Kaspersky
Question

Убрать уведомления в логах сервера по поводу KSN [MOVED]

  • 4 November 2020
  • 11 replies
  • 248 views

 Здравствуйте.

Как убрать уведомления(предупреждения) в логах сервера во вкладке Event Viewer-Application-Kaspersky Event log следующего содержания:

Could not get PRCP-proxy to component (KSN). #1195 Resource is unavaible

Уже везде в KSC где только мог отключил логирование KSN (он не нужен на сервере), но все равно в логи пишет.  Может я что-то пропустил или это не убираемое сообщение? Или как его победить?

 

Заранее спасибо.


11 replies

Userlevel 5
Badge +2

Наблюдаю аналогичную проблему на одном из серверов с агентом версии 12a. Ничем особенным этот сервер от других не отличается, он не единственный в этой сети терминальный сервер на базе Win2008R2 с KSWS 10.1.2

Но на нем аналогичное событие спамит журнал Application каждые 6 часов

 

Userlevel 5
Badge +2

Посмотрев логи, удалось найти момент, с которого начался спам событий. Это началось месяц назад  ровно в день отключения службы “Прокси-сервер Kaspersky Security Network”, которая по умолчанию имела тип запуска “Вручную”, и периодически дергалась агентом.

На некоторых других серверах служба “Прокси-сервер Kaspersky Security Network” у меня тоже отключена, но спама в Application нет. Возможная причина - что ни сам сервер, ни служба Агента KSC с момента отключения службы прокси ни разу не перезапускалась. Сейчас перезапустил службу Агента, и буду посмотреть - поможет ли.

Userlevel 5
Badge +2

Смотрю дальше - на всех остальных серверах, где отключена служба “Прокси-сервер Kaspersky Security Network” - ошибки про

>>> Update & retranslation task: ^^^ Could not get PRCP-proxy to component (KSN). #1195 Resource is unavailable

стабильно сыпятся каждые 6 часов, но в собственный журнал Kaspersky Event Log

 

Userlevel 5
Badge +2

На тех серверах, где сегодня отключил службу KSN-проки - тоже стали появляться желтые события в Kaspersky Event Log.

На тех серверах, где сегодня отключил службу KSN-проки - тоже стали появляться желтые события в Kaspersky Event Log.

Так я не понял - если сервак перезапустить - ошибки пропадают или нет? Я к сожалению этот сервер не могу просто перезапустить, есть регламенты перезапуска.

Служба Прокси-сервер KSN тоже была переведена в статус Отключено где только можно(ибо он не нужен на серверах и спамит в логи почем зря).

Userlevel 5
Badge +2

Так я не понял - если сервак перезапустить - ошибки пропадают или нет? Я к сожалению этот сервер не могу просто перезапустить, есть регламенты перезапуска.

Нет. На всех серверах, где я отключал службу - желтые события есть. Только один сервер валит эти ошибки в журнал Application, и они бросались в глаза. А все остальные сервера - по-тихому ругались в Kaspersky Event Log

А вот есть ли способ заставить агент не дергать службу KSN прокси, и как следствие - не засорять журналы - я тоже хотел бы знать

Userlevel 5
Badge +2

Завел по этому вопросу INC000012062455

Завел по этому вопросу INC000012062455

Дайте пожалуйста знать, если будет какое-то решение, чтобы самому не заводить такой же инцидент. 

Спасибо.

Userlevel 5
Badge +2

Из СА потихоньку отвечают, но толку пока нет. Сначала запросили GSI с Event-логами и политику агента, потом попросили в политике закрыть замок в настройках точек распространения (хотя они не используются), потом прислал еще три отчета GSI - где видно поведение агента с отключенной и не-отключенной службой, с антивирусом и без. Теперь трассировки попросили.

Заметил, что на всех серверах агент пытается теребить службу KSN-прокси четыре раза в день, с разбросом плюс/минус несколько минут: 00:30, 06:30, 12:30 и 18:30

 

 Здравствуйте. Есть ли у Вас какие-нибудь результаты?

Userlevel 5
Badge +2

Несколько раз отправлял трассировки, но потом попросили немного изменить сценарий и собрать трассировки снова. Потом были новогодние каникулы, и тот инцидент закрылся по неактивности.

Не очень понятно, зачем было нужно столько трассировок для легко воспоризводимой проблемы. Если дойдут руки - соберу трассировки еще раз по последнему запрошенному сценарию, и заведу новый инцидент.

Reply / Ответить