诊断数据的集从AMP的终端Linux连接器的
简介
本文描述步骤生成从AMP的诊断文件终端Linux连接器的。如果遇到一个技术问题用Linux连接器, Cisco技术支持工程师也许要分析日志消息可用在诊断文件。
生成诊断文件
使用使用此命令,您能生成诊断文件直接地从Linux命令行界面(CLI) :
/opt/cisco/amp/bin/ampsupport
这创建在您的桌面的一个.7z文件。您能提供此文件给Cisco技术支持中心(TAC)为进一步分析。
调试模式
连接器的调试模式提供另外的冗余给记录日志。它准许更多见解到一问题用连接器。此部分描述如何启动在连接器的调试模式。
请使用AMP控制台
启动调试模式
您能启动在当前策略的调试模式与步骤5 - 7或者创建在调试模式的一项新的策略与所有这些步骤:
步骤1.登录AMP控制台。
步骤2.选择Management>策略。
步骤3.找出应用到终端设备或计算机并且点击策略的策略,这将展开策略窗口。ClickDuplicate。
第 4 步:在您clickDuplicate,与复制的策略后的AMP控制台更新。
步骤5. ClickEdit, clickAdvanced设置,和选择clickAdministrative Featuresfrom侧边栏。
步骤6. ForConnector日志级别, selectDebugfrom下拉列表。
步骤7. ClickSavein定货保存更改。
步骤 8在保存新的策略后,您需要创建/更改每组包括thenew策略和您要生成调试信息的theend devicewhere。
禁用调试模式
要禁用调试模式,请通过步骤和一样您完成启动调试模式,但是更改级连接器的日志默认。
请使用Line命令
启动调试模式
如果遇到对控制台的任何连通性问题,并且要启动调试模式,请运行这些on命令CLI :
/opt/cisco/amp/bin/ampcli ampcli>debuglevel 1
这是输出:
ampcli>debuglevel 1 Daemon now logging at 'info' level until next policy update
禁用调试模式
要禁用调试模式,请使用这些命令:
/opt/cisco/amp/bin/ampcli
ampcli>debuglevel 0 Daemon now logging at 'notice' level until next policy update
调整的支持工具,当在调试时
连接器的守护程序需要被放到Debug日志模式在开始支持文件调整前。这通过theAMP控制台执行,通过连接器的策略设置atManagement - >策略。编辑策略并且去theAdministrative Featuressection在theAdvanced Settingstab下。更改theConnector日志Levelsetting toDebug。
其次,请保存您的策略。一旦您的策略保存,请保证它同步到连接器。在继续之前运行在此模式的连接器至少15-20分钟以调整的其余。
NB :当您调整完成时,请勿忘记更改theConnector日志Levelsetting回到连接器在其最高效和有效方式运行的Defaultso。
运行支持工具
此方法介入使用支持工具,安装的应用程序以AMP Mac连接器。它可以从应用程序文件夹访问通过双击在/Applications- >Cisco AMP->Support Tool.app。这将生成包含另外的诊断文件的完全支持包。
替代方案和更加快速,方法是运行以下命令linefrom终端会话:
sudo /opt/cisco/amp/bin/ampsupport -x
sudo /opt/cisco/amp/bin/ampsupport第一个选项将导致包含仅相关调整的文件的一个更加小的支持文件。第二个选项提供包含更多信息,例如日志,可能为调整进程排除要求的完全支持包(在连接器版本1.11.0和以上的联机)。
不管怎样您选择运行它,支持工具将生成在包含两个调整的支持文件的您的~home的压缩文件:fileops.txt和execs.txt。fileops.txt包含列表常见创建,并且在您的计算机的被修改的文件,这些为路径/通配符排除将是有用的。execs.txt将包含频繁地被执行的文件的列表,这些为进程排除将是有用的。两列表由扫描计数排序,含义频繁地被扫描的路径出现在列表顶部。
留下在调试模式的连接器运行15-20分钟内的,然后运行支持工具。一好经验做法是平均为1000命中数的所有文件或路径或更多在那时是好候选将被排除。
排除调整
创建路径、通配符、文件名和文件扩展排除
一种方式开始与路径排除规则查找从fileops.txt的频繁地被扫描的文件和文件夹路径然后考虑创建那些路径的规则。一旦策略下载,请监控新的CPU使用情况。它也许花费5到10分钟,在策略更新后,在您注意CPU使用情况丢弃前,这也许需要守护程序的时间追上。如果仍然看到问题,再请运行工具发现哪些新建的路径您观察。
- 一好经验做法是应该认为任何与日志或日志文件扩展一适当的排除候选。
创建进程排除
NOTE: Process Exclusions on Linux can only be implemented forELFfiles. Users cannot implement Process Exclusions for file formats such as.sh (Shell Scripts).
对于关于进程的最佳实践排除看到: 终端的AMP :在macOS和Linux的进程排除
一个好调整的模式是第一识别与大容积的进程从execs.txt的执行,查找路径对可执行,并且创建此路径的排除。然而,有不应该包括的一些进程,这包括:
- 一般实用工具程序-没有推荐排除一般实用工具程序(前:usr/bin/grep)没有占以下。
- 用户能确定什么应用程序呼叫进程, (前:查找执行grep)的父进程并且排除父进程。应该执行这,如果,并且,只有当,父进程可以安全做成进程排除。如果parent排除适用于孩子,则对所有孩子的呼叫从父进程也将被排除。
- 执行进程的用户可以确定。(前:如果进程呼叫在大容积由用户“根”,一个能排除进程,但是仅为指定的用户‘根”,这将准许AMP由不是“根”)的所有用户监控一给的进程的执行。
- NOTE:进程排除在连接器版本1.11.0和以上新建。因此,一般实用工具程序可能使用作为路径排除在连接器版本1.10.2和更加旧有。然而,此实践,当性能折衷方案是绝对必要的时,只推荐。
查找父进程对进程排除是重要。一旦寻找进程的父进程和用户,用户能创建一个特定用户的排除和应用进程排除到子进程,反之将排除喧闹的进程不可能他们自己做成进程排除。
识别父进程
- 遵从步骤1-3从上面识别父进程。
- 识别进程的用户使用一个以下方法:
- 查找给的进程的用户ID从
U的:在记录行(前:U:0)。 - 从运行以下命令的终端窗口:
getent密码#|剪切- d :-f1,其中#用户ID。 - 您应该看到输出类似于:
用户名, whereUsernameis给的进程的用户。
- 查找给的进程的用户ID从
- 此用户名可以被添加到在用户类别下的进程排除减少排除的范围,对某些进程排除,是重要。
- NOTE: 如果进程的用户是计算机的本地用户,并且此排除必须适用于用不同的本地用户的多台机器,用户类别必须是允许进程排除的左空白适用于所有用户。
反馈