abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
Hinweis
DATEV wünscht allen
Fröhliche Weihnachten und ein gutes neues Jahr!

VIWAS 11.06 - möglicher Bug?

2
letzte Antwort am 12.11.2020 12:09:36 von Nutzer_8888
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
Nutzer_8888
Fachmann
Offline Online

am ‎11.11.2020 11:11

Nachricht 1 von 3
440 Mal angesehen

Hallo Community,

 

nachdem wir letzte Woche Freitag Datev 14.0 inklusive dem neuen VIWAS 11.06 installiert hatten (alles lief ohne Fehler durch, Installation VIWAS dauert allerdings etwas länger) möchte ich einen möglichen VIWAS Bug beschreiben. Dies könnte für @ludwig_aulitzky möglicherweise ein interessanter Hinweis sein.

Hier geht es um einen virtualisierten WTS mit Windows Server 2016.

System lief bisher seit gut 4 Jahren mit „altem“ VIWAS absolut zuverlässig.

 

Situation:

Freitag

Nach Installation Webkontrolle aktiviert und sowie manuell und anschließend über Zeitplanung Normalprüfung gestartet – alles ok, kein Fund und System als geschützt (in VIWAS – Interface) gemeldet.

 

Montag

Automatischer Schnellscan – alles ok, kein Fund, in Logs Ende des Scans vermerkt

 

Dienstag

Automatischer Schnellscan – gestartet, kein Fund aber wohl nicht mehr beendet (gemäß Logs aus VIWAS Interface)

 

Mittwoch (heute)

  • Backup-Programm informierte über nicht möglichen Zugriff auf die NTUSER.DAT und UserClass.dat sowie diverse zugehörige Log-Dateien für eines der Nutzerprofile (alle Benutzer waren allerdings abgemeldet und es lief auch kein Dienst mit dem betreffenden Nutzeraccount) (PS: unsere Backup-Lösung erfordert abgemeldete Nutzer – bitte nicht dieses Thema in diesem Thread diskutieren, bei entsprechenden Backuplösungen ist dies nicht erforderlich, leben damit seit Jahren )
  • Vermutung: VIWAS blockierte Zugriff?
    VIWAS Interface geöffnet und siehe da, Schnellprüfung vom Vortag läuft nach mehr als 10 h immer noch (Nachricht „Ihr System führt gerade eine Prüfung …..“; allerdings rotes Ausrufezeichen im Bereich, wo man normalerweise einen kleinen runden Kringel und die Beschreibung der laufenden Prüfung sieht.)
    In den Logs keine Information über irgendwelche Fehler.
    Scan konnte über VIWAS interface weder abgebrochen noch neu gestartet werden
  • Neue MCAfee Steuerung gestartet (früher ScanKonsole) – möchte die Oberfläche und Bedienung hier nicht kommentieren – und dort nach Infos gesucht aber keinerlei Fehler gefunden
  • Schnelltest über MCAfee Steuerung gestartet (nun wurde in VIWAS der kleine Kringel wieder angezeigt und die Option zum manuellen Abrechen war gegeben)
    Ließ den Scan aber durchlaufen (kein Fund) bis in MCAfee-Scan-Fenster dies durch Umspringen des Butten mit einer Abbrechen-Funktion auf Schließen erfolgte (wenngleich keine Meldung wie, Scan beendet o.ä. erfolgte, vermute ich  - auch wegen der scanuzeit - der Scan war abgeschlossen)
    Dies wurde im VIWAS Interface jedoch nicht erkannt – dort lief die Prüfung weiter (auch ohne rotes Ausrufezeichen im Bereich der manuellen Scan-Auslösung)
    Konnte dort jedoch den Scan (der eigentlich schon beendet sein sollte?) nun manuell abbrechen (Quittung ist ein gelbes Ausrufezeichen und ein entsprechender Log-Eintrag)
  • Startete Schnellprüfung nochmals manuell über VIWAS-Interface und die Prüfung startete wiederum (keine Ahnung, wie man prüfen kann was gerade gescannt wird – früher ging dies über ScanKonsole) wird aber erneut nicht beendet, so dass der Test erneut manuell abgebrochen werden musste
  • Ich folgere somit, dass VIWAS aus irgendeinem Grund die Abschlussmeldung zum Scan nicht erhält oder irgendwo festhängt, ohne dies anzuzeigen
  • In den log-Informationen können auch keine Informationen über Zugriffschutz-Aktivitäten oder sonstige Zugriffsprobleme im entsprechenden Zeitraum gefunden werden

PS: Server-Neustarts kommen auf Grund der Auswirkungen auf die Performance aktuell nicht in Frage (wurde deshalb noch nicht getestet) und wären als tägliche Aktion auch nicht akzeptabel.

