【2022争霸赛*干货满满】EDR终端agent离线问题

EDR的终端agent离线问题排查

1、安装部署完成服务端MGR后，授权成功，在windows客户端安装终端提示，终端未授权，控制台显示未在线且agent客户端安装后均是安装成功的提示，无报错出现，查看agent终端显示未授权。

2、解决思路：

（1）检查终端授权个数是否足够

（2）如果授权个数足够，可能是由于在没有开通授权的情况下终端先上线

（3）确认对应端口有无问题（服务端的8083、54120和443三个端口。）查询已确认能互通。

（4）进程查看命令：任务管理器查看进程edr_monit、edr_agent等进程是否都正常运行

（5）在服务端控制台查看对应终端的在线情况先在终端cmd命令行查看网卡ip地址查看命令：ipconfig |findstr IPv4

3、确认终端系统属于edr所支持的系统版本。

4、如果在兼容性里面则确认终端进程及服务状态查看命令：tasklist |findstr edr

需确认的进程有：edr_monitor.exe、edr_agent.exe、ipc_proxy.exe

如进程未启动，可确认服务启动类型是否开启自动启动。如上图所示：

需确认的服务名有：edr_monitor、abs_deployer。服务启动类型可能由第三方管理软件调整，如：QQ管家

或360的启动项优化

5、进程正常时，需确认本地8071端口是否正常监听及通信是否正常；

查看命令：netstat -ano |findstr 8071

6、注意：①需确认监听进程是否是ipc_proxy.exe,如果被其他进程监听则会导致通信异常，需更换监听端口。

②监听正常但是通信异常是需确认是否是防火墙或第三方软件拦截，需放通对应数据。

感谢楼主分享！文章介绍了EDR agent离线的排查思路，图文并茂，内容清晰。很实用，期待楼主带来更多有价值的案例分享