Introdução
Este documento descreve as falhas que o conector Linux levanta/limpa para notificar quando condições que afetam o funcionamento adequado são detectadas/resolvidas.
Falhas do conector Linux de endpoint seguro
Falha 5: Usuário do serviço de varredura indisponível
Condição
O conector falhou ao criar o usuário cisco-amp-scan-svc para executar o processo de varredura de arquivos. Como solução alternativa, o conector recuou para usar o usuário raiz para executar verificações de arquivos. Isso se desvia do projeto planejado e deve ser corrigido.
Resolução
- Se o usuário ou grupo cisco-amp-scan-svc tiver sido excluído ou tiver suas configurações modificadas, reinstale o conector para recriar o usuário e o grupo com as configurações necessárias. Consulte /var/log/cisco/ampdaemon.log para obter detalhes.
- Se a criação de usuário/grupo for restrita por meio das configurações em /etc/login.defs, esse arquivo deverá ser temporariamente alterado enquanto o instalador do conector Linux estiver em execução para permitir que o usuário e o grupo cisco-amp-scan-svc sejam criados. Para fazer isso, altere
USERGROUPS_ENAB
em /etc/login.defs de não para sim.
- Se outro programa modificou uma das permissões de diretório do conector (por exemplo, /opt/cisco ou um diretório filho), defina as permissões de diretório novamente como padrão (ou seja, 0755). Certifique-se de que nenhum programa futuro modifique o diretório /opt/cisco ou qualquer um de seus diretórios filho e, em seguida, reinicie o serviço de conector.
Falha 6: Serviço de Verificação Reiniciando com Frequência
Condição
O processo de verificação de arquivo do conector encontrou falhas repetidas e o conector foi reiniciado em uma tentativa de limpar a falha. O conector continuará a varredura na base do melhor esforço.
Resolução
Um ou mais arquivos no sistema podem estar causando a falha do algoritmo de verificação quando verificado. Se essa falha não for apagada automaticamente dentro de 10 minutos após o conector ser reiniciado, uma investigação adicional será necessária. A capacidade do conector de executar varreduras será degradada até que o problema seja resolvido.
Consulte /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log para obter detalhes.
Falha 7: Falha Ao Iniciar O Serviço De Verificação
Condição
Falha ao iniciar o processo de verificação de arquivo do conector, e o conector foi reiniciado em uma tentativa de eliminar a falha. A verificação de arquivo está desabilitada enquanto essa falha é gerada.
Resolução
Essa falha poderá ser disparada se for encontrado um erro ao carregar arquivos de definição de vírus (.cvd) recém-instalados. O conector executa várias verificações de integridade e estabilidade antes de ativar os novos arquivos .cvd para evitar essa falha. Ao reiniciar, o conector remove todos os arquivos .cvd inválidos para que o conector possa continuar.
- Se essa falha não for eliminada após o reinício do conector, será necessária uma intervenção adicional do usuário. Se essa falha se repetir a cada atualização do .cvd, um arquivo .cvd inválido não será detectado corretamente pelas verificações de integridade do arquivo .cvd do conector.
- Se a máquina estiver com pouca memória disponível, talvez o serviço do scanner não possa ser iniciado. Consulte os Requisitos do sistema Linux no Guia do usuário de endpoints seguros Guia do usuário de endpoints seguros.
Consulte os sites /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log para obter detalhes.
Falha 8: Falha Ao Iniciar O Monitor Do Sistema De Arquivos Em Tempo Real
Condição
O conector não pode carregar o módulo de kernel subjacente necessário para o monitoramento da atividade do sistema de arquivos quando a política de conector está com a opção "Monitorar Cópias e Movimentações de Arquivos" habilitada. O monitoramento do sistema de arquivos não está disponível enquanto esta falha é gerada.
Resolução
- Desative a Inicialização segura da UEFI no sistema.
- Se a Inicialização Segura estiver desativada, pode haver uma incompatibilidade entre o módulo do kernel
ampfsm
fornecido com o conector e o kernel do sistema ou outros módulos do kernel de terceiros instalados no sistema. Revise /var/log/messages para obter detalhes.
- Se o conector estiver sendo executado em uma versão de kernel sem suporte, instale uma versão de kernel com suporte ou crie um módulo de
kernel ampfsm
personalizado para o kernel do sistema em execução no momento. Consulte Building Cisco Secure Endpoint Linux Connector Kernel Modules para obter mais informações.
Falha 9: Falha Ao Iniciar O Monitor De Rede Em Tempo Real
Condição
O conector não pode carregar o módulo de kernel subjacente necessário para o monitoramento de atividade de rede quando a política de conector está com a opção "Habilitar Correlação de Fluxo de Dispositivo" habilitada. O monitoramento de rede não está disponível enquanto essa falha é gerada.