Könnte mir auch vorstellen, dass irgendein aktiver scan bei Abmeldung des Benutzers zu Wechselwirkungen geführt hat, welche die Blockade von Dateizugriffen bedingen können?

 

Falls jemand ähnliche Symptome und ggf. einen wirksamen Workaround hat.

Aktuell werden die Scans wohl alle manuell abzubrechen sein (falls diese nicht selbstständig beendet werden – scan-Dauern kenne ich grob), gehe aber davon aus, dass irgendwann die gelbe Warnung mit dem Normalscan kommt, weil VIWAS ja kein positives Abschlusssignal bekommt.

Die Frage ist auch, was passiert, wenn der nächste automatische Scan starten soll und noch der vom Vortag läuft – ggf. wird der dann nicht gestartet?!

0 Kudos
Antworten
DATEV-Mitarbeiter
ludwig_aulitzky
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online

‎12.11.2020 09:00 zuletzt bearbeitet am ‎12.11.2020 09:04

Nachricht 2 von 3
369 Mal angesehen

Hallo Nutzer_8888,

 

vielen Dank für Ihr Feedback zur neuen VIWAS-Version.

 

Vorab eine kurze Erläuterung um die DATEV-Community betreffend der neuen VIWAS-Version abzuholen:

 

Mit der VIWAS Version 11.06 wird der McAfee Unterbau ausgetauscht.
Wurde bisher der McAfee VirusScan Enterprise (kurz: VSE) installiert, wird dieser nun durch die McAfee Endpoint Security (kurz: ENS) ersetzt.
Weitere Informationen hierzu finden Sie in dem Dok.-Nr.: 1018557.


Jetzt zurück zu den eigentlichen Fragen, welche ich chronologisch aufteile und möglichst ausführlich zu beantworten versuche.

 

Selbstverständlich können Sie sich auch direkt an unseren VIWAS-Service wenden und wir helfen Ihnen schnellstmöglich:

 

Telefon: +49 911 319-36060
E-Mail: viwas@service.datev.de


-----------------------------------------------------------------------------
Ausführliche Betrachtung der Situation und Beantwortung der Fragen
-----------------------------------------------------------------------------


Bug: ja oder nein?


Das beschriebene Verhalten der VIWAS-Oberfläche - Prüfung läuft und zeigt rotes Ausrufezeichen - ist uns bisher weder aus der VSE- noch aus der ENS-Welt bekannt.
Also ja, vielleicht handelt es sich hierbei tatsächlich um einen Bug! Um dies abschließend beurteilen zu können müssen wir uns das System/die Situation anschauen. Bitte setzen Sie sich hierzu mit unserem Service in Verbindung.

 

 

Eine Schnellprüfung welche 10h+ läuft?


Ja, so etwas gab es bereits. Im Zusammenhang mit dem Windows Sandbox-Feature kam es zu Situationen wo sich Prüfläufe in, unendlichen auf sich selbst referenzierenden, Ordnerstrukturen verlaufen haben.
Zu diesem eher exotischen Szenario kommen dann noch die Dauerbrenner-Ursachen für überlange Prüfläufe: Datengröße, Datenmenge, Dateisysteme.

 

 

Wie kann man im ENS prüfen was gerade bei einem Prüflauf gescannt wird?


Im ENS ist es nicht mehr möglich während einer Prüfung zu erkennen welche Dateien gerade gescannt werden. Diese Anzeige ist aus dem Fortschritts-Fenster verschwunden.
Dafür gibt es eine Option welche alle - während eines Prüflaufs - gescannten Dateien in ein Logbuch schreibt!


