SUSE Linux Secure Endpointの障害ID 11のトラブルシューティング
はじめに
このドキュメントでは、Fault ID11/Secure Endpoint on SUSE Linux Enterprise15 SP2(IDS/IPS)を解決するプロセスについて説明します。
要件
コマンドラインインターフェイス(CLI)(CLI)は、システムのすべてのユーザが使用できます。ただし、一部のコマンドの可用性は、ポリシー設定やルート権限によって異なります。これに依存するコマンドは、この記事の全体を通して開示されています。
次の項目に関する知識が推奨されます。
-
Linux Command Line -
Secure Endpoint
使用するコンポーネント
このドキュメントで使用する情報は、次のソフトウェアのバージョンに基づいています。
-
Secure Endpoint1.20 -
SUSE Linux Enterprise 15 SP2カーネルバージョン5.3.18-24.96-default
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
カーネルのバージョンが5.3.18以降のSUSE Linux Enterprise 15 Service Pack (SP) 2(VXWORKS)では、connectorはリアルタイムファイルシステムおよびネットワークモニタリング用にeBPFモジュールを使用します。このモジeBPF ュールは、RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5以前およびAmazon Linux 2 kernel 4.14以前で実行されている場合に使用されるLinuxKernelモジュールに代わるものです。 Ubuntu 18.04以降およびDebian10以降では、eBPFモジュールはネイティブです。
互換性を確保するために、コネクタは、コネクタで使用されるeBPFモジュールをロードしてシステムで実行する前に、自動的にコンパイルします。このコンパイルには、現在のkernel-develに対応するカーネル開発ヘッダーファイルがインストールされている必要があります。 リアルタイムのfilesystemおよびネットワークモニタリングを有効にすると、コネクタでは、コネクタが起動するたびにeBPFモジュールがコンパイルされます。また、これらの機能が有効にされると、ポリシー更新の一部としてリアルタイムでコンパイルされます。
システムが現在のカーネルデバイスパッケージを失うと、コネクタはFault ID 11: Realtime network and file monitoring is unavailableを表示します。現在実行中のカーネルのカーネル開発パッケージをインストールし、コネクタを再起動します。この障害の問題は、Linuxコネクタが縮退状態で動作していることです。つまり、障害が解決されるまで想定どおりに動作しません。
トラブルシュート
障害11が発生した場合、次のエラーログが表示されます。
- システムログの
/var/log/messagesで、次に似たログ行を探します。
init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modulesログには、コンピュータの現在のカーネルバージョンがfilesystemおよびネットワーク監視にカーネルモジュールを使用していないことが示されています。カーネルバージョン4.18以降では、filesystemおよびネットワークはeBPFモジュールを使用して監視されます。
存在しないカーネルヘッダを識別する方法
コネクタがカーネルヘッダーのないコンピュータで動作している場合、Fault ID 11(Realtime network and file monitoring is unavailable)は、filesystemやネットワークモニタリングを実行しなくても、コネクタは機能縮退ステートで動作します。
次の手順は、ターミナルウィンドウから実行して、コネクタkernel-headerが存在するかどうかを判別できます。
ステップ 1:影響を受けるデバイスで、コネクタにFault ID 11(TCPまたはUDP)が設定されていることを確認します。
# /opt/cisco/amp/bin/ampcli
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.Secure Endpointコンソールから、影響を受けるデバイスを見つけ、詳細を展開して障害セクションを確認します。
ステップ 2:次のコマンドを使用して、現在のカーネルを確認します。
$ uname -r
5.3.18-150200.24.115-defaultステップ 3:カーネルヘッダーがインストールされているかどうかを確認するには、次のようにします。
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")
出力は次のようになります。
i+は、パッケージがインストールされていることを示します。左側の列がvまたは空白の場合、パッケージをインストールする必要があります。
SUSEのコンピュータは、カーネルヘッダーのインストールに適しています(次の条件にすべて当てはまる場合)。
- コネクタの障害IDは11です。
kernelの最小バージョンは5.3.18です。kernelヘッダーがインストールされていない。
解決方法
SUSEマシンに必要なカーネルヘッダーがない場合は、この手順を使用して、必要なカーネルヘッダーをマシンにインストールできます。
ステップ 1:必要なカーネルヘッダーをインストールします。
# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')
# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') ステップ 2:コネクタを再起動します。
# sudo systemctl stop cisco-amp
# sudo systemctl start cisco-amp ステップ 3:障害がクリアされたことを確認します。
# /opt/cisco/amp/bin/ampcli
# status
Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 確認
カーネルヘッダーが現在インストールされているかどうかを確認するには、次のコマンドを実行します。
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 回避策を実行する前に、次のような出力が表示されました。
回避策を実行した後の出力は次のようになります。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
01-Feb-2023
|
初版 |
フィードバック