行為監控的 debug log 會顯示 tmufe 錯誤代碼 727 或 721。這通常發生在 agent 無法連線到 Census 位置時。這會連帶影響系統效能,因為行為監控模組在處理事件時,會等待查詢結果,當沒有結果,會一直等待到超時,才會放行。
Debug log:
--------
E [CCensusEngine::RateFile]: Census query failed, tmufe error code: -727 [ (0)] E [CProcInfo::CheckCensusSync]: The Census query result of process(pid: 0x68e1c, path: C:\Windows\System32\conhost.exe) failed, error: -534511609 [ (0)] E [CCensusEngine::RateFile]: Census query failed, tmufe error code: -721 [ (0)] E [CCensusEngine::RateFile]: Census query failed, tmufe error code: -721 [ (0)] D [CCensusEngine::RateFile]: Can't reach Census server in last 5 queries, start suspending Census query for next 180 seconds [ (0)]
--------
解決方案:
1. 如果 Apex Oen agent 能夠上網,需要允許 agent 正常連到 Apex One 所需要的網路服務:
https://osce14-tc-census.trendmicro.com/
https://osce14bak-tc-census.trendmicro.com/
http://isps300-tc.census.trendmicro.com/
詳細清單可參考此連結 。
如果 Agent 不能直接上網,請在 Web console,全域用戶端設定 > 系統 > 主動式雲端截毒技術服務 Proxy
勾選「使用所設定的主動式雲端截毒技術來源處理服務查詢」,按下儲存。
之後,agent 就會透過SPS主機轉送查詢到網際網路。
2. 在 Apex One server 增加設定,讓Agent能夠使用前一次查詢結果,以減少查詢量或反覆查詢。
a. 在 Apex One server 的安裝路徑 ...Trend Micro\Apex One\PCCSRV\ofcscan.ini
在 [Global Setting] 增加以下設定值:
- AegisUseQueriedCensusResult=1
再到 Web Console 的全域用戶端設定中,按下儲存,就可以派送設定。
b. 在Agent端只要看到以下機碼,就代表已經收到設定:
[HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AEGIS]
"UseQueriedCensusResult"=dword:00000001