10 ответов в этой теме

[lapshin]

Добрый день!

 

Имею желание настроить сеть meshd на 13-ой версии, но с возможностями как-то не ладится 

Прошу помощи уважаемых форумчан 

 

По шагам, что делал:

 

1. на виртуалке поставил компоненты

[root@... ~]# ./drweb-11.1.3-av-srv-linux-amd64.run --noexec --target /repo.drweb
[root@... ~]# cd /repo.drweb && ./scripts/installpkg.sh drweb-esagent drweb-meshd

2. присоединил агента к серверу управления, указал через меню "Виртуальный агент" адрес сканирующего сервера по умолчанию: udp://:18008

 

3. сходил на машину, посмотрел вывод 

[root@... ~]# drweb-ctl cfshow MeshD

пишет, что 

MeshD.LogLevel = Notice
MeshD.Log = Auto
MeshD.ExePath = /opt/drweb.com/bin/drweb-meshd
MeshD.IdleTimeLimit = None
MeshD.DebugSsh = No
MeshD.ListenAddress =
MeshD.DnsResolverConfPath = /etc/resolv.conf
MeshD.DiscoveryResponderPort = 18008
MeshD.UpdateChannel = On
MeshD.UpdateUplink =
MeshD.UpdateDebugIpc = No
MeshD.UpdateTraceContent = No
MeshD.FileChannel = On
MeshD.FileUplink =
MeshD.FileDebugIpc = No
MeshD.EngineChannel = On
MeshD.EngineUplink = Discover
MeshD.EngineDebugIpc = No
MeshD.UrlChannel = On
MeshD.UrlUplink = Discover
MeshD.UrlDebugIpc = No

4. в меню "Антивирусная сеть" центра управления нажимаю на машину и через "лупу" запускаю сканирование

 

5. иду на машину, смотрю

[root@... ~]# drweb-ctl log

в выводе пишет среди прочего

 ESAgent [7315] Error: Cannot connect to FileCheck: Component is not installed

6. Ладно, доустанавливаю FileCheck

[root@... ~]# cd /repo.drweb && ./scripts/installpkg.sh drweb-filecheck

7. запускаю сканирование еще раз. в логах ошибка 7315 пропала. сканирует.

параллельно на сканирующем сервере смотрю

[root@... ~]# drweb-ctl stat -n 

пишет только заголовки без статистики

                             Local clients:
Application   PID      Files   Bytes     In    Out Errors

                             Peers to remote sites:
Endpoint               Files   Bytes     In    Out Errors

                             Peers from remote sites:
Endpoint               Files   Bytes     In    Out Errors

значит, машина по команде с центра управления сканируется локальным движком 

 

9. на всякий случай в настройках адреса сканирующего сервера в центре управления вместо udp://:18008 написал tcp://ip-адрес_скан_сервера:7090

в выводе drweb-ctl cfshow MeshD на машине вместо Discover стало tcp://ip-адрес_скан_сервера:7090

но работать так и не стало... проверяет только локально

 

---------

meshd нужно настроить для последующего понимания, будет или нет оно работать с контейнерами docker...

[Dmitry Mikhirev]

А MeshD.FileUplink почему пустой?

[Konstantin Yudin]

сдается мне тут какой то сделай сам. не хватает реального агента который будет использоваться виртуалку с мешем. в вм меша не надо ничего ставить, есть пакет со всем нужным он есть в составе ES. сканировать движком с меш вм не предполагается, это сервисная вируталка, она мало чего умеет.

[Konstantin Yudin]

нужно поставить обычный продукт, десктоп, файл сервер и т.д. подключить его к ES. из ES взять пакет скан сервер с мешем, поставить его на отдельную вм и подключить к ES. дальше в ES включаем режим легкого агента для продукта и подключаем его к адресу вм с скан сервером.

 

скан сервер и легкие агенты имеют смысл только если они они оба на одной физ. железке в виртуалках. по реальной сети это юзать не целесообразно, для этого есть нетчек, icapd, http restapi и т.д.

[lapshin]

А MeshD.FileUplink почему пустой?

добрый день!

автоматом этот параметр не устанавливается с центра управления.

в man написано, вроде, что deprecated...

но я сейчас пропишу и посмотрю, что изменится

спасибо)

[lapshin]

нужно поставить обычный продукт, десктоп, файл сервер и т.д. подключить его к ES. из ES взять пакет скан сервер с мешем, поставить его на отдельную вм и подключить к ES. дальше в ES включаем режим легкого агента для продукта и подключаем его к адресу вм с скан сервером.

 

скан сервер и легкие агенты имеют смысл только если они они оба на одной физ. железке в виртуалках. по реальной сети это юзать не целесообразно, для этого есть нетчек, icapd, http restapi и т.д.

добрый день!

прошу прощения, что всё это не описал. сейчас поясню.

есть виртуалка, на на ней чисто скан-сервер. поставлено из соответствующего дистрибутива. скан-сервер уже подключен к центру управления.

