7.1.9 Windows沙箱触发客户端注销

7.1.9.1 违规访问导致客户端注销问题排查入口

问题现象：

1. 在沙箱内打开某个软件会导致沙箱注销，弹窗提示如下

问题分析流程：

1. 收集客户端日志

2. 打开UEM日志目录下的SfUemAgent.exe.log（日志可能被覆盖，找不到找带1、2、3后缀的日志目录下找）

3. 搜索关键词 _HandleUemSecureEvent

4. 其中： srcProcessId表示源进程id，dstProcessId代表目标进程id，dstProcessName代表目标进程名，目前我们没有记录源进程名称，因此源进程名需要到日志中搜索查找

5. 在日志中根据srcProcessId可以搜索到对应的源进程名，比如这里源进程id是5432，我们在SfUemAgent.exe.log中搜索这个进程id

6. 在问题时间点找到对应的进程创建通知，即可分析出原始进程名

7.1.9.2 开启Uem沙箱，登录ATrust后立马注销的问题

问题现象：

1. 用户登录Atrust后，里面注销

问题确认方式：

1. 查看aTrustAgent_plugins_aTrustCore_h_e.log日志发现（Uem在主动请求退出）

问题可能原因：

1. 服务崩溃
2. 环境原因导致SfUemAgent服务未启动

问题解决方案：

1. 确认下SfUemAgent.exe是不是正常运行，如果在登录过程中，SfUemAgent.exe崩溃了会导致该现象，可以联系技术支持查看；

2. 如果登录前服务就已经挂了，则可以参考SfUemAgent服务未启动，导致无法进入沙箱

2.1 检查系统是否为ARM架构 目前windows的沙箱不支持ARM架构，即所有的ARM处理器都无法正常运行沙箱； 如果安装完成后，发现所有驱动均未加载，则大概率是由于ARM架构。 可以在CMD中输入： echo %PROCESSOR_ARCHITECTURE% 输出以下值之一：x86(用于32位CPU)、AMD64(用于64位CPU)或ARM64 另外MAC系统(非Intel芯片条件下)下用windows虚拟机，在win虚拟机里面装UEM，也是不支持的

2.2 服务自启动被改成了手动启动 如果可以手动启动成功(管理员方式运行命令行： net start SfUemAgent), 可以检查该服务的启动类型是否为自动启动，如果不是，可能是被安全软件优化成手动启动了, 这种情况可以修改启动类型为自动启动。 2.1.15及以上版本解决了该问题。

2.3 安装后缺少依赖库 可以双击运行C:\Program Files (x86)\Sangfor\SSL\aUEM\agent\SfUemAgent.exe 看是否有报错, 某些情况下因为某些依赖的文件缺失，SfUemAgent.exe无法正常初始化，这个时候通过双击运行该exe可以看到具体缺失的依赖文件。

2.4 驱动安装失败，导致服务启动失败 管理员运行cmd，输入fltmc，检查是否有以下uem驱动

如果没有，进入C:\Windows\System32\drivers目录下，查看uem的驱动文件是否存在

如果没有，则尝试手动安装重试。64位操作系统下，已管理员权限运行的cmd中输入："C:\Program Files (x86)\Sangfor\SSL\UEM\agent\SfUemAgent.exe" /Service 32位操作系统，已管理员权限运行的cmd中输入："C:\Program Files\Sangfor\SSL\UEM\agent\SfUemAgent.exe" /Service 等待30s后，重启电脑 再次进入C:\Windows\System32\drivers目录下，查看uem的驱动文件是否存在，若依旧不存在检查UEM安装是否完全

2.5 文件安装成功，服务修复失败. 可以参考是否安全软件影响的，360安全卫士将沙箱驱动识别为病毒，将Uem的安装目录添加到信任区，然后重启系统