SymantecDLP数据防泄漏系统运维操作手册

1、目录1 DLP系统检查22 DLP系统监控62.1 服务监控62.2 性能监控 63 DLP系统维护73.1 ENDPOINT服务器的停止、重新启动73.2 配置事件计数器 93.3 日志文件114 DLP系统常见问题处理134.1 DLP客户端常见问题134.1.1 客户端主要进程有哪些134.1.2 如何卸载客户端134.1.3 如何检查DLP客户端是否连接服务器134.1.4 客户端安装日志收集方法134.1.5 DLP客户端支持哪些操作系统134.1.6 为何安装了 DLP客户端后，我的C盘（系统盘）剩余空间很快用完了144.1.7 DLP客户端为何连接不到Endpoint Serve

2、r144.1.8 客户端安装出现进度条回滚144.1.9 客户端安装时，CMD窗口 ,闪就消失了，并提示WindowsInstaller存在问题144.1.10 客户端程序安装结束后发现没有EDPA.EXE服务和进程154.1.11 EDPA服务器无法启动，提示16398 0X4005错误154.2 DLP服务器常见问题154.2.1 搭建管理服务器时，执行命令报错或不成功154.2.2 使用EM登入到数据库发现表空间占用接近100%154.2.3 升级服务器的过程中出现文件被锁定的错误提示154.2.4 使用sqlplus连接数据发现数据库用户被锁154.2.5 管理服务器控制台中发现生成的

3、事件没有关联到域属性信息161 DLP系统检查I、Datalnsight系统服务器主机检查：1）步骤：本地运行mstsc,输入IP,输入用户名和密码检查项1：能否正常登录服务器2）步骤：开始运行输入：service.msc检查项2：检查服务Datainsight相关服务是否开启DatalnsightCommDatalnsightConfigDatalnsightFpolicyDatalnsightWeb此部分的Datainsight服务可利用现有的监控平台对应用程序运行状态进行监控。= Windows将楣S橱漏入的名称，为窗J开相应的程序, 文件夹.文档或Internet资原。打开:Iserv

4、ices, msc,使用管理权限创建此任务。楣定 I 雌 I 艘I1整史 忸花 |后如；型 |笠丸与血化胚专独创1许Bit：sat S«ry»rOK I*y.CO1，工vg：, Sysi«i Svrte« AioJcadgC6F<««r Br vxr CrwdtnliaL ,皿小于动率其保瑞文.己启动自动吴包孝功左姓需缢«争用革炼济力于动车期前送己学上劭/学巴加.B6=i）自动*庭研2已再哄本港筠防日即自动下嫁以以已助R动主麻折Lm小 1% J-lujfl Jcrvw bocd LracbwP；U已氏助esZJi晶妙*

5、但IG5.4 1*ix4<v Ro.«c«rS«s«:««< 内4”r*2. 已后功自功主Ui系试aitCPClQz力己国）自动车师*Teller Ssrince诊.自动便. .史妙有公THvctio £sf.手动本村都另4班7*2>6匚6,川5 Hvat.手动室处系咕二加* OefraEBenter舞手仙塞也茶结3）步骤：双击桌面程序“Symantec Data Insight Console”输入用户名和密码检查项3：能否正常登录控制台-|g| x|检查项4： Datalnsight系统基本状态 点击

6、“SeHings” > “ System Overview"检查项5： Datalnsight最近一次扫描状态点击“Settings” > “ ScanningM -> “Scan Status”，查看最近一次的全量扫描和增量lain Insichl - lindovs Interact. £xpl or ex3 |区 E.“二；du."t cloudvoy. con/三“ 证书皆是腐检夹|台芭建祺磷亶网页快讯库6 ,叩皿匕gc Dat* Insight*国 .怎。天面叩-安全（SA工具（0），I I I 能,可信站点I在护程式：禁用，&

7、；艮io. 工q开始 I U 日 一 I后一二二一二二 HB4）步骤：登录控制台，进入“Settings”,依次查看并检查如下信息扫描是否成功，O*CMN lURMta Owhb4ardAbout | ttato I SgSjetwn Ommta 0 ?orrn(。代f*en 2 G*ggnvmtovy8*hP<»厂1ay mvilm rypu WrH»l2lrHE?55 5a»5 I 5c?r Hety*才外 reE Web A>po., ®ftrec«r» Secret fflarcarrinBv CraKofaUtl

8、 KtatmSyW2 Oota【，3Uw WWSeeevBv Cdkctor CcGr0t.oo>Cb«3v.anOoMSenRA>e Of la 乂Good J厂 i«?nr ADwIZI将EQ>5断七口 5G<I1(I( 4)1 t««CN»r<cmjH，t£nA3”'=3TO<f%” Krr«.3US KnOMi Good 93X8hlSd必gyswoeso 4x<av 皿 i06(w.Atoa it nruttf a(» ga<:c4Kt ictar.

