Inleiding
Dit document beschrijft fouten die de Linux-connector verhoogt/verwijdert om te melden wanneer omstandigheden die van invloed zijn op de juiste werking worden gedetecteerd/opgelost.
Fouten bij beveiligde Linux-eindpuntconnector
Fout 5: Gebruiker van scanservice niet beschikbaar
Voorwaarde
De connector heeft de cisco-amp-scan-svc-gebruiker niet gemaakt om het bestandsscanproces uit te voeren. Als tijdelijke oplossing is de connector teruggevallen om de rootgebruiker te gebruiken voor het uitvoeren van bestandsscans. Dit wijkt af van het beoogde ontwerp en moet worden gecorrigeerd.
resolutie
- Als de cisco-amp-scan-svc-gebruiker of -groep is verwijderd of als de configuraties zijn gewijzigd, installeert u de connector opnieuw om de gebruiker en de groep opnieuw te maken met de benodigde configuraties. Zie /var/log/cisco/ampdaemon.log voor meer informatie.
- Als het maken van gebruikers/groepen wordt beperkt via instellingen in /etc/login.defs, moet dit bestand tijdelijk worden gewijzigd terwijl het installatieprogramma van de Linux-connector wordt uitgevoerd, zodat de cisco-amp-scan-svc-gebruiker en -groep kunnen worden gemaakt. Wijzig hiervoor
USERGROUPS_ENAB in /etc/login.defs van nee naar ja.
- Als een ander programma een van de directorymachtigingen van de connector heeft gewijzigd (bijvoorbeeld /opt/cisco of een onderliggende directory), stelt u de directorymachtigingen weer in op standaard (bijvoorbeeld 0755). Zorg ervoor dat er geen toekomstige programma's de /opt/cisco-directory of een van de onderliggende directory's wijzigen en start vervolgens de connectorservice opnieuw op.
Fout 6: Scanservice wordt regelmatig opnieuw gestart
Voorwaarde
Bij het scanproces van het connectorbestand zijn herhaaldelijk fouten opgetreden en de connector is opnieuw opgestart in een poging de fout te verwijderen. De connector zal blijven scannen op een best-effort basis.
resolutie
Een of meer bestanden op het systeem kunnen ervoor zorgen dat het scanalgoritme crasht wanneer het wordt gescand. Als deze fout niet automatisch binnen 10 minuten na het opnieuw opstarten van de connector wordt opgelost, is verder onderzoek vereist. Het vermogen van de connector om scans uit te voeren wordt verminderd totdat het probleem is opgelost.
Zie /var/log/cisco/ampdaemon.log en /var/log/cisco/ampscansvc.log voor meer informatie.
Fout 7: Scanservice kan niet worden gestart
Voorwaarde
Het scanproces van het connectorbestand is niet gestart en de connector is opnieuw gestart in een poging de fout te verwijderen. Het scannen van bestanden is uitgeschakeld wanneer deze fout wordt gemaakt.
resolutie
Deze fout kan worden geactiveerd als er een fout optreedt bij het laden van een nieuw geïnstalleerde virusdefinitiebestanden (.cvd-bestanden). De connector voert een aantal integriteits- en stabiliteitscontroles uit voordat hij nieuwe .cvd-bestanden activeert om deze fout te voorkomen. Bij het opnieuw opstarten verwijdert de connector ongeldige .cvd-bestanden zodat de connector kan worden hervat.
- Als deze fout niet is verholpen nadat de connector opnieuw is opgestart, is verdere tussenkomst van de gebruiker vereist. Als deze fout zich bij elke .cvd-update herhaalt, wordt een ongeldig .cvd-bestand niet correct gedetecteerd door de .cvd-bestandsintegriteitscontroles van de connector.
- Als het beschikbare geheugen op de computer bijna leeg is, kan de scannerservice mogelijk niet worden gestart. Raadpleeg de Linux-systeemvereisten in de gebruikershandleiding Secure Endpoint User Guide.
Zie /var/log/cisco/ampdaemon.log en /var/log/cisco/ampscansvc.log voor meer informatie.
Fout 8: Realtime bestandssysteemmonitor kan niet worden gestart
Voorwaarde
De connector kan de onderliggende kernelmodule die nodig is voor de bewaking van de activiteit van het bestandssysteem niet laden wanneer in het connectorbeleid "Kopieën en verplaatsingen van bestanden controleren" is ingeschakeld. Bestandssysteembewaking is niet beschikbaar wanneer deze fout wordt gemaakt.
resolutie
- Schakel UEFI Secure Boot uit op het systeem.
- Als Secure Boot is uitgeschakeld, is er mogelijk een incompatibiliteit tussen de
ampfsm-kernelmodule die bij de connector is geleverd en de systeemkernel of andere kernelmodules van derden die op het systeem zijn geïnstalleerd. Review/var/log/berichten voor meer informatie.
- Als de connector draait op een niet-ondersteunde kernel-versie, installeer dan een ondersteunde kernel-versie of bouw een aangepaste
ampfsm-kernel-module voor de huidige actieve systeemkernel. Beoordeel Cisco Secure Endpoint Linux Connector Kernel Modules bouwen voor meer informatie.
