Symantec DLP数据防泄漏系统运维操作手册

目录1DLP系统检查 (2)

2DLP系统监控 (6)

2.1服务监控 (6)

2.2性能监控 (6)

3DLP系统维护 (7)

3.1ENDPOINT服务器的停止、重新启动 (7)

3.2配置事件计数器 (9)

3.3日志文件 (11)

4DLP系统常见问题处理 (13)

4.1DLP客户端常见问题 (13)

4.1.1客户端主要进程有哪些 (13)

4.1.2如何卸载客户端 (13)

4.1.3如何检查DLP客户端是否连接服务器 (13)

4.1.4客户端安装日志收集方法 (13)

4.1.5DLP客户端支持哪些操作系统 (13)

4.1.6为何安装了DLP客户端后，我的C盘（系统盘）剩余空间很

快用完了 (14)

4.1.7DLP客户端为何连接不到Endpoint Server (14)

4.1.8客户端安装出现进度条回滚 (14)

4.1.9客户端安装时，CMD窗口一闪就消失了，并提示Windows

Installer存在问题 (14)

4.1.10客户端程序安装结束后发现没有EDPA.EXE服务和进程 (15)

4.1.11EDPA服务器无法启动，提示16398 0X4005错误 (15)

4.2DLP服务器常见问题 (15)

4.2.1搭建管理服务器时，执行命令报错或不成功 (15)

4.2.2使用EM登入到数据库发现表空间占用接近100% (15)

4.2.3升级服务器的过程中出现文件被锁定的错误提示 (15)

4.2.4使用sqlplus连接数据发现数据库用户被锁 (15)

4.2.5管理服务器控制台中发现生成的事件没有关联到域属性信息 (16)

1 DLP系统检查1、DataInsight系统服务器主机检查：

1）步骤：本地运行mstsc，输入IP，输入用户名和密码

检查项1：能否正常登录服务器

2）步骤：开始-----运行-----输入：service.msc

检查项2：检查服务Datainsight相关服务是否开启

DataInsightComm

DataInsightConfig

DataInsightFpolicy

DataInsightWeb

此部分的Datainsight服务可利用现有的监控平台对应用程序运行状态进行监控。

3）步骤：双击桌面程序“Symantec Data Insight Console”------输入用户名和密码检查项3：能否正常登录控制台

4）步骤：登录控制台，进入“Settings”，依次查看并检查如下信息检查项4：DataInsight系统基本状态

点击“Settings”->“ System Overview”

检查项5：DataInsight最近一次扫描状态

点击“Settings”->“ Scanning”->“Scan Status”,查看最近一次的全量扫描和增量扫描是否成功

检查项6：Datainsight当前的Index状态

点击“Settings”->“Filers”，找到文件服务器，在“Select Action”下拉框中选择“View”

在新出现的界面中点击“Monitored Shares”，查看当前的Index状态是否正常

检查项7：DataInsight

点击“Settings”->“Data Insight Servers”，在“Select Action”下拉框中选择“View”

在新出现的界面中点击“Services”，查看当前的服务（除DataInsightCelerra外）状态是否正常

为确保DLP系统稳定运行，对于有监控平台的用户，可将DLP加入监控：2.1 服务监控

数据库服务：

OracleOraDb11g_home1TNSListener

OracleServicePROTECT

Vontu服务：

Vontu Update

Vontu Incident Persister

Vontu Manager

Vontu Monitor

Vontu Monitor Controller

Vontu Notifier

2.2 性能监控

3.1 ENDPOINT服务器的停止、重新启动

DLP系统中，ENDPOINT 服务器的管理由ENFORCE服务器来完成，以上服务器在安装完成后，依据相关需求注册到ENFORCE服务器上，对于以上服务器的管理，包括运行状态，服务的停止、重启等，可直接在ENFORCE服务器界面来完成操作，以ENDPOINT服务器为例，如下图所示，点击选定的ENDPOINT服务器，

选择重新启动按钮后，在弹出的对话框中选择“确定”按钮，ENDPOINT服务器的服务开始重启，在等待大约2分钟左右后，服务状态显示正在运行，表明服务重启成功，如下图所示服务重启过程中的变化，此过程可点击界面右上角的刷新按钮，刷新当前状态：

一：重新启动服务

状态一：正在关闭

状态二：正在启动，

状态三：正常启动

二、停止服务

点击停止按钮，如下图所示：

在等待大约1分钟后，状态显示如下，表明服务正常停止：

如果需要重新将服务启动，则点击开始按钮。

3.2 配置事件计数器

如果 Symantec Data Loss Prevention 识别出有违反策略的新事件发生，它会在Enforce Server 使用的 Oracle 数据库中创建并保存这些事件。该数据库中存储的事件数目会随着时间而增加，并且可能影响事件报告的性能。为了在事件数目增加到过大时通知管理员，Symantec Data Loss Prevention 每天会运行一次“事件计数器”进程，并在事件数目超出可配置的阈值时生成一个系统事件。事件数目不包括存档的事件。

如果事件数目超出阈值，事件计数器会生成事件代码 2316。可以在 Enforce Server管理控制台的“服务器”>“事件”页面中查看此事件。

配置事件计数器步骤：

1 在 Enforce Server 主机上，使用文本编辑器打开以下文