某局点停用非法外联策略后,代理仍然上报违规数据问题分析

发布时间:  2012-07-18 浏览次数:  92 下载次数:  0
问题描述

某局点使用TSM V1R2C06SPC100版本,客户系统管理员在半月前停用了非法外联策略,但是在个人用户报表中却发现仍然有用户报非法外联。

告警信息
处理过程
登录TSM,在策略管理中,发现客户只配置了一个策略模板,且确实已经停用了非法外联,配置没有问题。最后通过收集出现问题的客户端日志分析发现:之前系统管理员配置的监控非法外联策略允许离线运行, 而出现问题的客户端在系统管理员停用非法外联策略后就一直未登录上线,策略一直未得到更新,客户代理再次联入认证服务器后,执行离线策略并发现违规(该违规记录代理认证通过后上报给服务器),认证通过后监控非法外联策略就取消不再执行,所以服务器看到违规记录是离线违规而不是在线违规记录。
根因
怀疑用户创建了多个策略模板,客户可能只停用了部分模板中的非法外联策略,没有停用的策略且已经分配到帐号或部分的策略依然生效
建议与总结
 该问题比较隐蔽,不容易被发现,碰到类似问题,检查配置没有问题后,可检查对应策略是否具有离线策略,同时查找对应帐号的上线记录进行排查。

END