Fout 9: Realtime netwerkmonitor kan niet worden gestart
Voorwaarde
De connector kan de onderliggende kernelmodule die vereist is voor het monitoren van netwerkactiviteiten niet laden wanneer het verbindingsbeleid "Apparaatstroomcorrelatie inschakelen" heeft ingeschakeld. De netwerkbewaking is niet beschikbaar wanneer deze fout wordt gemaakt.
resolutie
- Schakel UEFI Secure Boot uit op het systeem.
- Als Secure Boot is uitgeschakeld, is er mogelijk een incompatibiliteit tussen de kernelmodule van de
ampnetwork-workflow die bij de connector is geleverd en de systeemkernel of andere kernelmodules van derden die op het systeem zijn geïnstalleerd. Review/var/log/berichten voor meer informatie.
- Als de connector draait op een niet-ondersteunde kernel-versie, installeer dan een ondersteunde kernel-versie of bouw een aangepaste
ampnetwork kernel-module voor de huidige actieve systeemkernel. Beoordeel Cisco Secure Endpoint Linux Connector Kernel Modules bouwen voor meer informatie.
Fout 11: Vereist kernelontwikkelpakket ontbreekt
Voorwaarde
De connector vereist dat een van de volgende punten geldig is:
- De huidige kernel heeft
CONFIG_DEBUG_INFO_BTF ingeschakeld, of
- Het juiste kernelheader-pakket wordt geïnstalleerd om bestandssysteem- en netwerkgebeurtenissen te bewaken.
Als aan geen van deze voorwaarden wordt voldaan, wordt deze fout hersteld en wordt het bestandssysteem en de netwerkgebeurtenissen in de gedegradeerde modus bewaakt door de connector.
resolutie
- Upgrade uw kernel en start de connector opnieuw op. Dit is de voorkeursoplossing.
- Als de fout blijft bestaan, installeer dan het ontbrekende kernelheader-pakket:
- Voor RPM-gebaseerde distributies installeert u het
kernel-development pakket.
- Installeer voor Oracle Linux UEK-distributies het pakket
kernel-uek-devel.
- Voor Debian-gebaseerde distributies, installeer het
linux-headers pakket.
- Installeer voor SUSE-distributies het pakket
kernel-default-devel.
Raadpleeg Problemen oplossen met Secure Endpoint Linux Connector Fault 11 voor meer informatie.
Fout 16: Incompatibele kernel
Voorwaarde
De connector is niet compatibel met de huidige actieve connector en in het connectorbeleid is "Kopiëren en verplaatsen van bestanden controleren" of "Correlatie apparaatstroom inschakelen" ingeschakeld.
resolutie
Downgrade de kernel naar een ondersteunde versie of upgrade de connector naar een nieuwere versie die deze kernel ondersteunt.
Raadpleeg de Linux-systeemvereisten voor meer informatie over ondersteunde kernelversies.
Fout 18: Controle van gebeurtenissen in de connector is overbelast
Voorwaarde
De connector is zwaar belast vanwege een overweldigend aantal systeemgebeurtenissen. De systeembeveiliging is beperkt en de connector zal een kleinere reeks systeemkritische gebeurtenissen bewaken totdat de totale systeemactiviteit is verminderd.
resolutie
Deze fout kan een indicatie zijn van kwaadaardige systeemactiviteit of van zeer actieve toepassingen op het systeem.
- Als een actieve toepassing goedaardig is en vertrouwd door de gebruiker, kan deze worden toegevoegd aan een procesuitsluitingsset om de monitoringbelasting op de connector te verminderen. Deze actie kan voldoende zijn om de fout op te lossen.
- Als geen goedaardige processen zware belasting veroorzaken, is enig onderzoek nodig om te bepalen of de verhoogde activiteit te wijten is aan een kwaadaardig proces.
- Als de connector onder korte perioden van zware belasting staat, is het mogelijk dat deze fout zichzelf kan opruimen.
- Als deze fout vaak wordt gemeld, er geen goedaardige processen zijn die zware belasting veroorzaken en er geen schadelijke processen zijn ontdekt, moet het systeem opnieuw worden ingericht om zwaardere belastingen te verwerken.
Raadpleeg Problemen oplossen met Secure Endpoint Mac/Linux Connector Fault 18 voor meer informatie.
Fout 19: SELinux-beleid ontbreekt of is uitgeschakeld
Voorwaarde
Het Secure Enterprise Linux (SELinux) -beleid op het systeem voorkomt dat de connector de systeemactiviteit controleert.
Als SELinux is ingeschakeld en in de afdwingingsmodus staat, vereist de connector deze regel in het SELinux-beleid:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Op Enterprise Linux-gebaseerde systemen is deze regel niet aanwezig in het standaard SELinux-beleid. Tijdens een installatie of upgrade probeert de connector deze regel toe te voegen via de installatie van een SELinux Policy Module met de naam cisco-secure-bpf. Als cisco-secure-bpf niet kan worden geïnstalleerd en geladen of is uitgeschakeld, wordt de fout verhoogd.
resolutie
Om de fout op te lossen, moet u ervoor zorgen dat het policy coreutils-python systeempakket is geïnstalleerd. Vervolgens ofwel:
- De connector opnieuw installeren of upgraden om de installatie van
cisco-secure-bpf te starten, of
- Voeg de regel handmatig toe aan het bestaande SELinux-beleid en start de connector opnieuw op.
Voor meer gedetailleerde instructies over het wijzigen van het SELinux-beleid om deze fout op te lossen, zie SELinux-beleidsfout.
Feedback