Einleitung
In diesem Dokument wird der Prozess zur Auflösung von Fault ID
11 von Secure Endpoint
am SUSE Linux Enterprise
15 SP2
beschrieben.
Anforderungen
Die Befehlszeilenschnittstelle (CLI
) steht allen Benutzern eines Systems zur Verfügung, obwohl die Verfügbarkeit einiger Befehle von der Richtlinienkonfiguration und/oder den Root-Berechtigungen abhängt. Die davon abhängigen Befehle sind in diesem Artikel beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
-
Linux Command Line
-
Secure Endpoint
Verwendete Komponenten
Die in diesem Dokument verwendeten Informationen basieren auf den folgenden Softwareversionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Auf SUSE Linux Enterprise 15 Service Pack (SP)
2 , mit Kernel-Versionen größer oder gleich 5.3.18, verwendet eBPF
Connector Module für die Echtzeit-Dateisystem- und Netzwerküberwachung. Die eBPF
Module ersetzen die Linux-Kernel
Module, die verwendet werden, wenn sie auf RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5
und früher laufen, und Amazon Linux 2
Kernel 4.14 oder früher. Für Ubuntu
18.04 und höher sowie für Debian
10 und höher eBPF
sind Module nativ.
Aus Kompatibilitätsgründen kompiliert der Steckverbinder automatisch die eBPF
vom Steckverbinder verwendeten Module, bevor er sie lädt, und führt sie auf dem System aus. Diese Kompilierung erfordert, dass Kernel-Entwicklungs-Header-Dateien installiert kernel-devel
werden, die der aktuellen entsprechen. Wenn die Echtzeit- filesystem
und Netzwerküberwachung aktiviert ist, kompiliert der Connector die eBPF
Module jedes Mal, wenn der Connector gestartet wird, oder in Echtzeit, wenn diese Funktionen aktiviert sind, als Teil einer Richtlinienaktualisierung.
Wenn das System das aktuelle kernel-devel-Paket nicht erkennt, löst der Connector die Fehler-ID 11 aus: Die Echtzeit-Netzwerk- und Dateiüberwachung ist nicht verfügbar. Installieren Sie das Paket kernel-devel für den aktuell laufenden Kernel und starten Sie dann den Connector neu. Das Problem mit diesem Fehler ist, dass der Linux-Connector in einem heruntergestuften Zustand ausgeführt wird, was bedeutet, dass er nicht wie erwartet funktioniert, bis der Fehler behoben ist.
Fehlerbehebung
Wenn Fehler 11 ausgelöst wird, erscheint dieses Fehlerprotokoll:
- Suchen Sie nach Protokollzeilen im Systemprotokoll,
/var/log/messages
die ähnlich sind wie diese:
init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules
Das Protokoll besagt, dass die aktuelle Kernel-Version auf dem Computer keine Kernel-Module für die filesystem
Netzwerküberwachung verwendet. Bei Kernel-Versionen, die größer oder gleich 4.18 sind, werden das Netzwerk filesystem
und das Netzwerk mithilfe von eBPF
Modulen überwacht.
So identifizieren Sie fehlende Kernel-Header
Wenn der Connector auf einem Computer ohne Kernel-Header ausgeführt wird Fault ID 11
(Realtime network and file monitoring is unavailable
), läuft der Connector in einem heruntergestuften Zustand ohne filesystem
oder Netzwerküberwachung.
Diese Schritte können von einem Klemmenfenster aus durchgeführt werden, um festzustellen, ob der Steckverbinder vorhanden kernel-header
ist oder nicht.
Schritt 1: Überprüfen Sie auf dem betroffenen Gerät, ob der Anschluss Fault ID 11
:
# /opt/cisco/amp/bin/ampcli
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.
Suchen Sie in der Konsole für sichere Endgeräte nach dem betroffenen Gerät, und erweitern Sie die Details, um den Abschnitt Fehler zu überprüfen.

Schritt 2. Überprüfen Sie den aktuellen Kernel mit dem folgenden Befehl:
$ uname -r
5.3.18-150200.24.115-default
Schritt 3. Um zu überprüfen, ob die Kernal-Header installiert sind oder nicht:
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")
Die Ausgabe muss wie folgt aussehen:

Dabei bedeutet i+, dass das Paket installiert ist. Wenn die linke Spalte leer oder leer istv
, muss das Paket installiert werden.
Der SUSE
Computer ist für die Installation von Kernel-Headern geeignet, wenn alle diese zutreffend sind:
- Der Anschluss hat die Fehler-ID 11.
- Die Mindestversion
kernel
ist 5.3.18.
- Die
kernel
Header sind nicht installiert.
Auflösung
Wenn die SUSE
Maschine nicht über die erforderlichen Kernel-Header verfügt, kann dieses Verfahren verwendet werden, um die erforderlichen Kernel-Header auf der Maschine zu installieren.
Schritt 1. Installieren Sie die erforderlichen Kernel-Header:
# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')
# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//')
Schritt 2. Den Steckverbinder neu starten:
# sudo systemctl stop cisco-amp
# sudo systemctl start cisco-amp
Schritt 3: Bestätigen Sie, dass der Fehler behoben wurde:
# /opt/cisco/amp/bin/ampcli
# status
Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit
Überprüfung
Um zu überprüfen, ob die Kernel-Header jetzt installiert sind, führen Sie die folgenden Befehle aus:
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")
Bevor Sie die Problemumgehung durchgeführt haben, hatten Sie eine Ausgabe wie diese:

Nachdem Sie die Problemumgehung durchgeführt haben, muss die Ausgabe wie folgt aussehen:

Zugehörige Informationen