Fehler-ID |
Beschreibung |
Fehlerbehebung/Lösung |
5 |
Benutzer des Suchdiensts nicht verfügbar |
Der Connector konnte keinen Benutzer erstellen, um den Dateiscan auszuführen. Der Connector verwendet den Root-Benutzer, um Datei-Scans als Problemumgehung durchzuführen. Dies weicht vom vorgesehenen Design ab und wird nicht erwartet. Wenn die cisco-amp-scan-svc Benutzer oder Gruppe wurde gelöscht, oder die Konfiguration von Benutzer und Gruppe wurde geändert. Anschließend können Sie den Connector neu installieren, um den Benutzer und die Gruppe mit den erforderlichen Konfigurationen neu zu erstellen. Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log. Wenn die Erstellung der Benutzergruppe über die Einstellungen in /etc/login.defs eingeschränkt ist, muss diese Datei vorübergehend geändert werden, während das Installationsprogramm ausgeführt wird, damit der Benutzer und die Gruppe erstellt werden können. Ändern Sie dazu usergroups_enab von "no" in "yes". Dieser Fehler kann in den Linux-Connectors 1.15.1 und höher ausgelöst werden, wenn ein anderes Programm eine der Verzeichnisberechtigungen des Connectors (d. h. /opt/cisco oder ein untergeordnetes Verzeichnis) geändert hat. Um dies zu vermeiden, muss die geänderte Verzeichnisberechtigung auf den Standardwert (d. h. 0755) zurückgesetzt werden. Stellen Sie sicher, dass keine zukünftigen Programme das Verzeichnis /opt/cisco (oder andere untergeordnete Verzeichnisse) ändern, und starten Sie den Connector-Dienst neu. |
6 |
Häufiges Neustarten des Suchdiensts |
Wiederholte Fehler beim Scanvorgang der Connectordatei. Der Connector wurde neu gestartet, um den Fehler zu beheben. Es ist möglich, dass eine oder mehrere Dateien auf dem System den Scanalgorithmus abstürzen lassen, wenn sie gescannt werden. Der Connector fährt mit den Scans nach bestem Bemühen fort. Wenn dieser Fehler nicht automatisch innerhalb von 10 Minuten nach dem Start des Anschlusses behoben wird, bedeutet dies, dass weitere Benutzereingriffe erforderlich sind und der Anschluss weniger Scans durchführen kann. Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log und /var/log/cisco/ampscansvc.log. |
7 |
Fehler beim Starten des Suchdiensts. |
Der Dateiscan des Connectors konnte nicht gestartet werden, und der Connector wurde neu gestartet, um den Fehler zu beheben. Die Funktion zum Scannen von Dateien ist deaktiviert, während dieser Fehler ausgelöst wird. Dieser Fehler kann ausgelöst werden, wenn beim Laden neu installierter Virendefinitionsdateien (CVD-Dateien) ein Fehler auftritt. Der Connector führt eine Reihe von Integritäts- und Stabilitätsüberprüfungen durch, bevor er neue CVD-Dateien aktiviert, um diesen Fehler zu verhindern. Beim Neustart entfernt der Connector alle ungültigen CVD-Dateien, sodass der Connector fortgesetzt werden kann. Wenn dieser Fehler beim Neustart des Steckverbinders nicht behoben wird, ist dies ein Hinweis darauf, dass ein weiterer Benutzereingriff erforderlich ist. Wenn sich dieser Fehler bei jedem .cvd-Update wiederholt, ist dies ein Hinweis darauf, dass eine ungültige .cvd-Datei von den .cvd-Dateiintegritätsprüfungen des Connectors nicht richtig erkannt wird. Dieser Fehler kann in Linux-Steckverbindern ausgelöst werden, wenn der Computer nicht über genügend Arbeitsspeicher verfügt und der Scanner-Dienst nicht starten kann. Informationen zu den Mindestsystemanforderungen für Linux finden Sie im Benutzerhandbuch für sichere Endgeräte (ehemals AMP für Endgeräte). Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log und /var/log/cisco/ampscansvc.log. |
8 |
Fehler beim Starten der Echtzeitüberwachung des Dateisystems |
Das Kernelmodul, das die Überwachung der Aktivität des Dateisystems in Echtzeit ermöglicht, wurde nicht geladen, und die Connector-Richtlinie hat "Dateikopien und -verschiebungen überwachen" aktiviert. Diese Überwachungsfunktionen sind im Anschluss nicht verfügbar, während dieser Fehler auftritt. Dieser Fehler wird ausgelöst, wenn der Secure Endpoint-Connector das zugrunde liegende Kernelmodul, das für die Überwachung der Dateisystemaktivität erforderlich ist, nicht laden kann. UEFI Secure Boot muss auf dem System deaktiviert sein. Wenn Secure Boot deaktiviert ist, kann dieser Fehler durch eine Inkompatibilität zwischen dem ampavflt- oder ampfsm-Kernelmodul, das mit dem Secure Endpoint-Anschluss bereitgestellt wird, und dem Systemkernel oder anderen Kernel-Modulen von Drittanbietern, die auf dem System installiert sind, verursacht werden. Lesen Sie /var/log/messages für Details. Der Fehler kann auch verursacht werden, wenn eine Kernelversion ausgeführt wird, die vom Connector nicht unterstützt wird. In diesem Fall kann es gelöscht werden, indem ein benutzerdefiniertes ampfsm-Kernelmodul für den aktuell laufenden System-Kernel erstellt wird. (Gilt für Linux Connector-Versionen 1.16.0 und höher.) Weitere Informationen zum Erstellen benutzerdefinierter Kernelmodule finden Sie unter Erstellen von Cisco Secure Endpoint Linux Connector-Kernelmodulen |
9 |
Echtzeit-Netzwerküberwachung konnte nicht gestartet werden |
Das Kernelmodul, das die Überwachung der Netzwerkaktivität in Echtzeit bereitstellt, wurde nicht geladen, und die Connector-Richtlinie hat "Enable Device Flow Correlation" aktiviert. Diese Überwachungsfunktion ist im Anschluss nicht verfügbar, während dieser Fehler ausgelöst wird. Dieser Fehler wird ausgelöst, wenn der Secure Endpoint-Connector das zugrunde liegende Kernelmodul, das für die Überwachung der Dateisystemaktivität erforderlich ist, nicht laden kann. UEFI Secure Boot muss auf dem System deaktiviert sein. Wenn Secure Boot deaktiviert ist, kann dieser Fehler durch eine Inkompatibilität zwischen dem ampavflt- oder ampfsm-Kernelmodul, das mit dem Secure Endpoint-Anschluss bereitgestellt wird, und dem Systemkernel oder anderen Kernel-Modulen von Drittanbietern, die auf dem System installiert sind, verursacht werden. Lesen Sie /var/log/messages für Details. Der Fehler kann auch verursacht werden, wenn eine Kernelversion ausgeführt wird, die vom Connector nicht unterstützt wird. In diesem Fall kann es gelöscht werden, indem ein benutzerdefiniertes ampfsm-Kernelmodul für den aktuell laufenden System-Kernel erstellt wird. (Gilt für Linux Connector-Versionen 1.16.0 und höher.) Weitere Informationen zum Erstellen benutzerdefinierter Kernelmodule finden Sie unter Erstellen von Cisco Secure Endpoint Linux Connector-Kernelmodulen |
11 |
Erforderliches Paket für kernel-devel fehlt |
Der Secure Endpoint Connector verwendet eBPF-Module zur Überwachung von Dateisystem-, Prozess- und Netzwerkaktivitäten. Der Connector erfordert, dass bestimmte Pakete auf dem System verfügbar sind, um diese eBPF-Module zu laden und auszuführen. Um diesen Fehler zu beheben, installieren Sie das Paket, das von Ihrer Linux-Distribution benötigt wird, wie unten beschrieben, und starten Sie den Connector neu. Bei Red Hat-basierten Distributionen wird dieser Fehler ausgelöst, wenn das Paket kernel-devel fehlt. Installieren Sie das Paket kernel-devel und starten Sie den Connector neu. (Gilt nur für Linux-Connector-Versionen 1.13.0 und höher.) Für Oracle Linux UEK 6 und höher wird dieser Fehler ausgelöst, wenn kernel-uek-develPaket fehlt. Installieren Sie das Paket kernel-uek-devel und starten Sie den Connector neu. (Gilt nur für Linux-Connector-Versionen 1.18.0 und höher.) Bei Debian-basierten Distributionen wird dieser Fehler ausgelöst, wenn das Paket linux-headers fehlt. Installieren Sie das Paket linux-headers, und starten Sie den Connector neu. (Gilt für Linux Connector-Versionen 1.15.0 und höher.) Weitere Informationen finden Sie unter: Linux-Kernel-Devel-Fehler |