есть виртуалка, на ней только агент и мешд. почему не какой-то полноценный продукт? а зачем он нужен, если про мешд в доке пишут, что оно умеет отправлять по сети на проверку. если я поставлю полный дистрибутив, допустим, того же fileserver для UNIX, то оно же сразу в локальную проверку будет валИться. про это же указал в теме.

 

мне нужен функционал "чистого" мешд, если такой вообще существует и это не маркетинговая "пыль в глаза".

[lapshin]

сдается мне тут какой то сделай сам. не хватает реального агента который будет использоваться виртуалку с мешем. в вм меша не надо ничего ставить, есть пакет со всем нужным он есть в составе ES. сканировать движком с меш вм не предполагается, это сервисная вируталка, она мало чего умеет.

[root@... ~]# cd /repo.drweb && ./scripts/installpkg.sh drweb-esagent drweb-meshd

вот здесь устанавливается реальный агент

[lapshin]

уважаемые эксперты, из Ваших сообщений правильно ли я понял, что для работы meshd нужен локальный движок на виртуалках, которые будут "легкими агентами"?

какие преимущества даст meshd по сравнению с netcheck?

тестировал netcheck и описывал ситуацию в этой ветке https://forum.drweb.com/index.php?showtopic=335254&hl=

по мне - нагрузка при netcheck не дает "вау-эффекта" по сравнению с локальным se, а огорода городить куда больше со сканирующими узлами.

[lapshin]

уважаемые эксперты, прошу прощения, если кого-то обидел своей некомпетентностью) на то и спрашиваю, чтобы узнать)

однако. поделюсь таки дальнейшими своими действиями на пути к просветлению )

 

есть две виртуалки на стенде, которые есть мастер и воркер кубернетеса. на них своп отключен.

поставил я на них доктора:

[root@... ~]# ./drweb-11.1.3-av-srv-linux-amd64.run --noexec --target /repo.drweb
[root@... ~]# cd /repo.drweb && ./scripts/installpkg.sh drweb-esagent drweb-meshd drweb-filecheck

подтянул обе виртуалки в центре управления в качестве виртуальных агентов к сканирующему серверу

запустил лупу быстрого сканирования и ушел смотреть вывод top...

 

надо сказать, что на первый взгляд это выглядело довольно круто)

мастер в обычной своей жизни имеет load average в районе от 5 до 6

при запуске filecheck'а load average был на уровне 7,5 в течение довольно короткого времени, пока шло сканирование

прошу прощения, что сомневался в meshd)

с сертифицированной 11-ой версией такая виртуалка уходила в down

 

и у меня вопрос: в документации нет рекомендаций насчет количества сканирующих серверов. какие существуют best practices о том, сколько виртуалок может держать один сканирующий сервер?

[amorozov]

6. Ладно, доустанавливаю FileCheck

Сканирование файлов через ES или drweb-ctl scan выполняется через FileCheck. Он обходит ФС, выполняет действия, уведомляет об угрозах и хранит информацию о них. Без FileCheck можно сканировать с помощью

sudo drweb-ctl rawscan --scanengine system /путь

значит, машина по команде с центра управления сканируется локальным движком

Это статистика NetCheck. Если сканирование файлов и не через drweb-ctl netscan, то он тут не задействуется.

А MeshD.FileUplink почему пустой?

Так и должно быть. Сканирование файлов по mesh-протоколу - канал Engine, проверка url-ов - канал Url. А к каналу File сейчас вообще нет клиентов.

если я поставлю полный дистрибутив, допустим, того же fileserver для UNIX, то оно же сразу в локальную проверку будет валИться.

Если включить для него виртуальный агент, то должно переключиться на MeshD.

и у меня вопрос: в документации нет рекомендаций насчет количества сканирующих серверов. какие существуют best practices о том, сколько виртуалок может держать один сканирующий сервер?

Тут не отвечу. Самому было бы интересно

[Konstantin Yudin]

>есть виртуалка, на ней только агент и мешд. почему не какой-то полноценный продукт? а зачем он нужен, если про мешд в доке пишут, что оно умеет отправлять по сети на проверку. если я поставлю полный дистрибутив, допустим, того же fileserver для UNIX, то оно же сразу в локальную проверку будет валИться. про это же указал в теме.

>мне нужен функционал "чистого" мешд, если такой вообще существует и это не маркетинговая "пыль в глаза".

 

никакого чистого мешд нет, я это похоронил, мешд это модуль часть продукта, есть режим работы агентов в легком режиме, когда локально нет баз ав и url и движка, это часть продуктов для десктопов, файловых серверов, рулится это со стороны ES сервера а не агента. Переключите на сервере режим и никто не будет использовать локально базы и движок а подключится к скан серверу.

 

я категорически против ставить по кускам наши продукты делав из них солянку, а потом пытаться со всем этим взлететь. мы коммерческая компания и делаем продукты, только за них мы можем отвечать. т.к. я этим рулю, то по другому быть не может.

 

меш протокол отличается от нетчек кардинально. нетчек это передача данных по сети, меш протокол канала Engine, имплементирует в себя протокол сканирования движком, т.е. файл не передается тупо по сети, нет, он работает в тандеме с движком на сканирующей стороне.