المقدمة
يصف هذا المستند الخطأ 18 على موصل نقطة النهاية الآمنة لنظام التشغيل MacOS و Linux.
الخطأ 18: تم تحميل مراقبة حدث الموصل بشكل زائد
يعمل محرك الحماية السلوكية على تحسين رؤية الموصل في نشاط النظام؛ مع هذه الزيادة في مستوى الرؤية، فإن مراقبة نشاط النظام للموصل من المرجح أن تكون قد أرهقت من مقدار النشاط على النظام. إذا حدث ذلك، الموصل يرفع الخطأ 18 ويدخل في الوضع المخفض؛ للحصول على تفاصيل الخطأ 18، ارجع إلى مقالات أخطاء موصل نقطة النهاية الآمنة من Cisco ل MacOS وLinux. على الموصل، يمكن إستخدام الأمر status في واجهة سطر الأوامر (CLI) لنقطة النهاية الآمنة لمعرفة ما إذا كان الموصل يعمل في الوضع المخفض وما إذا كان قد تم رفع أي أخطاء. status إذا تم رفع الخطأ 18، فإن تشغيل الأمر في واجهة سطر الأوامر (CLI) الخاصة بنقطة النهاية الآمنة يعرض الخطأ مع إحدى هاتين الحالتين المحتملتين:
- الخطأ 18 ذو الخطورة الكبرى
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- الخطأ 18 مع خطورة خطيرة
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
تم تحميل مراقبة حدث الموصل بشكل زائد: الخطورة الكبرى
عندما يتم رفع الخطأ 18 مع خطورة كبرى، فهذا يعني أن مراقبة حدث الموصل يتم تحميلها فوق طاقتها ولكنها ما تزال قادرة على مراقبة مجموعة أصغر من أحداث النظام. يتحول الموصل إلى خطورة كبيرة ويراقب الأحداث الأقل مقارنة بالرصد الذي كان متوفرا في موصلات Linux الأقدم من 1.22.0 وموصلات MacOS الأقدم من 1.24.0. إذا كان فيض أحداث النظام قصيرا وتراجع حمل مراقبة الحدث مرة أخرى إلى نطاق مقبول، فسيتم مسح الخطأ 18 واستئناف الموصل مراقبة جميع أحداث النظام. إذا أزداد فيض أحداث النظام سوءا وازدادت حمولة مراقبة الحدث إلى حد خطير، حينئذ يتم رفع الخطأ 18 بشدة شديدة ويحول الموصل إلى خطورة حرجة.
تم تحميل مراقبة حدث الموصل بشكل زائد: الخطورة الحرجة
عندما يتم رفع الخطأ 18 مع خطورة بالغة، فهذا يعني أن الموصل يواجه قدرا هائلا من أحداث النظام التي تعرض الموصل للخطر. يتحول الموصل إلى خطورة حرجة أكثر تقييدا. في هذه الحالة، يراقب الموصل فقط الأحداث الهامة للسماح للموصل بالتنظيف والتركيز على الاسترداد. إذا تراجع فيض الأحداث في نهاية المطاف ليصل إلى نطاق أكثر قبولا، فسيتم مسح الخطأ بالكامل وسيستأنف الموصل مراقبة جميع أحداث النظام.
توجيه فعل الصدع
إذا كان الموصل قد تسبب في حدوث خطأ 18 إما بدرجة خطورة كبيرة أو خطيرة، فيجب إتخاذ بعض الخطوات للتحقيق في المشكلة وحلها. تختلف خطوات حل الخطأ 18 حسب الوقت والسبب الذي نشأ فيه الخطأ:
- حدث خطأ 18 أثناء تثبيت جديد للموصل
- حدث الخطأ 18 بعد التغييرات الأخيرة التي تم إجراؤها على نظام التشغيل
- الصدع 18 نشأ تلقائيا
-
نتج الخطأ 18 عند إعادة إمداد جهاز بموصل مثبت بالفعل أو تحديث الموصل إلى إصدار (Linux) 1.22.0+ أو (MacOS) 1.24.0+
الحالة 1: تثبيت جديد
في حالة ملاحظة وجود عطل 18 والوضع المخفض خارج تثبيت جديد للموصل، فيجب عليك أولا التأكد من أن النظام يفي بالحد الأدنى لمتطلبات النظام. بعد التحقق من استيفاء المتطلبات للحد الأدنى من المتطلبات أو تجاوزها، إذا استمر الخطأ، يجب عليك التحقيق في العمليات الأكثر نشاطا على النظام. يمكنك عرض العمليات النشطة الحالية على نظام Linux باستخدام الأمر (topأو ما شابه) في الوحدة الطرفية. إذا كانت العمليات التي تستهلك أعلى كمية من وحدة المعالجة المركزية معروفة بكونها حميدة، عندئذ يمكنك إنشاء استبعادات عملية جديدة لاستبعاد تلك العمليات من أن يتم مراقبتها.
