作者：Shao Mh

※ 假設製作一份 Agents Offline

1. 選取「Reports」頁籤，點選「Queries」。

2. 以滑鼠右鍵點選右方選單列的「Queries」，接著選取「New Query」。

3. 選取圖表類型：Table「表格」。

• Table「表格」
• Line graph「折線圖」
• Area graph「區域圖」
• Stacked area graph「堆疊區域圖」
• Horizontal bar「水平長條圖」
• Vertical bar「垂直長條圖」
• Horizontal stacked bar「水平堆疊長條圖」
• Vertical stacked bar「垂直堆疊長條圖」
• Pie「圓形圖」

4. 選定Data Source「資料來源」：Assets (agents)「資產 (代理程式)」。

• Assets (agents)「資產 (代理程式)」
• Policies「政策」
• All real-time events「所有即時事件」
• Profile events「設定檔事件」
• Analysis events「分析事件」
• Console audit events「主控台稽核事件」
• Catalog files「目錄檔案」
• Assets and objects「資產與物件」

5. 輸入Query Name：「Agents Offline」，接著點選「Next」。

6. 從Column「資料行」選定所需的欄位，點選「Add」，選擇完畢後，點選「Next」。

1. 此核取方塊會限制查詢中出現的 (記錄) 資料列總數。選取此核取方塊，然後輸入資料列的數目。

例如，假設您建立了一個查詢，會顯示代理程式所產生的所有事件。此查詢可能產生數量龐大的事件，但您只要顯示前 500 個事件。您可以選取 Only get the top【100】results「僅取得前【100】筆結果」核取方塊，然後輸入 500。

2. 選取此核取方塊即可排除重複的輸出資料列。

3. 輸入您要每頁顯示的輸出資料列數目。（適用於使用表格圖類型的查詢）

4. 選取查詢結果中出現的資料行。

5. 選取總彙函數。總彙函數會為一組值執行計算並傳回單一數值，以查詢結果資料行的方式顯示。

選取下列其中一個選項：

• Count「計數」– 傳回群組中項目的數目。
• Count Distinct「相異計數」– 傳回群組中相異項目的數目。
• Sum「總數」– 傳回所有數值 (或僅相異數值) 的總數。
• Min「最小值」– 傳回最小值。
• Max「最大值」– 傳回最大值。
• Average「平均值」– 傳回群組中數值的平均值。

6. 輸入欄位標題文字。根據預設，Display Name「顯示名稱」會使用 Column「資料行」名稱。

7. 輸入資料行寬度。

8. 若要排列所選取的資料行，按下 Move Up「上移」及 Move Down「下移」，直到資料行符合希望的順序。若要移除所選取的資料行，請按下 Remove「移除」。

9. 若要在查詢結果中新增資料行，請指定資料行選項，然後按下 Add「新增」在資料行清單中新增資料行。若要儲存所選取資料行的變更，請按下 Update「更新」。若要在查詢結果中包含所有資料行，請按下 Add All「新增全部」。

7. 選取查詢過濾器條件，選取「Comm Health Not In Green」，作為搜尋條件，並依照「Last Contact Time」、「Host Name」進行排序，點選「Add」新增後，接著點選「Next」。

1. 選取欄位。有效欄位的範例包括事件類型、事件日期、事件嚴重性、事件配置、作業系統類型、代理程式版本和主機名稱。必要項。

2. 選取欄位的運算子。有效運算子的範例包括等於（Equals）、不等於（Not Equals）、在（In）、不在（Not In）、包含（Contains）、不包含（Not Contains）、大於（Greater Than）、小於（Less Than）。部分運算子支援在值中使用萬用字元。有效的萬用字元為星號（*）和問號（?），前者可代表零或多個連續字元，而後者代表剛好一個字元。必要項。