16 |
Inkompatibler Kernel
|
Der aktuell ausgeführte Kernel ist nicht mit dem aktuell ausgeführten Connector kompatibel, und in der Connector-Richtlinie ist entweder "Dateikopien und -verschiebungen überwachen" oder "Device Flow Correlation aktivieren" aktiviert. Downgraden Sie den Kernel auf eine unterstützte Version oder aktualisieren Sie den Connector auf eine neuere Version, die diesen Kernel unterstützt. Weitere Informationen zu unterstützten Kernel-Versionen finden Sie unter: Cisco Secure Endpoint Linux Connector-Betriebssystemkompatibilität |
18 |
Überwachung von Connector-Ereignissen ist überlastet |
Dieser Fehler tritt auf, wenn der Steckverbinder aufgrund einer überwältigenden Anzahl von Systemereignissen stark ausgelastet ist. Der Systemschutz ist begrenzt, und der Anschluss überwacht eine kleinere Anzahl systemkritischer Ereignisse, bis die Gesamtaktivität des Systems reduziert ist. Dieser Fehler kann ein Hinweis auf schädliche Systemaktivitäten oder sehr aktive Anwendungen im System sein. Wenn eine aktive Anwendung vom Benutzer als vertrauenswürdig eingestuft wird, kann sie einem Prozessausschlusssatz hinzugefügt werden, um die Überwachungslast für den Connector zu reduzieren. Diese Aktion kann ausreichen, um den Fehler zu beheben. Wenn keine unbedenklichen Prozesse eine hohe Auslastung verursachen, muss untersucht werden, ob die erhöhte Aktivität auf einen schädlichen Prozess zurückzuführen ist. Steht der Steckverbinder in kurzen Zeiträumen unter starker Last, so ist es möglich, dass sich dieser Fehler von selbst löst. Wenn dieser Fehler häufig auftritt, es keine harmlosen Prozesse gibt, die eine hohe Auslastung verursachen, und keine bösartigen Prozesse entdeckt wurden, dann muss das System neu bereitgestellt werden, um eine größere Auslastung zu bewältigen. |
19 |
SELinux-Richtlinie fehlt oder ist deaktiviert
|
Dieser Fehler wird ausgelöst, wenn die Secure Enterprise Linux (SELinux)-Richtlinie auf dem System verhindert, dass der Connector die Systemaktivität überwacht. Wenn SELinux aktiviert ist und sich im Erzwingungsmodus befindet, benötigt der Connector diese Regel in der SELinux-Richtlinie:
allow unrestricted_service_t self:bpf { map_create map_read map_write prog_load prog_run }; Auf Red Hat-basierten Systemen, einschließlich RHEL 7 und Oracle Linux 7, ist diese Regel in der SELinux-Standardrichtlinie nicht vorhanden. Während einer Installation oder eines Upgrades versucht der Connector, diese Regel durch die Installation eines SELinux Policy Module mit dem Namen cisco-secure-bpf. Wenn cisco-secure-bpf kann nicht installiert und geladen werden, oder ist deaktiviert, wird der Fehler ausgelöst. Um den Fehler zu beheben, stellen Sie sicher, dass das Systempaket policyCoreutils-python installiert ist. Installieren Sie Connector neu, oder aktualisieren Sie den Connector, um die Installation von cisco-secure-bpf auszulösen, oder fügen Sie die Regel manuell zur vorhandenen SELinux-Richtlinie hinzu, und starten Sie Connector neu. Ausführlichere Anweisungen zum Ändern der SELinux-Richtlinie, um diesen Fehler zu beheben, finden Sie unter SELinux Policy Fault.
|