Empfehlung: Für einen ersten Eindruck zur Bedienung der neuen McAfee Oberfläche, empfehle ich das kurze Video in dem Dok.-Nr.: 1009158 als Beispiel. Damit wird die nachfolgende Anleitung verständlicher.

 

Folgendermaßen kann man diese Option aktivieren:


1) McAfee Endpoint Security öffnen (Start -> Suche: McAfee)
2) Einstellungen über das Pfeilsymbol rechts oben neben "Jetzt aktualisieren" öffnen
3) Links Allgemeingültig markieren (standardmäßig beim Öffnen)
4) Rechts "Erweiterte einblenden"
5) Bis zu "Aktivitätsprotkollierung" runterscrollen
6) Die Option "Alle gescannten Dateien während On-Demand-Scans protokollieren" aktivieren
6.1) Optional: die Beschränkung der Größe (MB) der Aktivitätsprotkolldatei erhöhen, z.B. auf 25 MB
7) Mit "Übernehmen" rechts oben die Einstellungen schließen
8 )Die Auflistung der Dateien finden Sie unter: LW:\ProgramData\McAfee\Endpoint Security\LogsOnDemandScan_Activity.log

 

 

Wie erkennt man im ENS welche Prüfung gerade aktiv ist?


Im ENS gibt es eine Übersicht über die TASKs und deren Status.

 

Folgendermaßen kann man die TASKs einsehen:


1) McAfee Endpoint Security öffnen (Start -> Suche: McAfee)
2) Einstellungen über das Pfeilsymbol rechts oben neben "Jetzt aktualisieren" öffnen
3) Links Allgemeingültig markieren (standardmäßig beim Öffnen)
4) Rechts "Erweiterte einblenden"
5) Links unter Allgemeingültig auf "Tasks" klicken
6) Läuft eine Prüfung wird der Status "aktiv" angezeigt
7) Aktive Prüfung markieren und rechts über der Tabelle auf den Button "Anzeigen" klicken
8 ) In dem sich öffnenden Statusfenster besteht die Möglichkeit die Prüfung anzuhalten oder abzubrechen

 

 

Können mehrere Prüfungen parallel laufen?


Ja, es können mehrere Prüfungen parallel aktiv sein.
Dies hat den Vorteil, dass z.B. während einer längeren Intensivprüfung mittels einer Schnellprüfung zwischendurch die laufenden Prozesse gescannt werden können.
Mit dem ENS wurde für Prüfläufe ein Scan-Cache eingeführt welcher bereits gescannte Dateien für weitere Scans temporär ausschließt und damit einer unnötigen Belastung entgegenwirkt.

 

 

Ein Workaround ohne Neustart konkret zu Ihrer Situation


Mein Vorschlag für einen Workaround um wieder in einen definierten Zustand zurückzukommen.


1) Über McAfee alle Prüfungen abbrechen - damit sollte die VIWAS-Oberfläche wieder in einen Normalzustand zurückkehren
2) Die Option zur Protokollierung aller gescannter Dateien aktivieren
3) Prüfung manuell anstoßen oder über den Zeitplan anlaufen lassen
4) Kontrollieren ob der Prüflauf hängen bleibt und ggf. über das Logbuch den Grund suchen

 


Ich hoffe ich konnten Ihnen mittels der ausführlichen Antworten einen ersten Einblick in die neue VIWAS-Version ermöglichen.
Zur neuen VIWAS-Version gibt es schon einige Dokumente in der InfoDB, Stichwort: VIWAS 11.x .

 

 

Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG

 

 

Antworten
Nutzer_8888
Fachmann
Offline Online

am ‎12.11.2020 12:09

Nachricht 3 von 3
311 Mal angesehen

Herr Aulitzky,

 

erstmal herzlichen Dank für diese ausführlichen kompetenten Antworten und die entsprechende Mühe bzgl. dieser brandneuen VIWAS-Version (ggf. waren wir hier wohl zu mutig, dies sofort zu installieren?).

 

Hatte mich gestern auch mit der ENS-Schnittstelle beschäftigt und einen Teil der von Ihnen erwähnten Möglichkeiten gefunden.