9、 AbwA 41 mtn 丽©Su 卬MiSelect xtsrv. s】»» /i HwfO,ngU，U w/SymrtKlegpai Uwr: A4mnl«tnrtor«eATA1M»GKT检查项6： Datainsight当前的Index状态点击“SeHings” -> “Filers”，找到文件服务器，在"Select Action"下拉框中选择 “View”在新出现的界面中点击“Monitored Shares”，查看当前的Index状态是否正常检查项 7： Datainsight点击 “Setti

10、ngs” -> uData Insight ServersM ,在 uSelect Actionv 下拉框中选择 “View”在新出现的界面中点击“Services",查看当前的服务（除DatalnsightCelerra外） 状态是否正常2 DLP系统监控为确保DLP系统稳定运行，对于有监控平台的用户，可将DLP加入监控:2.1 服务监控数据库服务：Orac1eOraDb11g_home1TNSListenerOrac1eServicePROTECTVontu服务：Vontu UpdateVontu Incident PersisterVontu ManagerVontu M

11、onitorVontu Monitor ControllerVontu Notifier2.2 性能监控监控项目参数阀值CPU<90%内存<90%硬盘>15%的可用空间physicaldisk% disk time<100physicaldiskAvg. Disk Queue Length<13 DLP系统维护3.1 ENDPOINT服务器的停止、重新启动DLP系统中，ENDPOINT服务器的管理由ENFORCE服务器来完 成，以上服务器在安装完成后，依据相关需求注册到ENFORCE服务 器上，对于以上服务器的管理，包括运行状态，服务的停止、重启 等，可直接在EN

12、FORCE服务器界面来完成操作，以ENDPOINT服务器 为例，如下图所示，点击选定的ENDPOINT服务器，_Symantec D.)t “A4mwuaveux 】' 创穿玄 日耳门X疑不烧养* RA ”中 附尸30 K 2 m aMimem & I 闻a” 1vm代次我i就有代CrtM 2 fl. rv “”!（拿）ew*n>穴 5BK.I4”W5iW-0W»««2u> notueeR6!»«C®UCM例“。»ut wciirtea nv务eVOin代*tit «Ma«&#

13、171;raRIEK4。««X X* Xll»aa CST«eviese.hc.ae«wcm2神kx.0b.nM&t）3ah 午附切1814 皿知己的&11-4-24BOX磔牛&%i8i« ,为<A她好m也 /a© 14 S/rNQyt*iy”/Buut”>«，al. 49"vUsU««utsI0)y?。BTfXUA选择重新启动按钮后，在弹出的对话框中选择“确定”按钮， ENDPOINT服务器的服务开始重启，在等待大约2分钟左右后，服 务状态显示正在

14、运行，表明服务重启成功，如下图所示服务重启过 程中的变化，此过程可点击界面右上角的刷新按钮，刷新当前状 态：一：重新启动服务 状态一：正在关闭Symamtec Data Loss Prov«ntJon0，*«/依血SttiM题*KB" I X不皆-ft®nm-4iet”九1上午2:81202t11-6S9T*2!»120cH-6-2* 上午 1I：2S1202升mem tw系5指*欢 憎a用户修，N n*» Mia 鼻基118。& J 5 I船4M因U gedJt1.YM 8 Cr«dk>CMW W»

15、ar代， 1a<1代。 eMM，代Ml3XI48« WJkMWlK1 <*u tLwa E,PW M.VWUM1 Z OMV力 d，化5，Zft：nam«(3 «B*V»ue/itia *«a r<ir，/1皎 y r “XIA ”9«1«IDKerj“jre ».»*« a 夕.o*态三:壬在启动« Symantec Data Loss Prevention1« M*a» »« 鼻拳口3区】4 1 imtw 1 MA WS .

16、*TK*»C* S*.*WSJWOOWB二"“,46】6J*3>U一角 e，0»«*»m多 <Man BUM川UD ynn- H" 巽"lte*rxeic n 优/xeKif.0 6，“jtd 女 wa "一$&代用争i陆有代W- eawircwea<E代«代 a，”1,»««rr我上，*srH»*40 or icr 工上««BiGne)uttf®wn»n i r运金 aattiAM4U1”7IJL年

17、 1681202 mumr翕 m*i6t”Q29Jt 午 11:251202年巾长<y】会«X>t ” t状态三：正常启动?Vy Symantoc D«M。L。，Pravntlan < |1AJ：Ww»ai1，裁*亲*u»w%««-aM； I t m心"勘32»肥 % . ®n K cjLV 8SM“I以府代内。CrwAMi J3 QWaf<X 量 *>m e-“KhX2片XMQ30c««z e-y«> «KJUUfc)evwaw

18、l>l cO«JM，!>rw««r，3。vn a«士im n«ft：rram AQ-oaXM13JKS BfiICBC." 2_0 WCVAa «1OC."L T 4C，f 9。 ntrrtgnrre rt nu ,“：t8，上: 1n«RcMwy。 t 1-4-24 7*，6:制1014RURcw/y' 一f。 ll4HTFF"1614EUR已改存A c arot&ity二、停止服务点击停止按钮，如下图所示:Symantec Data Loss P*rev»

19、;ntlonA盗守 守tra事" g务9代 sr设9i用尸ttaMtf "HQ，Y 8 *lot JQQQ4 )000mOH忙腰i M代 CAMA，esc nseui no-N0 «., 6Iff C/,>M «34trrwx/ah-csv«« W»«：，©，« Knorr i 、，*(MiHMMiWffvnvn i is 学量 A vnw*cI11*A 上1014。11-4-24l»14-KCKNfie?伸£。EotH.ey在等待大约1分钟后，状态显示如下，表明服务正

20、常停止:如果需要重新将服务启动，则点击开始按钮。32配置事件计数器如果Symantec Data Loss Prevention识别出有违反策略的新 事件发生，它会在Enforce Server使用的Oracle数据库中创建 并保存这些事件。该数据库中存储的事件数目会随着时间而增加， 并且可能影响事件报告的性能。为了在事件数目增加到过大时通知 管理员，Symantec Data Loss Prevention每天会运行一次“事件 计数器”进程，并在事件数目超出可配置的阈值时生成一个系统事 件。事件数目不包括存档的事件。如果事件数目超出阈值，事件计数器会生成事件代码2316O可 以在Enforc

21、e Server管理控制台的“服务器”“事件”页面中查 看此事件。配置事件计数器步骤：1在Enforce Server主机上，使用文本编辑器打开以下文件：DLPHomeProtectconfigManager. properties （其中 DLPHome 是 Symantec Data Loss Prevention 的安装目录的名称。）2设置下表中所述的参数以配置事件计数器。属性说明com. vontu. manager. system. IncidentCo unter. enabled设置为True可 启用“事件计数器” 任务。默认值：True。com. vontu. manager,

22、 system. IncidentCo unter. max_incident_count触发系统事件的 事件数目。 默认值：1000000 o 注意：如果事件数目 超过1,000,000,报告性 能通常会降低。 不过，报告性能也取 决于多种其他 因素。如果在事件数 目超出阈值之 前，性能就已经降 低，请减小阈 值。com. vontu. manager, system. statistics .IncidentCounter. delay在VontuManager服务启动之 后而“事件计数器”任务 运行之前间隔 的毫秒数。 默认情况下，会省略 此参数。此参 数仅用于测试目的， 除非另有原 因

23、，否则不要在“事 件计数器”任 务运行时更改此参 数。如果省略此参数， 件计数器会在每天凌晨2:05运 行。com. vontu. manager. system. statistics .IncidentCounter. period事件计数器在两 次调用该任务之间 所要等待的毫秒数。 默认情况下，会省略 此参数。此参 数仅用于测试目的， 除非另有原 因，否则不要在“事 件计数器”任 务运行时更改此参 数。如果您需要使用两个可选参数中的一个参数，您必须添加它 们。3保存文件。4重新启动Vontu Manager服务。3.3日志文件Symantec Data Loss Prevention提供

24、了许多不同的记录软件行为 信息的日志文件。日志文件分成以下类别： 操作日志文件记录有关软件执行的任务及在软件执行这些任务时 发生的任何错误的详细信息。Enforce Server和检测服务器将 操作日志文件存储在SymantecDLPProtectlogs目录中 调试日志文件记录有关构成Symantec Data Loss Prevention 的单独进程或软件组件的细粒度技术详细信息。Enforce Server 和检测服务器将调试日志文件存储在SymantecDLPProtectlogs 目录中 安装日志文件记录有关在特定计算机上执行的Symantec Data Loss Preventi

25、on安装任务的信息。您可以使用这些日志文件验 证安装或排除安装错误。安装日志文件位于下列位置：ins tall dirSymantecDLP. install4jinstallation. log 存储SymantecData Loss Prevention 的安装日志；installdiroracle_homeadminprolecl存储 Oracle 的安装 日志4 DLP系统常见问题处理4.1 OLP客户端常见问题4.1.1 客户端主要进程有哪些答：如果采用默认安装，DLP客户端主要有以下两个进程> EDPA. exeDLP客户端的主要进程，负责执行敏感数据的保护> WDP.

26、 exeDLP守护进程，主要负责监听EDPA.exe是否处于活动状态，当EDPA.exe被停止后，立即将其启动。4.1.2 如何卸载客户端答：DLP客户端的卸载可以通过执行Agentinstall, msi文件，选择 "Remove"选项进行删除4.1.3 如何检查DLP客户端是否连接服务器 答：在客户端计算机中打开命令行界面，执行以下命令：netstat - -an默认情况下客户端会和服务器的8000端口建立连接，当连接状态为 "ESTABLISHED"客户端即和服务器处于“联机”状态TCP192-148.2.32-1398.0.0.0=0LISTEN

27、INGTOPI192l168-2,32=2470128.64.108.86:8000ESTfiBLISHEDTCP 192716872.32:2532T28 .64.191-238： 8 目 80 "CLOSE-WAI TTCP192.1G8.2.32:2783128.64.191.238:8080ESTABLISHEDUDP0.0.0.9:445«：«4.1.4 客户端安装日志收集方法 答：1 .使用CMD窗口进入客户端程序所在目录2 .执行命令msiexec /I Agentinstall, msi /L*v dlp_install_log 生成安装 日志文件

28、4.1.5 DLP客户端支持哪些操作系统答：DLP客户端支持以下Windows平台的操作系统：win7 （32位，64 位），xp sp34.1.6 为何安装了 DLP客户端后,我的C盘（系统盘）剩余空间很快用完了答：请先查看 C：Program FilesManufacturerEndpoint Agent % 件夹是否过大，若不是该文件夹较大，则和DLP客户端无关，需确 认其他程序问题；如该文件夹较大您可以查看C:Program FilesManufacturerEndpoint Agenttemp 文件是否增多。如果存 在些问题，在您下次接入公司网络，并连接到DLP服务器后，客户 端和服

29、务器同步事件后，这些文件会自动被清除。4.1.7 DLP客户端为何连接不到Endpoint Server答：如果连接不到Endpoint Server请参照以下方法进行排除：1 .检查客户端进程和服务器进程是否在运行2 .终端计算机是否刚启动如果终端计算机刚启动，可能会因为DLP客户端进程已启动，而 网络连接并不畅通，造成DLP客户端连接不到Endpoint Server,请等待10分钟DLP客户端会自动重新连接Endpoint Servero3 .客户端DNS是否能解析到Endpoint Server的域名;将DNS更新，尝试ping通Endpoint Server的域名即可确认 DNS是否

30、存在问题；4 .如果可以正常解析域名，查看客户端是否与Endpoint Server的 8000端口正常通讯可以在终端计算机中打开Dos窗口，运行以下命令测试终端计算 机是否能够和Endpoint Server 8000端口通信：telnet endpointserver_IP 80005 .终端计算机防病毒程序是否将DLP客户端禁用如果终端计算机防病毒程序误将DLP客户端进程认为是“危险” 进程，将其禁用。请在防病毒程序中将其“排除”4.1.8客户端安装出现进度条回滚答：1 .删除HKEY_LOCALJ!ACHINESYSTEMCurrentControlSetServicestdifdl

31、05注册表，然后安装；2 .确认是否已存在Manufacture文件夹，手动删除该文件夹并重 新安装；3 .如果还出现此问题请参照2.4,收集安装日志。4.1.9客户端安装时,CMD窗口一闪就消失了,并提示Windows Installer存 在问题答:1 .确认Windows Installer程序已安全，并未被其他程序调用；2 .确认Windows Installer服务正常启动，如未启动，手动开启 Windows Installer服务，尝试安装。4.1.10客户端程序安装结束后发现没有EDPA.EXE服务和进程答：1 .确认安装的磁盘空间是否已满；2 .确认是否安装目录是否存在Manufacture文件夹；3 .如存在文件夹，请重启计算机，并再次确认是否