Resolução
- Desative a Inicialização segura da UEFI no sistema.
- Se a Inicialização Segura estiver desabilitada, pode haver uma incompatibilidade entre o módulo do kernel
ampnetworkflow
fornecido com o conector e o kernel do sistema ou outros módulos do kernel de terceiros instalados no sistema. Revise /var/log/messages para obter detalhes.
- Se o conector estiver sendo executado em uma versão de kernel sem suporte, instale uma versão de kernel com suporte ou crie um módulo de kernel
ampnetworkflow
personalizado para o kernel do sistema em execução no momento. Consulte Building Cisco Secure Endpoint Linux Connector Kernel Modules para obter mais informações.
Falha 1: O Pacote Kernel-Devel Necessário Está Ausente
Condição
O conector requer que uma das seguintes opções seja válida:
- O kernel atual tem
CONFIG_DEBUG_INFO_BTF
habilitado ou
- O pacote de cabeçalho de kernel correto é instalado para monitorar o sistema de arquivos e os eventos da rede.
Se nenhuma dessas condições for atendida, essa falha será gerada e o conector monitorará os eventos do sistema de arquivos e da rede no modo degradado.
Resolução
- Atualize o kernel e reinicie o conector. Esta é a solução preferida.
- Se a falha persistir, instale o pacote de cabeçalho de kernel ausente:
- Para distribuições baseadas em RPM, instale o pacote
kernel-devel
.
- Para distribuições Oracle Linux UEK, instale o pacote
kernel-uek-devel
.
- Para distribuições baseadas em Debian, instale o pacote
linux-headers
.
- Para distribuições SUSE, instale o pacote
kernel-default-devel
.
Consulte Troubleshooting de Falha 11 do Conector Secure Endpoint Linux para obter mais detalhes.
Falha 16: Kernel incompatível
Condição
O conector não é compatível com o conector atualmente em execução e a política de conector tem "Monitorar cópias e movimentações de arquivos" ou "Habilitar correlação de fluxo de dispositivo" habilitado.
Resolução
Faça o downgrade do kernel para uma versão compatível ou atualize o conector para uma versão mais recente que ofereça suporte a esse kernel.
Consulte os Requisitos do Sistema Linux para obter mais detalhes sobre as versões de kernel suportadas.
Falha 18: O Monitoramento De Eventos Do Conector Está Sobrecarregado
Condição
O conector está sob carga pesada devido a um número excessivo de eventos do sistema. A proteção do sistema é limitada e o conector monitorará um conjunto menor de eventos críticos do sistema até que a atividade geral do sistema seja reduzida.
Resolução
Essa falha pode ser uma indicação de atividade mal-intencionada do sistema ou de aplicativos muito ativos no sistema.
- Se um aplicativo ativo for benigno e confiável para o usuário, ele poderá ser adicionado a um conjunto de exclusão de processo para reduzir a carga de monitoramento no conector. Essa ação pode ser suficiente para eliminar a falha.
- Se nenhum processo benigno causar carga pesada, será necessário investigar se o aumento da atividade é devido a um processo mal-intencionado.
- Se o conector estiver sob períodos curtos de carga pesada, é possível que essa falha possa se eliminar por si só.
- Se essa falha é gerada com frequência, não há processos benignos que causam carga pesada e nenhum processo mal-intencionado foi descoberto, então o sistema precisa ser reprovisionado para lidar com cargas mais pesadas.
Consulte Troubleshooting de Falha 18 do Conector Mac/Linux de Ponto Final Seguro para obter mais detalhes.
Falha 19: Política SELinux Ausente ou Desabilitada
Condição
A Política do Secure Enterprise Linux (SELinux) no sistema está impedindo que o conector monitore a atividade do sistema.
Se o SELinux estiver ativado e no modo de imposição, o conector precisará desta regra na Política do SELinux:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Em sistemas Enterprise Linux, esta regra não está presente na Política padrão do SELinux. Durante uma instalação ou atualização, o conector tenta adicionar essa regra através da instalação de um módulo de política SELinux chamado cisco-secure-bpf
. Se cisco-secure-bpf
falhar ao instalar e carregar, ou for desabilitado, a falha será gerada.
Resolução
Para resolver a falha, certifique-se de que o pacote do sistema policycoreutils-python
esteja instalado. Em seguida:
- Reinstale ou atualize o conector para disparar a instalação do
cisco-secure-bpf
ou
- Adicione manualmente a regra à política do SELinux existente e reinicie o conector.
Para obter instruções mais detalhadas sobre como modificar a política do SELinux para resolver esta falha, consulte Falha na política do SELinux.