排除安全终端Linux连接器故障

简介

本文描述Linux连接器在检测到/解决影响正常运行的条件时引发/清除以通知的故障。

安全终端Linux连接器故障

故障5:扫描服务用户不可用

条件

连接器未能创建cisco-amp-scan-svc用户以运行文件扫描进程。解决方法是，连接器已回退以使用根用户执行文件扫描。这偏离了预期的设计，必须予以纠正。

分辨率

1. 如果cisco-amp-scan-svc用户或组已被删除或者其配置已被修改，请重新安装连接器以重新创建具有必要配置的用户和组。有关详细信息，请参阅/var/log/cisco/ampdaemon.log。
2. 如果通过/etc/login.defs中的设置限制用户/组的创建，则在Linux连接器安装程序运行时，必须临时更改此文件，以允许创建cisco-amp-scan-svc用户和组。为此，请将/etc/login.defs中的USERGROUPS_ENAB从no更改为yes。
3. 如果另一个程序修改了连接器的一个目录权限(例如/opt/cisco或子目录)，请将目录权限重新设置为默认值(即0755)。 确保将来的程序不会修改/opt/cisco目录或其任何子目录，然后重新启动连接器服务。

故障6:扫描服务频繁重新启动

条件

连接器文件扫描进程遇到反复故障，连接器已重新启动以尝试清除故障。连接器将继续尽力扫描。

分辨率

扫描时，系统上的一个或多个文件可能导致扫描算法崩溃。如果在连接器重新启动后10分钟内未自动清除此故障，则需要进一步调查。在解决问题之前，连接器执行扫描的能力将会降低。

有关详细信息，请参阅/var/log/cisco/ampdaemon.log和/var/log/cisco/ampscansvc.log。

故障7:扫描服务启动失败

条件

连接器文件扫描进程无法启动，连接器已重新启动以尝试清除故障。出现此故障时，文件扫描被禁用。

分辨率

如果在加载新安装的病毒定义文件（.cvd文件）时遇到错误，则可以触发此故障。 在激活新的.cvd文件以防止此故障之前，连接器会执行一系列完整性和稳定性检查。重新启动时，连接器将删除任何无效的.cvd文件，以便连接器可以恢复。

1. 如果在连接器重新启动后未清除此故障，则需要进一步用户干预。如果每次进行.cvd更新时重复此故障，则连接器的.cvd文件完整性检查未正确检测到无效的.cvd文件。
2. 如果计算机的可用内存不足，则扫描程序服务可能无法启动。请参阅《安全终端用户指南》中的Linux系统要求。

有关详细信息，请访问/var/log/cisco/ampdaemon.log和/var/log/cisco/ampscansvc.log。

故障8:Realtime Filesystem Monitor无法启动

条件

当连接器策略启用了“监视文件副本和移动”时，连接器无法加载文件系统活动监视所需的底层内核模块。出现此故障时，文件系统监视不可用。

分辨率

1. 在系统上禁用UEFI安全启动。
2. 如果禁用安全启动，则连接器随附的ampfsm内核模块与系统上安装的系统内核或其他第三方内核模块之间可能存在不兼容性。查看/var/log/messages了解详细信息。
3. 如果连接器在不受支持的内核版本上运行，请安装受支持的内核版本或为当前运行的系统内核构建自定义ampfsm内核模块。有关详细信息，请参阅构建思科安全终端Linux连接器内核模块。

故障9:实时网络监控器无法启动

条件

当连接器策略启用了“启用设备流关联”时，连接器无法加载网络活动监控所需的底层内核模块。出现此故障时，网络监控不可用。

分辨率

1. 在系统上禁用UEFI安全启动。
2. 如果禁用安全启动，则连接器随附的ampnetworkflow内核模块与系统上安装的系统内核或其他第三方内核模块之间可能存在不兼容性。查看/var/log/messages了解详细信息。
3. 如果连接器在不受支持的内核版本上运行，请安装受支持的内核版本或为当前运行的系统内核构建自定义ampnetworkflow内核模块。有关详细信息，请参阅构建思科安全终端Linux连接器内核模块。

故障11:缺少必需的内核级包

条件

连接器要求以下条件之一有效：

1. 当前内核已启用CONFIG_DEBUG_INFO_BTF，或
2. 安装了正确的内核报头软件包以监控文件系统和网络事件。

如果这两个条件都不满足，则会引发此故障，并且连接器将在降级模式下监视文件系统和网络事件。

分辨率

1. 升级内核并重新启动连接器。这是首选解决方案。
2. 如果故障仍然存在，则安装缺少的内核头程序包：
   1. 对于基于RPM的分配，请安装内核级软件包。
   2. 对于Oracle Linux UEK发行版，请安装kernel-uek-devely程序包。
   3. 对于基于Debian的分配，请安装linux-headers程序包。
   4. 对于SUSE分发版，请安装kernel-default-level程序包。

有关详细信息，请参阅安全终端Linux连接器故障排除11。

故障16:不兼容的内核

条件

连接器与当前运行的连接器不兼容，并且连接器策略已启用“监控文件复制和移动”或“启用设备流关联”。

分辨率

将内核降级到支持的版本，或将连接器升级到支持此内核的较新版本。

有关支持的内核版本的更多详细信息，请参阅Linux系统要求。

故障18:连接器事件监视超载

条件

由于系统事件数量过多，连接器承受了重载。系统保护会受到限制，并且连接器将监控较小的一组系统关键事件，直到减少整体系统活动为止。

分辨率

此故障可能表示恶意系统活动或系统中非常活跃的应用程序。

1. 如果活动应用程序是良性的且受用户信任，则可将其添加到进程排除集中，以减少连接器上的监控负载。此操作足以清除故障。
2. 如果没有良性进程导致负载过重，则需要执行一些调查以确定活动增加是否源于恶意进程。
3. 如果连接器在短时间内负载过重，则此故障可能会自行消除。
4. 如果经常发生此故障，则不会出现会导致负载过重的良性进程，且不会发现恶意进程，则需要重新调配系统来处理负载过重的进程。

有关详细信息，请参阅排除安全终端Mac/Linux连接器故障18故障。

故障19:SELinux策略缺失或禁用

条件

系统上的Secure Enterprise Linux(SELinux)策略阻止连接器监视系统活动。

如果SELinux已启用且处于实施模式，则连接器在SELinux策略中需要以下规则：

allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

在基于Enterprise Linux的系统上，此规则在默认SELinux策略中不存在。在安装或升级期间，连接器尝试通过安装名为cisco-secure-bpf的SELinux策略模块来添加此规则。如果cisco-secure-bpf无法安装和加载，或者被禁用，则会引发故障。

分辨率

要解决故障，请确保已安装policycoreutils-python系统软件包。然后：

1. 重新安装或升级连接器以触发cisco-secure-bpf的安装，或者
2. 手动将规则添加到现有SELinux策略并重新启动连接器。

有关修改SELinux策略以解决此故障的更多详细说明，请参阅SELinux策略故障。