 8. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                        tkudo

                        atoji さん、こんにちは


                        マカフィーテクニカルサポートセンターです。
                        はい、イベントIDでのトリガと変わりございません。

                        "更新の終了" カテゴリではイベントID 1118と1119のアップデートの成功/失敗の両方をイベントIDが紐つけられていますので、"更新の終了"を指定いただいた場合には

                        ID 1118、もしくは1119 イベントが ePOサーバへアップロードされた時点で通知メールがトリガされます。

                         

                        --- ePO内部での処理動作

                        ELSE IF @IEventID in (1118, 1119)

                        BEGIN

                        SET @TmpthreatCategory = 'ops.update.end'

                        END


                        これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


                        以上

                         
                        マカフィー工藤
                        ePO/MA/VSE Support Engineering Operations, Japan
                        McAfee, Inc.

                        • 9. Re: ePo5.1 クライアントのDAT更新失敗を管理者にメールしたい
                          atoji

                          工藤様

                           

                          長々とご回答ありがとうございました。ePoの動きが良く理解できました。

                          使用できない機能が選択できたりドキュメントに改善の余地ありますが、今後の改善を期待しております。

                          その分このようなコミュニティにてきちっと対応していただいて素晴らしいと思いました。

                          今後もよろしくお願いいたします。