Introducción
El conector de Cisco Secure Endpoint Linux puede notificarle un evento de Fault Raising cuando detecta una condición que afecta al correcto funcionamiento del conector. De manera similar, un evento Fault Cleared comunica que la condición ya no está presente.
Tabla de fallas del conector de Linux de terminal seguro
En la tabla siguiente se describen los errores y los pasos de diagnóstico correspondientes.
| ID de falla |
Descripción |
Resolución/resolución de problemas |
| 5 |
El usuario del servicio de análisis no está disponible |
El conector no pudo crear un usuario para ejecutar el proceso de escaneo de archivos. El conector funciona en torno a esto utilizando el usuario raíz para realizar el escaneo de archivos. Esto se aparta del diseño previsto y no se espera.
Si cisco-amp-scan-svc se ha eliminado el usuario o el grupo o se ha cambiado la configuración del usuario y del grupo, al volver a instalar el conector se volverá a crear el usuario y el grupo con la configuración necesaria. Los detalles adicionales están disponibles en /var/log/cisco/ampdaemon.log.
Si el cliente restringe la creación del grupo de usuarios a través de la configuración en /etc/login.defs este archivo debe cambiarse temporalmente mientras el instalador se está ejecutando para permitir que se creen el usuario y el grupo. Esto se puede hacer cambiando userggroups_enab de no a sí. Este error puede surgir en los conectores Linux 1.15.1 y posteriores si otro programa ha modificado uno de los permisos de directorio del conector (es decir, /opt/cisco o un directorio secundario). Para paliar esta situación, el permiso de directorio modificado se debe volver a establecer como predeterminado (por ejemplo, 0755), asegúrese de que ningún programa futuro modifique el directorio /opt/cisco (ni ningún directorio secundario) y reinicie el servicio de conector. |
| 6 |
Reiniciar el servicio con frecuencia |
El proceso de escaneo de archivos del conector encontró fallas repetidas y el conector se ha reiniciado en un intento de borrar la falla. Es posible que uno o más archivos del sistema provoquen que el algoritmo de escaneo se desmorone cuando se analiza. El conector continúa con escaneos a medida de lo posible. Si este fallo no se borra automáticamente en los 10 minutos siguientes al inicio del conector, esto indica que se requiere una mayor intervención del usuario y que se degradará la capacidad del conector para realizar escaneos. Revise /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más detalles. |
| 7 |
Error al iniciar el servicio de análisis |
El proceso de escaneo de archivos del conector no se pudo iniciar y el conector se ha reiniciado en un intento de borrar la falla. La funcionalidad de escaneo de archivos se inhabilita mientras se provoca este error. Esta falla se puede activar si se produce un error al cargar un archivo de definición de virus recientemente instalado (archivos .cvd). El conector realiza una serie de comprobaciones de integridad y estabilidad antes de activar nuevos archivos .cvd para evitar este error. Al reiniciar el conector, se quitarán los archivos .cvd no válidos para que el conector pueda reanudarse. Si este fallo no se borra cuando se reinicia el conector, esto indica que se requiere una mayor intervención del usuario. Si esta falla se repite con cada actualización .cvd, esto indica que las comprobaciones de integridad del archivo .cvd del conector no detectan correctamente un archivo .cvd no válido. Esta falla se puede activar en los conectores Linux si la máquina se está quedando sin memoria disponible y el servicio de escáner no puede iniciarse. Consulte la "Guía del usuario de Secure Endpoint (anteriormente AMP para terminales)" para conocer los requisitos mínimos del sistema en Linux. Revise /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más detalles. |
| 8 |
Error al iniciar el monitor del sistema de archivos en tiempo real |
El módulo del kernel que proporciona monitoreo de actividad del sistema de archivos en tiempo real no se cargó y la política del conector tiene habilitado "Monitor File Copies and Moves". Estas funciones de supervisión no están disponibles en el conector mientras se produce este error. Este error se produce cuando el conector Secure Endpoint no puede cargar el módulo kernel subyacente necesario para el monitoreo de actividad del sistema de archivos. UEFI Secure Boot se debe inhabilitar en el sistema. Si se inhabilita Secure Boot, esta falla puede ser causada por una incompatibilidad entre el módulo ampavflt o ampfsm kernel provisto con el conector Secure Endpoint y el kernel del sistema u otros módulos kernel de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles o inhabilite la supervisión de archivos en la configuración de políticas del conector para borrar este error. La falla también puede ser causada cuando se ejecuta una versión del kernel que no es soportada por el conector. En este caso, se puede borrar construyendo un módulo de kernel amfsm personalizado para el núcleo del sistema en ejecución actual. (Aplicable a las versiones 1.16.0 y posteriores del conector Linux). Para obtener más información sobre cómo construir módulos kernel personalizados, consulte: Creación de módulos de núcleo de conector Linux de terminales seguros de Cisco |
| 9 |
Error al iniciar el monitor de red en tiempo real |
El módulo del kernel que proporciona monitoreo de actividad de red en tiempo real no se cargó y la política del conector tiene habilitada la opción "Habilitar correlación de flujo de dispositivos". Esta función de supervisión no está disponible en el conector mientras se provoca este error. Este error se produce cuando el conector Secure Endpoint no puede cargar el módulo kernel subyacente necesario para el monitoreo de actividad del sistema de archivos. UEFI Secure Boot se debe inhabilitar en el sistema. Si se inhabilita Secure Boot, esta falla puede ser causada por una incompatibilidad entre el módulo ampavflt o ampfsm kernel provisto con el conector Secure Endpoint y el kernel del sistema u otros módulos kernel de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles o inhabilite la supervisión de archivos en la configuración de políticas del conector para borrar este error. La falla también puede ser causada cuando se ejecuta una versión del kernel que no es soportada por el conector. En este caso, se puede borrar construyendo un módulo de kernel amfsm personalizado para el núcleo del sistema en ejecución actual. (Aplicable a las versiones 1.16.0 y posteriores del conector Linux). Para obtener más información sobre cómo construir módulos kernel personalizados, consulte: Creación de módulos de núcleo de conector Linux de terminales seguros de Cisco |
11
|
Falta el paquete de desarrollo de kernel necesario |
Para las distribuciones basadas en Red Hat, falta el paquete de desarrollo de kernel necesario para el monitoreo de actividad de red y sistema de archivos en tiempo real y la política del conector tiene habilitada la opción "Monitorear copias y movimientos de archivos" o "Habilitar correlación de flujo de dispositivos". Este error se produce cuando el conector de punto final seguro no puede compilar y cargar el módulo eBPF subyacente necesario para el monitoreo de actividad del sistema de archivos. Instale el paquete kernel-devel para el núcleo que se está ejecutando actualmente y reinicie el conector, o inhabilite estas funciones en la política para borrar este error. (Aplicable sólo a las versiones 1.13.0 y posteriores del conector de Linux.) Para Oracle Linux UEK 6 y versiones posteriores, se requiere el paquete kernel-uek-devel para estas funciones. Instale el paquete kernel-uek-devel para el núcleo que se ejecuta actualmente y reinicie el conector, o inhabilite estas funciones en la política para borrar este error. (Aplicable sólo a las versiones 1.18.0 y posteriores del conector de Linux.)
Para las distribuciones basadas en Debian, el paquete linux-header es necesario para estas funciones. Instale el paquete linux-header para el núcleo que se ejecuta actualmente y reinicie el conector, o inhabilite estas funciones en la política para borrar este error. (Aplicable a las versiones 1.15.0 y posteriores del conector Linux).
Para obtener más información, consulte: Falla de Linux Kernel-Devel |
16
|
kernel incompatible
|
El núcleo que se ejecuta actualmente no es compatible con el conector que se está ejecutando actualmente y la política del conector tiene habilitada la opción "Monitor File Copies and Moves" o la opción "Enable Device Flow Correlation" (Habilitar la correlación de flujo de dispositivos). Reduzca el kernel a una versión soportada o actualice el conector a una versión más reciente que soporte este kernel. Para obtener más información sobre las versiones compatibles del núcleo, consulte: Compatibilidad del SO con conector Linux de Cisco Secure Endpoint |
Comentarios