مثال سيناريو:
لنفترض أنه بعد التثبيت الجديد، تم عرض الخطأ 18 والوضع المخفض عبر واجهة سطر الأوامر (CLI) لنقطة النهاية الآمنة. يؤدي تشغيل الأمر top في جهاز Ubuntu إلى عرض هذه العمليات النشطة:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
نرى أن هناك عملية نشطة جدا، تسمى trusted_process في هذا المثال. في هذه الحالة أنا على دراية بهذه العملية وهي موثوق بها، لا يوجد سبب للشك في هذه العملية. لمسح الخطأ 18، يمكن إضافة العملية الموثوق بها إلى إستثناء عملية في البوابة. ارجع إلى مقالة تكوين إستثناءات نقاط نهاية الأمان من Cisco والتعرف عليها للتعرف على أفضل الممارسات عند إنشاء الاستثناءات.
الحالة 2: التغييرات الأخيرة
إذا قمت بإجراء تغييرات حديثة على نظام التشغيل الخاص بك، مثل تثبيت برنامج جديد، يمكن ملاحظة وجود خطأ 18 ووضع مخفض إذا أدت هذه التغييرات الجديدة إلى زيادة نشاط النظام. أستخدم إستراتيجية المعالجة نفسها كما هو موضح في InstallCase الجديد، ومع ذلك ابحث عن العمليات المرتبطة بالتغييرات الأخيرة، مثل عملية جديدة يتم تشغيلها بواسطة برنامج مثبت حديثا.
الحالة 3: نشاط ضار
يزيد محرك الحماية السلوكية أنواع نشاط النظام الذي يتم مراقبته. وهذا يوفر للموصل منظور أوسع حول النظام ويمنحه القدرة على اكتشاف الهجمات السلوكية الأكثر تعقيدا. ومع ذلك، فإن مراقبة مقدار أكبر من نشاط النظام يعرض الموصل لخطر أكبر لهجمات رفض الخدمة (DoS). إذا كان الموصل مثقلا بنشاط النظام ودخل في وضع متدني مع حدوث الخطأ 18، فإنه يستمر في مراقبة الأحداث الحرجة للنظام حتى يتم تقليل النشاط الكلي للنظام. هذه الخسارة في رؤية حدث النظام تقلل من قدرة الموصل على حماية الجهاز. من المهم للغاية أن تقوم بالتحري عن النظام فورا بحثا عن العمليات الضارة. أستخدم الأمر (أو top ما شابه) على النظام لديك لعرض العمليات النشطة الحالية واتخاذ الإجراء المناسب لتصحيح الموقف إذا تم التعرف على أي عمليات قد تكون ضارة.
الحالة 4: متطلبات الموصل
يحسن محرك الحماية السلوكية من قدرة الموصل على حماية نشاط الجهاز؛ ولكن لكي تتمكن من تحقيق هذه الغاية فيتعين عليها أن تستهلك من الموارد ما يزيد على ما تستهلكه من موارد في الإصدارات السابقة. إذا كان الخطأ 18 يتم رفعه بشكل متكرر، فلا توجد عمليات حميدة تتسبب في حمل ثقيل، ولا يبدو أن هناك أي عمليات ضارة تعمل على الجهاز، ثم يجب عليك التأكد من أن النظام الخاص بك يفي بالحد الأدنى لمتطلبات النظام.
اطّلع أيضًا على
التعليقات