3. 指定輸入參數的預設值。有效值會視欄位而不同。某些欄位會限制為預先定義的清單，而某些欄位則允許輸入自由格式。

4. 選取此核取方塊將輸出資料行分組。選擇性。

5. 選取此核取方塊以遞增或遞減的順序排列輸出資料行。選擇性。

8. 建立查詢輸入參數，由於為Agents Offline，所以此處不需設定，點選「Next」。欲了解設定，可參考「Queries→Symantec→V6.0.0c2014-SEP-09 r1→homepage→Homepage Agent Detail」。

1. Column「資料行」：選取輸入參數。必要項。

2. Operator「運算子」：選取輸入參數的運算子。輸入參數不可使用Between及Not Between運算子。請分別建立下限與上限的參數，以允許一個指定範圍。必要項。

3. Default Value「預設值」：指定輸入參數的預設值。選擇性。

4. Require a non-empty value at runtime「執行時期需要非空白值」：選取此核取方塊時，可強制查詢使用者指定輸入參數的值。選擇性。

5. Display Name「顯示名稱」：指定輸入參數的自訂顯示名稱。執行查詢時會出現顯示名稱。選擇性。

6. Description「說明」：指定輸入參數的說明。查詢執行時，說明隨即出現。此說明可協助使用者瞭解如何使用輸入參數。選擇性。

9. 預覽剛剛所設定的參數，接著點選「Finish」。

10. 即可看到剛剛所設定的「Agents Offline」。

 

1. 選取「Assets」→「Prevention」，接著選取「Common Configuration」，然後點選任一 Agent。

2. 以鍵盤輸入「Ctrl」+「A」，此時會看到右下角出現「4 agents selected」，或指定欲Apply之Agent。

3. 以滑鼠右鍵點選，出現選單後，選取「Apply Config」。

4. 選取修改過的 Config，接著點選「Finish」。

5. 可以看到剛剛所套用「Config」的 Agent，待 Config 生效。

6. 除 Offline 之 Agent 外，其餘皆生效。

1. 選取「Assets」→「Prevention」，接著選取「Configuration」，然後點選任一 Agent。

2. 以鍵盤輸入「Ctrl」+「A」，此時會看到右下角出現「4 agents selected」，或指定欲 Apply 之 Agent。

3.  以滑鼠右鍵點選，出現選單後，選取「Apply Config」。

4. 選取修改過的 Config，接著點選「Finish」。

5. 可以看到剛剛所套用「Config」的 Agent，待 Config 生效。

6. 除 Offline 之 Agent 外，其餘皆生效。

1. 選取「Policies」→「Prevention」，接著點選欲啟用的 Policy，接著點選「Edit」。

2. 可以從左上角看到「Prevention Disabled」字樣，並且為紅色。（代表目前 Prevention Policy 尚未啟用，僅會記錄 Event 並不會 Block）。

3. 點選左上角按鈕，此時字樣會變更為「Prevention Enabled」，並且為綠色，最後點選「OK」。（代表目前 Prevention Policy 已啟用，會記錄 Event 並且 Block）

4. 輸入此次 Policy 修改說明，確定版號，接著點選「Submit」。

5. 選取「Policies」→「Prevention」，接著點選剛剛已啟用的 Policy，接著點選「Reapply」。

6. 可看到目前已 Apply 該 Prevention Policy 的 Group 或是 Agent，最後點選「Finish」，即可將該 Prevention Policy 套用至所選取的 Group 或是 Agent。

7. 選取「Assets」→「Prevention」，接著點選剛剛已套用 Prevention Policy 的 Group 可看到 「Prevention Policies」的部份有剛剛套用的已啟用的 Policy。

1. 如何刪除未來新增的 Events?

