Diagnostiquer et éliminer les problèmes sur les agents EPP de Kaspersky Managed Detection and Response
Dernière mise à jour : 22 octobre 2024
Article ID : 16092
Afficher les applications et les versions auxquelles ces informations s'appliquent
- Kaspersky Managed Detection and Response,
- Kaspersky Endpoint Security 12 for Windows,
- Kaspersky Endpoint Security 11 for Windows,
- Kaspersky Endpoint Security 12 for Linux,
- Kaspersky Endpoint Security 11 for Linux,
- Kaspersky Endpoint Security 12 for Mac,
- Kaspersky Endpoint Security 11 for Mac.
- Kaspersky Endpoint Agent,
- Kaspersky Security for Virtualization Light Agent,
- Kaspersky Anti Targeted Attack Platform.
Cet article vous aidera à analyser les fichiers de traces des applications EPP qui transmettent les données à Kaspersky Managed Detection and Response (ci-après MDR) afin d’identifier et de résoudre les problèmes possibles.
Fichiers requis pour le diagnostic
- Fichiers de traces de Kaspersky Endpoint Security for Windows. Le fichier KES*SRV*.log est requis dans la plupart des cas.
- Fichiers de traces de Kaspersky Endpoint Security for Linux. Le fichier kesl*.log est requis dans la plupart des cas.
- Fichier de configuration de Kaspersky Managed Detection and Response.
Diagnostiquer et résoudre les problèmes de perte des données de télémétrie
Diagnostic
Ouvrez les fichiers de traces dans un éditeur de texte et trouvez les lignes contenant « Errcount » :
- S’il n’y a pas de perte des données, la valeur sera 0. Exemple :
15:34:21.177 231473 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0
21:24:09.344 2053788 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0 - En cas des pertes partielles des données, la valeur du paramètre sera 0 dans certains messages et indiquera le nombre d'erreurs dans les autres. Exemple :
12:11:22.180 0x1af4 INF ksnclnt SetRouteStatus for service P2P succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:11:35.196 0x18cc INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:11:43.482 0x1c88 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:12:06.456 0x1c88 INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6 - Si les données ne sont pas récupérées, la valeur du paramètre sera 0 dans tous les messages. Exemple :
12:24:54.801 0x1540 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:24:55.943 0x1af4 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6
12:24:56.853 0x1418 INF ksnclnt SetRouteStatus for service U succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 7
12:25:08.039 0xde4 INF ksnclnt SetRouteStatus for service I succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
Solution
- Vérifiez que l’exécution du service MDR est autorisée sur les appareils :
- Accédez au dossier contenant les fichiers de traces de Kaspersky Endpoint Security for Windows et exécutez la commande :
grep -i "allowed services" KES*SRV*.log | tail -1Si l’exécution du service MDR est autorisée, vous verrez le suivant :kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.097 2946539 INF ksnclnt Ping: Allowed Services = {V, U, P2P, FR, S, MDR}
- Accédez au dossier contenant les fichiers de traces de Kaspersky Endpoint Security for Linux et exécutez la commande :
grep -ai 'allowed services' kesl* | tail -1Si l’exécution du service MDR est autorisée, vous verrez le suivant :KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:24:30.569 0x1540 INF ksnclnt Ping: Allowed Services = {U, S, P2P, CERTINFO, F, FR, I, MDR, V}
- Accédez au dossier contenant les fichiers de traces de Kaspersky Endpoint Security for Windows et exécutez la commande :
- Vérifiez que tous les modules obligatoires sont activés sur les appareils (voir les instructions ci-dessous). Vous pouvez également activer les modules recommandés afin d’enrichir les données de télémétrie :
- pour Kaspersky Endpoint Security for Windows,
- pour Kaspersky Endpoint Security for Linux,
- pour Kaspersky Endpoint Security for Mac;
- pour Kaspersky Security for Virtualization Light Agent.
Si des pertes des données de télémétrie concernent Kaspersky Endpoint Agent ou Kaspersky Anti Targeted Attack Platform, vérifiez que l’intégration avec MDR est configurée. - Vérifiez que la stratégie de Kaspersky Managed Detection and Response s’applique aux appareils :
- La case Managed detection and response est cochée dans les paramètres de la stratégie et le cadenas du paramètre est verrouillé.
- Le fichier BLOB est téléchargé et le bouton Supprimer est active (voir les instructions pour Kaspersky Endpoint Security for Windows et pour Kaspersky Endpoint Security for Linux).
- Le fichier de configuration de Kaspersky Private Security Network est ajouté dans Kaspersky Security Center.
