Fehlerbehebung bei Fehler-ID 11 auf SUSE Linux Secure Endpoint

Download-Optionen

  • PDF     (448.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (264.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (215.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:1. Februar 2023
Dokument-ID:220185

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird der Prozess zur Auflösung von Fault ID 11 von Secure Endpoint am SUSE Linux Enterprise 15 SP2 beschrieben.

    Anforderungen

    Die Befehlszeilenschnittstelle (CLI) steht allen Benutzern eines Systems zur Verfügung, obwohl die Verfügbarkeit einiger Befehle von der Richtlinienkonfiguration und/oder den Root-Berechtigungen abhängt. Die davon abhängigen Befehle sind in diesem Artikel beschrieben.

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Linux Command Line

    • Secure Endpoint

    Verwendete Komponenten

    Die in diesem Dokument verwendeten Informationen basieren auf den folgenden Softwareversionen:

    • Secure Endpoint  1.20

    • SUSE Linux Enterprise 15 SP2  Kernel-Version 5.3.18-24.96-default

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Auf SUSE Linux Enterprise 15 Service Pack (SP) 2 , mit Kernel-Versionen größer oder gleich 5.3.18, verwendet eBPF Connector Module für die Echtzeit-Dateisystem- und Netzwerküberwachung. Die eBPF Module ersetzen die Linux-KernelModule, die verwendet werden, wenn sie auf RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 und früher laufen, und Amazon Linux 2 Kernel 4.14 oder früher.  Für Ubuntu 18.04 und höher sowie für Debian 10 und höher eBPF sind Module nativ.

    Aus Kompatibilitätsgründen kompiliert der Steckverbinder automatisch die eBPF vom Steckverbinder verwendeten Module, bevor er sie lädt, und führt sie auf dem System aus. Diese Kompilierung erfordert, dass Kernel-Entwicklungs-Header-Dateien installiert kernel-devel werden, die der aktuellen entsprechen. Wenn die Echtzeit- filesystem und Netzwerküberwachung aktiviert ist, kompiliert der Connector die eBPF Module jedes Mal, wenn der Connector gestartet wird, oder in Echtzeit, wenn diese Funktionen aktiviert sind, als Teil einer Richtlinienaktualisierung.

    Wenn das System das aktuelle kernel-devel-Paket nicht erkennt, löst der Connector die Fehler-ID 11 aus: Die Echtzeit-Netzwerk- und Dateiüberwachung ist nicht verfügbar. Installieren Sie das Paket kernel-devel für den aktuell laufenden Kernel und starten Sie dann den Connector neu. Das Problem mit diesem Fehler ist, dass der Linux-Connector in einem heruntergestuften Zustand ausgeführt wird, was bedeutet, dass er nicht wie erwartet funktioniert, bis der Fehler behoben ist.

    Fehlerbehebung

    Wenn Fehler 11 ausgelöst wird, erscheint dieses Fehlerprotokoll: 

    • Suchen Sie nach Protokollzeilen im Systemprotokoll, /var/log/messages die ähnlich sind wie diese: 
    init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

    Das Protokoll besagt, dass die aktuelle Kernel-Version auf dem Computer keine Kernel-Module für die filesystem Netzwerküberwachung verwendet. Bei Kernel-Versionen, die größer oder gleich 4.18 sind, werden das Netzwerk filesystem und das Netzwerk mithilfe von eBPF Modulen überwacht.

    So identifizieren Sie fehlende Kernel-Header

    Wenn der Connector auf einem Computer ohne Kernel-Header ausgeführt wird Fault ID 11 (Realtime network and file monitoring is unavailable), läuft der Connector in einem heruntergestuften Zustand ohne filesystem oder Netzwerküberwachung.
    Diese Schritte können von einem Klemmenfenster aus durchgeführt werden, um festzustellen, ob der Steckverbinder vorhanden kernel-header ist oder nicht.

    Schritt 1: Überprüfen Sie auf dem betroffenen Gerät, ob der Anschluss Fault ID 11 :

    # /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

    Suchen Sie in der Konsole für sichere Endgeräte nach dem betroffenen Gerät, und erweitern Sie die Details, um den Abschnitt Fehler zu überprüfen.

    Secure Endpoint Console - Find Affected Device and Expand the Details to Verify the Fault Section

    Schritt 2. Überprüfen Sie den aktuellen Kernel mit dem folgenden Befehl:

    $ uname -r
5.3.18-150200.24.115-default

    Schritt 3. Um zu überprüfen, ob die Kernal-Header installiert sind oder nicht:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")


    Die Ausgabe muss wie folgt aussehen:

    Check SUSE Kernel

    Dabei bedeutet i+, dass das Paket installiert ist. Wenn die linke Spalte leer oder leer istv, muss das Paket installiert werden.

    Der SUSE Computer ist für die Installation von Kernel-Headern geeignet, wenn alle diese zutreffend sind:

    • Der Anschluss hat die Fehler-ID 11.
    • Die Mindestversion kernel ist 5.3.18.
    • Die kernel Header sind nicht installiert.

    Auflösung

    Wenn die SUSE Maschine nicht über die erforderlichen Kernel-Header verfügt, kann dieses Verfahren verwendet werden, um die erforderlichen Kernel-Header auf der Maschine zu installieren.

    Schritt 1. Installieren Sie die erforderlichen Kernel-Header:

    # sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

    Schritt 2. Den Steckverbinder neu starten:

    # sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

    Schritt 3: Bestätigen Sie, dass der Fehler behoben wurde:

    # /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

    Überprüfung

    Um zu überprüfen, ob die Kernel-Header jetzt installiert sind, führen Sie die folgenden Befehle aus:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

    Bevor Sie die Problemumgehung durchgeführt haben, hatten Sie eine Ausgabe wie diese:

    Check Headers

    Nachdem Sie die Problemumgehung durchgeführt haben, muss die Ausgabe wie folgt aussehen:

    Headers Installed

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    01-Feb-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Isaac Cardenas
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.