우키의 보안이야기 » 보안운영

Officescan의 TMBMsrv.ex가 과도한 점유율 보일때

wookielee — Thu, 22 Mar 2012 05:50:57 +0000

Trendmicro의 백신인 Officescan을 사용하는 PC에서 TMBMsrv.exe라는 백신모듈중 하나가 CPU 점유율을 과도하게 차지하면서 느려지는 현상이 있었습니다.

이 경우 원인은 Offcescan의 self-protecting 인데요.. 클라이언트에 따라서 CPU를 많이 쓰는 상황이 발생할 수 있습니다. 이를 해결하기위해서는 Self-protecting을 해제해주면 됩니다. 다음의 방법을 따라서 문제를 해결할 수 있습니다. 아래 항목들은 모두 officescan 서버에서 실행해야 합니다. 아래 항목을 수행한 후 클라이언트가 서버에 접속이 되면 적용을 받게 됩니다.

1. ofcscan.ini의 AEGIS값 수정

C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\ofcscan.ini

바꿀 항목은 아래와 같습니다. 아래 항목에서 값을 1에서 0으로 바꿔주세요

#AEGIS
EnableAEGIS=0

2. officescan의 웹 관리 콘솔에서 저장해주세요…
Networked Computers/ Glgobal client settings 메뉴에서 저장버튼을 눌러주세요

여기까지 되었으면 클라이언트에서 정책을 받아가면 TMBMsrv.exe가 사라지게 되실겁니다.

3. officescan 10.6 일 경우, 웹 콘솔에서 Enable service 항목을 disable해주세요…
1) Networked Computers/Additional Service Settings 메뉴로 이동
2) Enable service on the following operating systems 항목의 체크를 disable해주세요

OCS 대화내용 조회툴 – OCS IM Archive Viewer

wookielee — Tue, 26 Jul 2011 11:52:26 +0000

사전에 OCS 아카이빙 DB서버가 구축되어 있으면 OCS의 대화내역을 보관하고 조회가 가능합니다. 이전 포스팅에서는 MS SQL 쿼리를 통해 대화내역을 조회하는 방법을 소개했습니다. 입맛에 맞게 세부적인 데이타를 조회할 수 있다는 장점이 있지만 서버에서 직접 실행해야 하거나 PC에 MS SQL 을 설치해야한다는 단점이 있습니다. MS에서 제공하는 OCS IM Archive Viewer를 사용하시면 매우 간단하게 대화내역을 조회하실 수가 있습니다.

프로그램 오른쪽 하단에 보이는 [Render the output as HTML ..] 버튼을 클릭하시면 HTML로 대화내역을 출력해주는데요 다시 HTML페이지에 보이는 테이블을 복사해서 엑셀에 붙여넣어서 사용하시면 한결 깔끔한 결과물을 얻으실 수 있답니다.

아래의 URL에서 프로그램을 다운로드 받으시면 되겠습니다.

<< OCS IM Archive Viewer 다운로드 >>

OCS2007 서버에서 사용자의 대화내역 확인할수 있는 쿼리문

wookielee — Tue, 26 Jul 2011 10:45:00 +0000

OCS2007 서버에서 대화내역을 아카이빙할 경우에 누가 언제 누구와 어떤 대화를 나누었는지 알아보기 위한 쿼리문입니다.

OCS를 사내메신저로 쓰시는 경우 아카이빙서버를 구축하고 아래의 쿼리를 이용한 audit이 가능하시겠습니다.

OCS 아카이브 DB명: LcsLog

아래 쿼리에서는 id@domain.com라는 사람이 2011-07-23 00:00부터 2011-07-26 23:59까지 주고받은 모든 대화대역을 시간순으로 출력해주는 내용을 담고있습니다.

Select MessageIdTime,

(select UserUri from dbo.Users where UserId = Messages.FromId) FromEmail,

(select UserUri from dbo.Users where UserId = Messages.ToId) ToEmail,

Body

from dbo.Messages, Users

where ( Users.UserId = Messages.FromId and Users.UserUri = ‘id@domain.com’

or Users.UserId = Messages.ToId and Users.UserUri = ‘id@domain.com‘)

and Messages.MessageIdTime between ’2011-07-23 00:00′ and ’2011-07-26 23:59′

order by MessageIdTime asc

Ms sql sa 암호 바꾸기

wookielee — Tue, 14 Jun 2011 07:12:51 +0000

1. SQL서버에 관리자 계정으로 로그인하고 나서 SQL Management Studio를 열어주세요

2. 윈도우 인증으로 로그인을 하고 나서 새로운 쿼리 창을 열어주세요

3. 다음의 sql 쿼리를 실행해주세요

sp_password null, ‘[새 sa 암호]‘, ‘sa’;

4. 잘 변경되었는지 확인하면 되겠지요?

Officescan 클라이언트의 업데이트 로그확인방법

wookielee — Fri, 03 Jun 2011 06:31:00 +0000

클라이언트가 계획한 시간에 계획한 업데이트 소스로부터 잘 업데이트 되고 있는지 점검하고자 할때 아래 경로의 파일을 확인해보시면 되겠습니다.

C:\Program Files\Trend Micro\OfficeScan Client\AU_Data\AU_Log\Tmudump.txt

여기에 업데이트 로그를 보면 언제 어떤 서버로부터 업데이트 되었는지 로그를 확인하실 수 있습니다. 지점의 업데이트 보조서버 (업데이트 에이전트)로부터 유효하게 업데이트를 받는지 확인하는데 유용하게 사용하실 수 있답니다.

또 업데이트를 받는 서버 소스 정보를 가지고있는 파일이 있는지 확인해보시기 바랍니다.

C:\Program Files\Trend Micro\OfficeScan Client\OUS.ini

서버의 업데이트 소스 설정값이 여기에 다운로드 되어 있을 것입니다.