Ans：選取「Admin」頁籤，選取「Settings」，左邊選單選取「System Settings」，接著選取中間「General Settings」，可看到 Event Management，預設並無勾選設任何設定，請勾選「Purge Real-Time Events older than □ day(s)」。

※ 這裡勾選後，從設定之後的 Events，將依照設定的天數留存，但舊的 Events 並不會一併刪除！

2. 如何刪除已存在的 Events？

Ans：

2.1「開始」→「系統管理工具」→「服務」。

2.2 將「Symantec Data Center Security Server Manager」服務停止。

2.3 「Symantec Data Center Security Server Manager」服務停止中。

2.4 以滑鼠左鍵點擊兩下「Symantec Data Center Security Server Manager」服務。

2.5 確定「Symantec Data Center Security Server Manager」服務狀態：已停止，接著點選「確定」。

2.6 開啟資料夾「C:\Program Files (x86)\Symantec\Data Center Security Server\Server\tomcat\conf」。

2.7 備份設定檔，以滑鼠左鍵點選檔案「sis-server.properties」，使用鍵盤選取「Ctrl c」。

2.8 備份設定檔，以滑鼠左鍵點選檔案「sis-server.properties」，使用鍵盤選取「Ctrl v」。

2.9 以滑鼠右鍵點選「sis-server.properties」。

2.10 取消「唯讀」選項，接著點選「確定」。

2.11 以滑鼠右鍵點選「sis-server.properties」，選取「開啟」。

2.12 點選「從以安裝程式的清單選取程式（S），接著點選「確定」。

2.13 選取「記事本」，取消「永遠用選取的程式來開啟這種檔案（A）」，接著點選「確定」。

2.14 找到  #sisdbcleanup.runtime=23
                 #sisdbcleanup.event.purge.limit=100000

        並將 # 刪除

2.15  修改 sisdbcleanup.runtime=23、sisdbcleanup.event.purge.limit=100000，其中sisdbcleanup.runtime =「每幾個小時執行（預設為 24 小時）」；sisdbcleanup.event.purge.limit=「一次刪除的資料數量」（建議數量設定為 20 萬）。

假設：每兩小時執行，一次刪除 200000 筆資料。

2.16  儲存檔案，接著關閉記事本。

2.17 以滑鼠右鍵點選「sis-server.properties」，選取「開啟」。

2.18 勾選「唯讀」選項，接著點選「確定」。

2.19 「開始」→「系統管理工具」→「服務」。

2.20 將「Symantec Data Center Security Server Manager」服務啟動。

2.21 「Symantec Data Center Security Server Manager」服務啟動中。

2.22 以滑鼠左鍵點擊兩下「Symantec Data Center Security Server Manager」服務。

2.23 確定「Symantec Data Center Security Server Manager」服務狀態：已啟動，接著點選「確定」。

2.24 登入 DCS 代表服務已恢復，將會依照設定時間做刪除的動作。

問題：

當 Apply Policy 至 Group 時，Agent 未套用新的 Policy

解決方案：

當 Agent 本身有 Policy 時，此時若將 Policy Apply 至 Group 時，Agent 將優先套用本身 Policy，若本身無 Policy，則將會判斷最靠近的 Group（若 Group 為多階層）。

# 如圖所示，可以看到

Agent：Q048 目前套用的 Policy 目前套用的 Policy 為 3 v5.2.9 r560

Group1 目前套用的 Policy 目前套用的 Policy 為 2 v5.2.9 r560

# 可以看到 Group 並沒有 Prevention Policies，此時 Apply Policy 至 Group。

# 此時會發現 Agent：Q048 並未套用新的 Policy

# 將 Agent：Q048 Clear Policy

# 此時發現 Agent：Q048 已套用新的 Policy：2 v5.2.9 r560（Group1的Policy）

# 再將Group1 Clear Policy

# 此時發現 Agent：Q048 已套用新的 Policy：1 v6.0.0 r87（Group的Policy），此時 Group 1 已無 Policy

# 再 Apply Policy 至 Group

# 可看到 Agent：Q048 已套用新的 Policy：4 v6.0.0 r87（Group的Policy）

 

※ 故，若 Apply Policy 至 Group 後發現並無套用至 Group 內的 Agent，請先檢查確認 Agent 是否已直接 Apply Policy 至 Agent 或是 於其他更靠近 Agent 階層的 Group 已 Apply 其他 Policy，此時請先其他無關 Policy 先行 Clear Policy，則一開始 Apply 的 Policy 會生效。