- Autorisez le trafic réseau non chiffré sortant vers les serveurs de Kaspersky pour les ports 443 et 1443 et désactivez l’analyse du trafic.
- Suivez les recommandations sur la configuration des appareils pour éviter la perte des données de télémétrie.
Diagnostiquer et résoudre les problèmes liés à la licence
Diagnostic
- Pour Kaspersky Endpoint Security for Windows :
- Accédez au dossier contenant les fichiers de traces de Kaspersky Endpoint Security for Windows.
- Vérifiez la date de l’expiration de la licence en utilisant la commande suivante :
grep -i "expiration date" KES*SRV*.log | head -1Exemple :KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- Vérifiez la date de l’expiration de la licence dans ce fichier BLOB la licence en utilisant la commande suivante :
grep -i "MdrBlobKeeper::UpdateBlob" KES*SRV*.logExemple :KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:01.531 0x53c INF bl [MdrBlobKeeper] mdr product::component::mdr::MdrBlobKeeper::UpdateBlob: new blob size: 2313, content: status: 0, version: 1, expirationDate: 2026-08-06T00:00:00.000Z, ignoreKpsn: true
- Pour Kaspersky Endpoint Security for Linux :
- Accédez au dossier contenant les fichiers de traces de Kaspersky Endpoint Security for Linux.
- Vérifiez la date de l’expiration de la licence en utilisant la commande suivante :
grep -ai 'expiration date' kesl* | tail -n 1Exemple :kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- Vérifiez que l’état du fichier BLOB est actif en utilisant la commande suivante :
grep -ai 'Blob status' kesl* | tail -1Exemple :kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 DBG mdr Blob status: Valid, version: 1, signerpk size: 550, payload size: 48
Solution
- Renouvelez la licence si elle a expiré.
- Mettez à jour le fichier BLOB s’il est invalide ou s’il contient une date d’expiration de la licence incorrecte. Pour le faire :
- Téléchargez à nouveau l’archive avec le fichier de configuration de MDR.
- Décompressez l'archive téléchargé.
- Ajoutez le fichier BLOB téléchargé dans les propriétés de la stratégie. Voir les instructions pour Kaspersky Endpoint Security for Windows et pour Kaspersky Endpoint Security for Linux
- Appliquez la stratégie aux appareils.
Diagnostiquer et résoudre les problèmes avec les doublons de l’identificateur de l'appareil
Problème
Deux appareils s’affichent et disparaissent dans la Console MDR l’un après l’autre.
Cause
Le problème se produit souvent à cause d’un identificateur identique sur deux appareils, par exemple sur les machines virtuelles clonées.
Diagnostic
Pour vérifier que le problème est dû aux identificateurs identiques :
- Créez les fichiers de traces sur les deux appareils.
- Accédez au dossier contenant les fichiers de traces.
- Comparez les identificateurs des appareils :
- Dans les fichiers de traces de Kaspersky Endpoint Security for Windows, trouvez la valeur du paramètre Machine id ou base machine id en utilisant la commande suivante :
grep -i 'machine id' KES*SRV*.logExemple :KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF ksvla ksvla::virtual_machine::CurrentDevice::MachineId: Machine id: 06A3481D-D433-47F8-91AE-571B1734912B
KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF bl product::VirtualMachineInfoProvider::TryLoadBaseMachineIdFromPersistentCacheOrSaveDefult: base machine id (from persistent storage): 06A3481D-D433-47F8-91AE-571B1734912B - Dans les fichiers de traces de Kaspersky Endpoint Security for Linux, trouvez la valeur du paramètre Machine ID salt loaded from KVS en utilisant la commande suivante :
grep -ai 'machine id' kesl*Exemple :kesl.2053651.2023-08-12T002406.log:2023.08.11 21:24:09.442 2053671 INF aveng apsmdr: #51926414 Machine ID salt loaded from KVS: 62472cf2-4ac8-11de-2f18-5b186731a4d0
- Dans les fichiers de traces de Kaspersky Endpoint Security for Windows, trouvez la valeur du paramètre Machine id ou base machine id en utilisant la commande suivante :
Solution
Changez l’identificateur sur l’un des appareils :
- Contactez le support technique de Kaspersky pour obtenir un correctif pour Kaspersky Endpoint Security for Windows versions 12.5, 12.4, 12.3 ou 12.2.
- Réinstallez Kaspersky Endpoint Security for Linux.
Que faire si le problème persiste
Si le problème persiste, collectez les informations de diagnostic et déposez une demande auprès du support technique de Kaspersky via Kaspersky CompanyAccount.