Problemen oplossen met Fout-ID 11 op SUSE Linux Secure Endpoint

Downloadopties

  • PDF     (446.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (264.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (215.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 februari 2023
Document-id:220185

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het proces om Fault ID 11 van Secure Endpoint de SUSE Linux Enterprise 15 SP2 .

    Vereisten

    De opdrachtregelinterface (CLIopdrachtregelinterface) is beschikbaar voor alle gebruikers van een systeem, hoewel de beschikbaarheid van sommige opdrachten afhangt van de beleidsconfiguratie en/of rootrechten. De commando's die hiervan afhankelijk zijn, worden in dit artikel bekendgemaakt.

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Linux Command Line

    • Secure Endpoint

    Gebruikte componenten

    De informatie die in het document wordt gebruikt, is gebaseerd op deze softwareversies:

    • Secure Endpoint  1.20

    • SUSE Linux Enterprise 15 SP2  Kernelversie 5.3.18-24.96-default

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Op SUSE Linux Enterprise 15 Service Pack (SP) 2, met kernelversies groter dan of gelijk aan 5.3.18, gebruikt de connector eBPF modules voor realtime bestandssysteem- en netwerkbewaking. De eBPF modules vervangen de Linux-Kernelmodules die worden gebruikt wanneer deze op RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 en eerder wordt uitgevoerd, en de Amazon Linux 2 kernel 4.14 of eerder.  Voor Ubuntu 10 .04 en later, evenals voor Debian 10 en later, eBPF zijn de modules native.

    eBPF Voor een goede compatibiliteit compileert de connector automatisch de modules die door de connector worden gebruikt voordat deze wordt geladen en op het systeem wordt uitgevoerd. Deze compilatie vereist dat kernelontwikkelingshoofdbestanden die overeenkomen met de huidige kernel-devel worden geïnstalleerd. Wanneer realtime filesystem - en netwerkbewaking is ingeschakeld, stelt de connector de modules samen telkens wanneer de eBPF connector wordt gestart, of in realtime wanneer deze functies zijn ingeschakeld, als onderdeel van een beleidsupdate.

    Wanneer het systeem het huidige kernel-ontwikkelpakket mist, verhoogt de connector Fout-ID 11: Realtime netwerk- en bestandsbewaking is niet beschikbaar. Installeer het pakket voor de kernel-ontwikkeling voor de momenteel actieve kernel en start de Connector opnieuw op. Het probleem met deze fout is dat de Linux-connector in een gedegradeerde staat wordt uitgevoerd, wat betekent dat deze niet werkt zoals verwacht totdat de fout is opgelost.

    Problemen oplossen

    Als fout 11 wordt weergegeven, wordt dit foutenlogboek weergegeven: 

    • Zoek naar logboeklijnen in het systeemlogboek /var/log/messages die vergelijkbaar zijn met deze: 
    init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

    In het logboek staat dat de huidige versie van de kernel op de computer geen kernel-modules gebruikt voor filesystem - en netwerkbewaking. Bij kernelversies groter dan of gelijk aan 4.18 worden het filesystem netwerk en de verbinding bewaakt met behulp van eBPF modules.

    Hoe te identificeren afwezige kernel-headers

    Wanneer de connector op een computer zonder kernelheaders wordt uitgevoerd, Fault ID 11 (Realtime network and file monitoring is unavailable), werkt de connector in een gedegenereerde staat zonder filesystem netwerkbewaking.
    Deze stappen kunnen worden uitgevoerd vanuit een terminalvenster om te bepalen of de connector aanwezig kernel-header is of niet.

    Stap 1. Controleer vanaf het betreffende apparaat of de connector Fault ID 11 :

    # /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

    Zoek vanuit de Secure Endpoint-console het betreffende apparaat en vouw de details uit om de sectie Fout te verifiëren.

    Secure Endpoint Console - Find Affected Device and Expand the Details to Verify the Fault Section

    Stap 2. Controleer de huidige kernel met deze opdracht:

    $ uname -r
5.3.18-150200.24.115-default

    Stap 3. Om te controleren of de kernal headers zijn geïnstalleerd of niet:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")


    De output moet als volgt zijn:

    Check SUSE Kernel

    Waar de i + betekent dat het pakket is geïnstalleerd. Als de linkerkolom leeg isvof leeg is, moet het pakket worden geïnstalleerd.

    De SUSE computer is geschikt voor de installatie van kernelheaders als al deze waar zijn:

    • De connector heeft Fout-ID 11.
    • De minimale kernel versie is 5.3.18.
    • De kernel headers zijn niet geïnstalleerd.

    resolutie

    Als het SUSE systeem niet over de vereiste kernelheaders beschikt, kan deze procedure worden gebruikt om de vereiste kernelheaders op het systeem te installeren.

    Stap 1. Installeer de benodigde kernelheaders:

    # sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

    Stap 2. Start de connector opnieuw op:

    # sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

    Stap 3. Bevestig dat de fout is verholpen:

    # /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

    Verifiëren

    Voer de volgende opdrachten uit om te controleren of de kernelheaders nu zijn geïnstalleerd:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

    Voordat u de workaround uitvoerde, had u een uitvoer die vergelijkbaar was met deze:

    Check Headers

    Nadat u de workaround hebt uitgevoerd, moet de uitvoer vergelijkbaar zijn met deze:

    Headers Installed

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    01-Feb-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Isaac Cardenas
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten