Identificação e solução de problemas de falha 11 no ponto de extremidade seguro do SUSE Linux

Opções de download

  • PDF     (447.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (268.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (221.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de fevereiro de 2023
ID do documento:220185

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o processo para resolver Fault ID 11 de Secure Endpoint em SUSE Linux Enterprise 15 SP2 .

    Requisitos

    A interface de linha de comando (CLI) está disponível para todos os usuários de um sistema, embora a disponibilidade de alguns comandos dependa da configuração da política e/ou das permissões de raiz. Os comandos que dependem disso são divulgados em todo este artigo.

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Linux Command Line

    • Secure Endpoint

    Componentes Utilizados

    As informações usadas no documento são baseadas nestas versões de software:

    • Secure Endpoint  1.20

    • SUSE Linux Enterprise 15 SP2  kernel versão 5.3.18-24.96-default

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Em SUSE Linux Enterprise 15 Service Pack (SP) 2 , com versões do kernel maiores ou iguais a 5.3.18, o conector usa eBPF módulos para o sistema de arquivos em tempo real e monitoramento de rede. Os eBPF módulos substituem os Módulos Linux Kernel usados quando executados em RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5 e anteriores, e o Amazon Linux 2 kernel 4.14 ou anterior.  Para Ubuntu 18.04 e posterior, assim como Debian 10 e posterior, eBPF os módulos são nativos.

    Para compatibilidade adequada, o conector compila automaticamente os eBPF módulos usados pelo conector antes de carregá-los e executá-los no sistema. Esta compilação requer que os arquivos de cabeçalho de desenvolvimento de kernel que correspondem ao kernel-devel atual sejam instalados. Quando o monitoramento de rede e em tempo real filesystem está habilitado, o conector compila os eBPF módulos sempre que o conector é iniciado ou em tempo real quando esses recursos estão habilitados, como parte de uma atualização de política.

    Quando o sistema perde o pacote kernel-devel atual, o conector levanta o ID de falha 11: A rede em tempo real e o monitoramento de arquivos não estão disponíveis. Instale o pacote kernel-devel para o kernel atualmente em execução e reinicie o Conector. O problema com essa falha é que o conector Linux é executado em um estado degradado, o que significa que ele não funciona como esperado até que a falha seja resolvida.

    Troubleshooting

    Se a falha 11 for gerada, este log de erros será exibido: 

    • Procure linhas de registro no registro do sistema /var/log/messages que sejam semelhantes a: 
    init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

    O log afirma que a versão atual do kernel no computador não usa módulos do kernel para o monitoramento de rede filesystem e do . Nas versões do kernel maiores ou iguais a 4.18, o filesystem e a rede são monitorados com o uso de eBPF módulos.

    Como identificar cabeçalhos de kernel ausentes

    Quando o conector é executado em um computador sem cabeçalhos do kernel, Fault ID 11 (Realtime network and file monitoring is unavailable), o conector é executado em um estado degradado sem monitoramento de rede filesystem ou do .
    Essas etapas podem ser executadas em uma janela de terminal para identificar se o conector kernel-header está presente ou não.

    Etapa 1. No dispositivo afetado, verifique se o conector tem Fault ID 11 :

    # /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

    No console do Secure Endpoint, localize o dispositivo afetado e expanda os detalhes para verificar a seção Fault.

    Secure Endpoint Console - Find Affected Device and Expand the Details to Verify the Fault Section

    Etapa 2. Verifique o kernel atual com este comando:

    $ uname -r
5.3.18-150200.24.115-default

    Etapa 3. Para verificar se os cabeçalhos do kernal estão instalados ou não:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")


    A saída deve ser assim:

    Check SUSE Kernel

    Onde i+ significa que o pacote está instalado. Se a coluna à esquerda estivervou em branco, o pacote deverá ser instalado.

    O SUSE computador é adequado para a instalação de cabeçalhos do kernel se todos estes forem verdadeiros:

    • O conector tem o ID de falha 11.
    • A versão mínima kernel é 5.3.18.
    • Os kernel cabeçalhos não estão instalados.

    Resolução

    Se a máquina não tiver os cabeçalhos do kernel necessários, SUSE esse procedimento pode ser usado para instalar os cabeçalhos do kernel necessários na máquina.

    Etapa 1. Instalar os cabeçalhos do kernel necessários:

    # sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

    Etapa 2. Reiniciar o conector:

    # sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

    Etapa 3. Confirme se a falha foi eliminada:

    # /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

    Verificar

    Para verificar se os cabeçalhos do kernel estão instalados agora, execute estes comandos:

    # zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

    Antes de executar a solução, você tinha uma saída semelhante a esta:

    Check Headers

    Depois de executar a solução, a saída deve ser semelhante a esta:

    Headers Installed

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    01-Feb-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Isaac Cardenas
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos