Secure Endpoint Linuxコネクタの障害のトラブルシューティング

はじめに

このドキュメントでは、適切な機能に影響を与える状態が検出または解決されたときに、Linuxコネクタが通知するために発生またはクリアする障害について説明します。

セキュアエンドポイントLinuxコネクタの障害

障害5：スキャンサービスのユーザーが利用できません

条件

コネクタがファイルスキャンプロセスを実行するためのcisco-amp-scan-svcユーザの作成に失敗しました。回避策として、コネクタがフォールバックし、rootユーザを使用してファイルスキャンが実行されます。これは意図した設計と異なるため、修正する必要があります。

解決方法

1. cisco-amp-scan-svcユーザまたはグループが削除されているか、設定が変更されている場合は、コネクタを再インストールして、必要な設定でユーザとグループを再作成します。詳細は/var/log/cisco/ampdaemon.logを参照してください。
2. /etc/login.defsでの設定によってユーザまたはグループの作成が制限されている場合、cisco-amp-scan-svcユーザおよびグループの作成を許可するには、Linuxコネクタインストーラの実行中にこのファイルを一時的に変更する必要があります。これを行うには、/etc/login.defsのUSERGROUPS_ENABをnoからyesに変更します。
3. コネクタのディレクトリ権限の1つを別のプログラムが変更した場合(/opt/ciscoや子ディレクトリなど)、ディレクトリ権限をデフォルト（0755など）に戻します。 今後/opt/ciscoディレクトリまたはその子ディレクトリを変更するプログラムがないことを確認してから、コネクタサービスを再起動してください。

障害6：スキャンサービスが頻繁に再起動する

条件

コネクタファイルのスキャンプロセスでエラーが繰り返し発生し、エラーをクリアするためにコネクタが再起動されました。コネクタはベストエフォート方式でスキャンを続行します。

解決方法

システム上の1つ以上のファイルが原因で、スキャン時にスキャンアルゴリズムがクラッシュしている可能性があります。コネクタの再起動後10分以内にこの障害が自動的にクリアされない場合は、さらに調査が必要です。コネクタのスキャン機能は、問題が解決されるまで低下します。

詳細は、/var/log/cisco/ampdaemon.logおよび/var/log/cisco/ampscansvc.logを参照してください。

エラー7：スキャンサービスを開始できませんでした

条件

コネクタファイルのスキャンプロセスの開始に失敗し、エラーをクリアするためにコネクタが再起動されました。このエラーが発生している間、ファイルのスキャンは無効になります。

解決方法

この障害は、新しくインストールされたウイルス定義ファイル(.cvdファイル)のロード時にエラーが発生した場合にトリガーされる可能性があります。 コネクタは、新しい.cvdファイルをアクティブにする前に、整合性と安定性に関するさまざまなチェックを実行して、この障害を防止します。再起動時に、コネクタは無効な.cvdファイルをすべて削除し、コネクタが再開できるようにします。

1. コネクタの再起動後にこの障害がクリアされない場合は、さらにユーザの介入が必要です。この障害が各.cvdアップデートで繰り返される場合、無効な.cvdファイルがコネクタの.cvdファイル整合性チェックによって適切に検出されていません。
2. コンピューターの使用可能なメモリが不足している場合は、スキャナーサービスを開始できない可能性があります。『Secure Endpoint User Guide Secure Endpoint User Guide』の「Linux System Requirements」を参照してください。

詳細については、/var/log/cisco/ampdaemon.logおよび/var/log/cisco/ampscansvc.logを参照してください。

障害8：リアルタイムファイルシステムモニタの起動に失敗した

条件

コネクタのポリシーで[Monitor File Copies and Moves]が有効になっている場合、コネクタはファイルシステムアクティビティの監視に必要な基盤となるカーネルモジュールをロードできません。このエラーが発生している間、ファイルシステムの監視は行えません。

解決方法

1. システムのUEFIセキュアブートを無効にします。
2. セキュアブートが無効になっている場合は、コネクタに付属のampfsmカーネルモジュールと、システムにインストールされているシステムカーネルまたはその他のサードパーティ製カーネルモジュールとの間に互換性がない可能性があります。詳細については、/var/log/messagesを確認してください。
3. コネクタがサポートされていないカーネルバージョンで動作している場合は、サポートされているカーネルバージョンをインストールするか、現在動作しているシステムカーネル用のカスタムampfsmカーネルモジュールを構築します。詳細については、「Cisco Secure Endpoint Linuxコネクタカーネルモジュールの構築」を参照してください。

エラー9：リアルタイムネットワークモニタを開始できませんでした

条件

コネクタポリシーで[デバイスフローの関連付けを有効にする]が有効になっている場合、コネクタはネットワークアクティビティの監視に必要な基になるカーネルモジュールを読み込めません。このエラーが発生している間は、ネットワークの監視は行えません。

解決方法

1. システムのUEFIセキュアブートを無効にします。
2. セキュアブートが無効になっている場合、コネクタに付属のampnetworkflowカーネルモジュールと、システムにインストールされているシステムカーネルまたはその他のサードパーティ製カーネルモジュールとの間に互換性がない可能性があります。詳細については、/var/log/messagesを確認してください。
3. コネクタがサポートされていないカーネルバージョンで実行されている場合は、サポートされているカーネルバージョンをインストールするか、現在実行中のシステムカーネル用のカスタムampnetworkflowカーネルモジュールを構築します。詳細については、「Cisco Secure Endpoint Linuxコネクタカーネルモジュールの構築」を参照してください。

エラー11：必要なカーネルデバイスパッケージが見つかりません

条件

コネクタには、次のいずれかが有効であることが必要です。

1. 現在のカーネルでCONFIG_DEBUG_INFO_BTFが有効になっている場合。
2. ファイルシステムとネットワークのイベントを監視するために、正しいカーネルヘッダパッケージがインストールされています。

これらの条件がどちらも満たされない場合、このエラーが発生し、コネクタは縮退モードでファイルシステムおよびネットワークイベントを監視します。

解決方法

1. カーネルをアップグレードし、コネクタを再起動します。これは推奨されるソリューションです。
2. このエラーが続く場合は、不足しているカーネルヘッダパッケージをインストールします。
   1. RPMベースのディストリビューションの場合は、kernel-develパッケージをインストールします。
   2. Oracle Linux UEKディストリビューションの場合は、kernel-uek-develパッケージをインストールします。
   3. Debianベースのディストリビューションの場合は、linux-headersパッケージをインストールします。
   4. SUSEディストリビューションの場合は、kernel-default-develパッケージをインストールします。

詳細については、「Secure Endpoint Linux Connector Fault 11のトラブルシューティング」を参照してください。

障害16：互換性のないカーネル

条件

コネクタは現在実行中のコネクタと互換性がなく、コネクタポリシーで[ファイルのコピーと移動を監視]または[デバイスフローの関連付けを有効にする]が有効になっています。

解決方法

カーネルをサポートされているバージョンにダウングレードするか、このカーネルをサポートする新しいバージョンにコネクタをアップグレードします。

サポートされているカーネルのバージョンの詳細については、『Linux System Requirements』を参照してください。

障害18：コネクタイベント監視が過負荷になっています

条件

システムイベントの数が非常に多いため、コネクタに大きな負荷がかかっています。システム保護は制限され、コネクタはシステム全体のアクティビティが低下するまで、より小さなシステムクリティカルイベントのセットを監視します。

解決方法

このエラーは、悪意のあるシステムアクティビティまたはシステム上の非常にアクティブなアプリケーションを示している可能性があります。

1. アクティブなアプリケーションが良性で、ユーザーによって信頼されている場合、そのアプリケーションをプロセス除外セットに追加して、コネクタの監視負荷を軽減できます。このアクションは、障害をクリアするのに十分な場合があります。
2. 良性のプロセスが大きな負荷を引き起こさない場合は、アクティビティの増加が悪意のあるプロセスによるものかどうかを判断するために、何らかの調査が必要になります。
3. コネクタに短時間の高負荷がかかっている場合は、この障害が自然に解消される可能性があります。
4. このエラーが頻繁に発生し、高負荷を引き起こす良性プロセスがなく、悪意のあるプロセスが検出されなかった場合は、高負荷を処理するためにシステムを再プロビジョニングする必要があります。

詳細については、「Secure Endpoint Mac/Linux Connector Fault 18のトラブルシューティング」を参照してください。

障害19: SELinuxポリシーが見つからないか無効になっている

条件

システムのSecure Enterprise Linux (SELinux)ポリシーにより、コネクタがシステムアクティビティを監視できません。

SELinuxが有効でenforcingモードの場合、コネクタはSELinuxポリシーで次の規則を要求します。

allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

Enterprise Linuxベースのシステムでは、このルールはデフォルトのSELinuxポリシーには存在しません。インストールまたはアップグレードの際、コネクタはcisco-secure-bpfという名前のSELinux Policy Module(SEL-PEM)のインストールを介してこのルールの追加を試行します。cisco-secure-bpfのインストールとロードが失敗した場合、またはbpfが無効になっている場合は、このエラーが発生します。

解決方法

このエラーを解決するには、policycoreutils-pythonシステムパッケージがインストールされていることを確認します。その後、次のいずれかを実行します。

1. コネクタを再インストールまたはアップグレードして、cisco-secure-bpfのインストールをトリガーする
2. 既存のSELinuxポリシーに手動でルールを追加し、コネクタを再起動します。

SELinuxポリシーを変更してこの障害を解決する方法の詳細については、「SELinux Policy Fault」を参照してください。