【终端数据防泄密】【策略】数据发现无日志

2线-周庆喜发表于:2020年09月02日 14:35:03更新于:2020年09月15日 11:36:00

适配版本


产品:终端DLP

版本:版本无关

平台:平台无关

部署环境:单windows服务器


关键字

数据发现,日志



内容

问题描述:下发数据发现任务之后没有扫描日志产生

排查流程:

               1.首先确认数据发现模板配置正确

                  --确认扫描的路径是否配置正确,以及该路径下是否确认有敏感文件供产生日志

                  --文件属性是否配置正确,能够扫描到目标文件

                  --是否配置了文件大小过滤,导致部分文件没有命中

                  --内容识别中的敏感信息配置是否合理,确认能否命中

                image.png


               2.查看扫描策略下发的时间是否配置错误

                image.png

                主要分为单次定时和其他的定时任务

                注意:单次定时任务,在下发策略的时候,时间必须是未来的某个时刻;;定时任务在部分老版本中存在bug(终端解析时间错误,无法执行扫描)


                3.查看是否配置有扫描时cpu占用率(数据安全--参数配置--全局配置–扫描优化)

                 image.png

                 该配置效果:如果终端在扫描的时候,cpu占用率高于配置值,就自动暂停扫描任务,等待至cpu占用率降低


                 4.在终端查看是否收到策略并执行

                 image.png

                 查看是否收到有名称类似dlp_data_discovery_combo_xxxxx的策略文件

                 查看文件中共的scan_begintime,表示开始扫描时间,如果正确,则说明策略接受正常;;如果不正确,则说明策略接受有问题,请优先处理策略下发问题

                 并且可以到系统的计划任务中查看是否关于dlp扫描的任务

                策略在执行的时候,会调用进程scandiscovery.exe,查看该进程是否运行了