【ICG】【客户端审计】无法审计钉钉客户端聊天内容问题排查

唐小芳发表于:2021年07月21日 09:01:39

问题描述

关键字:钉钉、客户端审计

文字描述:【ICG】【通用】【无法审计钉钉客户端聊天内容】      

现象截图:

image.png


处理步骤

检查项1:

在【上网管理】—【客户端管控】—【客户端联动策略】里检查钉钉客户端审计策略是否开启;

image.png

异常处理办法:

启用钉钉客户端审计策略,确保所选的用户里包含测试用户。

 

检查项2:

在【监控中心】—【在线用户】里面查看,测试用户是否已经正确安装了客户端;

image.png

异常处理办法:

① 、查看PC上是否正常安装了盾牌的客户端,未正常运行,可以尝试重新安装,确保客户端运行正常。

image.png

②、如果测试PC上有杀毒软件,尝试禁用杀毒软件,确保客户端运行正常。

 

检查项3:

检查钉钉客户端版本是否在可审计访问内;

image.png

异常处理办法:

建议查看dingtalk.exe安装文件的版本,如果文件版本不在可审计范围内,需要重新安装可审计的版本测试。

 

检查项4:

在【系统配置】—【系统更新】—【特征库更新】里面检查应用库版本是否为最新版本;

image.png

异常处理办法:

如果不是最新版本,影响审计,需要升级到最新版本。

 

检查项5:

检查PC上安装的客户端版本是否为最新的;

image.png

根据Windows系统不同,这个目录可能在D盘。

异常处理办法:

如果不是最新,在确保应用库版本为最新的情况下,尝试重新安装客户端,或者检查网络环境,PC是否可以跟设备通信。

 

检查项6:

检查PC上imfeature.dll文件里面是否加载了钉钉相关的信息;

image.png

异常处理办法:

如果未加载,确保应用库版本为最新,尝试重新安装客户端。

 

检查项7:

使用procexp软件查看nscmk.dll是否插入到钉钉软件中了;

image.png

异常处理办法:

如果未加载,尝试退出钉钉软件,退出客户端,以管理员身份重新运行客户端,在登录钉钉软件。

 

检查项8:

使用DbgView软件查看客户端后台服务的日志;

image.png

DbgView工具使用说明:

退出客户端及钉钉软件,然后认证客户端右键桌面快捷方式属性,在目标那一行最后加上空格-d8g,在以管理员权限运行客户端,最后登录钉钉软件。

异常处理办法:

根据日志打印的不同情况做不同处理,或者收集日志给二线分析;

 

验证步骤

验证步骤1:

在【数据中心】—【上网管理日志】—【审计日志】—【IM聊天】里查看可以审计到钉钉聊天内容了;

image.png

 

信息收集

1.    客户网络拓扑图

2.    DbgView打印的日志