44 ответов в этой теме

[Kirill Polubelov]

Отбой, спасибо, удалось воспроизвести )

Имеющиеся логи бесконечно помогли.

[Hunt0rr]

Это конечно хорошо что помогли

 

Доктор, какие пилюли пропишите?

[Kirill Polubelov]

Ну, если хирургический метод, то отключить "Собирать информацию о станциях" в разделе АВ-сеть - проблемная станция - Агент Dr.Web, временно.

Но, если время терпит, то я бы попросил пока этого не делать, а даже совсем наоборот, все-таки сделать дебажный лог, вдруг у вас что-то другое, нежели у меня получилось.

[Afalin]

И лог намного лучше. Чтоб если что, фикс имел бы шансы попасть в последний апдейт 10.0.

[Hunt0rr]

И лог намного лучше.

Это как?

Как вариант могу предложить логи с машин, ну и соответственно включу дебажный лог.

Т.е. получается, что это какой то косяк в софте? И когда тогда ждать последний апдейт?

Ну и еще один вопрос. У нас ФСТЭК версия, и на сколько я знаю, должна стаять версия только с диска. На сколько правомерно мне обновлять свою версию? Она же перестанет быть сертифицированной....

[Kirill Polubelov]

Чтоб если что, фикс имел бы шансы попасть в последний апдейт 10.0.

 

Всё от вас, теперь, зависит, дорогой коллега )

 

 

 

Как вариант могу предложить логи с машин, ну и соответственно включу дебажный лог.

 

Да, именно это и хотелось бы, чтобы убедиться, что мы раскопали именно то же, что и у вас.

Главное, дебажный лог с сервера, где были бы как раз моменты, когда станция переподключалась. Указаныне выше параметры логгирования должны с этим справиться.

Сообщение было изменено Kirill Polubelov: 10 Февраль 2017 - 16:51

[Afalin]

Ну и еще один вопрос. У нас ФСТЭК версия, и на сколько я знаю, должна стаять версия только с диска. На сколько правомерно мне обновлять свою версию? Она же перестанет быть сертифицированной....

Инспекционный контроль по ФСТЭК версии периодически проводится. И то, что будет выпускаться вскоре, пойдёт под ИК.

 

Всё от вас, теперь, зависит, дорогой коллега )

Ага, щас.

[Kirill Polubelov]

А покажите еще, пожалуйста, строчку из /var/opt/drwcs/etc/drwcsd.conf

про database, например, так:

grep -A19 -e "<database" /var/opt/drwcs/etc/drwcsd.conf

[Hunt0rr]

А покажите еще, пожалуйста, строчку из /var/opt/drwcs/etc/drwcsd.conf

про database, например, так:

grep -A19 -e "<database" /var/opt/drwcs/etc/drwcsd.conf

 

    <database connections='2'>
      <sqlite cachesize='2048' dbfile='database.sqlite' precompiledcache='1024' synchronous='FULL'/>
    </database>
    <dns>
      <cache enabled='yes' negative-ttl='1' positive-ttl='180'/>
      <timeout value='5'/>
      <retry value='3'/>
    </dns>
    <encryption mode='yes'/>
    <geolocation enabled='yes' startup-sync='0'/>
    <id value='d1413602-7933-46c4-8d42-3fdb323fd566'/>
    <keep-infection enabled='yes'/>
    <keep-installation enabled='yes'/>
    <keep-run-information enabled='yes'/>
    <keep-scan-errors enabled='yes'/>
    <keep-scan-statistics enabled='yes'/>
    <license-exchange>
      <expiration-interval value='1440'/>
      <prolong-preact value='60'/>
      <check-interval value='1440'/>
 

 

Лог позже выложу.

[Hunt0rr]

А вот и лог свеженький )))

Жду с нетерпением результатов вскрытия.

Прикрепленные файлы:

•  log_13-02-2017 11_06_03.zip   429,66К   1 Скачано раз

[Kirill Polubelov]

Уже лучше лог, но, увы, в него, хоть и попали, Already logged, но, не попали последние команды, до неуспешного логина. успели отротироваться, похоже. Должны были сохраниться архивы, drwcsd.1.log.gz, …, drwcsd.N.log.gz, в них, возможно это сохранилось.

[Hunt0rr]

Должны были сохраниться архивы, drwcsd.1.log.gz, …, drwcsd.N.log.gz, в них, возможно это сохранилось.

 

Надеюсь поможет, но судя по времени в логах нет. А где взять логи старее не знаю.... все что есть в админке.

И насколько я понял станции отваливаются друг за другом либо в одно время, но сегодня наблюдал такую картину... У меня в кабинете 3 компа, на них по очереди вылезло данное сообщение в течении 10 минут, а так же с других отделов звонили в это же время и спрашивали, что это за фигня такая вылезла.......

Прикрепленные файлы:

•  log_13-02-2017 13_43_26.zip   3,47Мб   1 Скачано раз

[Kirill Polubelov]

Отлично, даже несмотря на то, что rotate вы, все-таки, оставили 10М всего лишь, одна птичка попалась. И это именно так проблема, которая была обнаружена.

 

Workaround-ов, сейчас, ровно два:

 

1. Отключить сбор информации о станциях, либо только для проблемных:

1.1. АВ-сеть - группа/станция - Агент Dr.Web - Общие: снять галку "Собирать информацию о станциях"

либо для всех, то есть выключить совсем:

1.2. Администрирование - Конфигурация Сервера Dr.Web - Статистика: снять галку "Состав оборудования и программ"

 

2. Перейти на др. БД, сейчас у вас используется SQlite2, вероятней всего, после обновления с пред. 6-й версии.

С более свежей SQLite3 таких задержек записи не возникает и станции не будут отваливаться.

Или, можно, если станций прилично, перейти на что-то более подходящее, например, PostgreSQL с встроенным, в es, драйвером.

Сообщение было изменено Kirill Polubelov: 13 Февраль 2017 - 14:51

[Hunt0rr]

Перейти на др. БД, сейчас у вас используется SQlite2, вероятней всего, после обновления с пред. 6-й версии.

С более свежей SQLite3 таких задержек записи не возникает и станции не будут отваливаться.

 

ESS был установлен с нуля, без переноса БД. Агенты на машинах удалялись через консоль 6й версии, и заново ставились через консоль 10й версии.  Какая версия БД в вашем дистрибутиве я сказать не могу.... И это тем более странно, что с нуля в развернутой сети сразу возникла пачка таких проблем.....

 

Эта информация повлияет на ваш ответ?

[Kirill Polubelov]

Да, конечно, ☺ Еще рaз посмотрел на конфиг, у вас _уже_ sqlite3 ☺

[Kirill Polubelov]

Сколько у вас станций, всего, если не секрет?

[Hunt0rr]

Сколько у вас станций, всего, если не секрет?

 

Не много, пока на новый сервак перевел только 26 станций из-за этих непонятных проблем, лицензия рассчитана на 52.

[Hunt0rr]

1.2. Администрирование - Конфигурация Сервера Dr.Web - Статистика: снять галку "Состав оборудования и программ"

 

 

 

Оно (см. рис.)?, а то вы по другому назвали.

Хочу временно отключить эти уведомления пока проблема не решится, но статистику эту я все же хотел бы вести

Прикрепленные файлы:

•  4.jpg   42,48К   4 Скачано раз

[IlyaS]

Эту. У себя еще отключил ошибки, статистику сканирования и сессии пользователей.

[Kirill Polubelov]

Да, всё верно.