Ich denke Ihre Erklärung wird vielen helfen, insbesondere weil bei Benutzung der Hilfe in der VIWAS GUI noch auf die alte VSE-Version verlinkt ist.

Vielleicht bin ich zu konservative, aber die „neue“ ENS Schnittstelle erscheint mir im Gegensatz zur früheren Scan-Konsole wenig ergonomisch. Allerdings muss man ja dort – eigentlich – nicht täglich rein.

 

Werde am WE erstmal die MS-Updates installieren und schauen, ob bzw. wie lange nach Neustart die Funktionalität wieder gegeben ist.

Besteht das Problem weiterhin, werden wir den Service Kontakt wählen (befürchten hier allerdings zeitaufwendige und speicherfressende Log-File-Erstellungen, Reparaturinstallationen mit Neustarts …, weil zur Zeit arbeitsseitig aber richtig Druck im Kessel ist sind jegliche Störungen sehr unerwünscht). Dennoch könnten die Erkenntnisse sicher wertvoll sein.

 

Bis dahin werde ich bei noch laufender Prüfung die VIWAS GUI öffnen und nach Abschluss manuell abbrechen (Abschluss des Scans kann in ENS im Falle von Schnelltest auch über „System scannen“ – Schnelltest dann zur Auswahl Anzeige des aktuellen Scans – nachverfolgt werden).

Dort läuft der (Schnell-)Test in weniger als 15 min wohl durch (in ENS Meldung: Test abgeschlossen, kein Fehler, keine Auffälligkeit) aber die parallel geöffnete VIWAS GUI zeigt immer noch aktive Testdurchführung des (Schnell-)Tests an (bekommt offensichtlich das Ergebnis nicht korrekt übermittelt oder sieht noch andere – ggf. nicht mehr laufende – Scan-Durchläufe). Jetzt kann der Test dort abgebrochen werden, was aktuell noch (? -nach 7 Tagen ggf. wohl nicht mehr) die Anzeige System ist geschützt nach sich zieht (WTS Nuterz sollen normalerweies auf gelbes Ausrufezeichen in Taksleiste achten). Ein Hinweis auf den abgebrochenen Test erfolgt im Protokoll und im Bereich „Prüfung“ (inkl. gelben Ausrufezeichen).

 

Falls man auf unserem WTS die VIWAS GUI nach Abschluss des eigentlichen Scans (in ENS einsehbar) schließt, ohne den Test manuell abgebrochen zu haben, wird bei anschließendem Start dieser ein Rotes Ausrufezeichen im Bereich „Prüfung“ ergänzt um einen Hinweis auf einen abgebrochenen Test angezeigt (das was ich initial vorfand). Allerdings können dann Tests weder manuell abgebrochen noch manuell gestartet werden (Schaltleiste „jetzt prüfen“ außer Funktion und „Test abbrechen“ nicht eingeblendet).

Erst nach erneutem Scan-start über ENS, wird der laufende Test auch in VIWAS GUI mit entsprechendem Kringel im Bereich „Prüfen“ angezeigt und der laufende oder auch nicht erkannte abgeschlossene Test kann manuell wieder gestoppt werden.

Im Log-File wird der Test-Start registriert (auch wenn von ENS ausgelöst) aber nicht das Ende. Es wird aber die Webkontrolle als neuerlich als aktiviert gemeldet.

Habe noch nicht geprüft, wie die Reaktion bei erneuter zeitgesteuerter Testauslösung (gleiche Testart) ist, wenn kein manueller Abbruch erfolgte.

 

Werde heute mal probehalber die Webkontrolle (auf WTS ist IE mit den aktivierten Plug-Ins in Benutzung) deaktivieren und dann einen Scan auslösen. Außerdem werde ich in der von Ihnen beschriebenen durchaus gut versteckten Task-Übersicht in ENS prüfen, ob ggf. noch ein anderer Testlauf aktiv ist.

 

Im Übrigen hatte ich gestern stichprobenhaft das Verhalten eines TS-Clients (VIWAS 11.06 für TS-Clients) abgefragt. Dort scheint aktuell wohl alles korrekt zu sein.

 

Viele Grüße

Nutzer_8888

0 Kudos
Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 2
    letzte Antwort am 12.11.2020 12:09:36 von Nutzer_8888
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil