SUSE Linux安全终端上的故障ID 11故障排除
简介
本文档介绍在15上解决Fault ID第11个Secure Endpoint的SUSE Linux Enterprise过SP2程。
要求
命令行界面(CLI)可用于系统的所有用户,不过某些命令的可用性取决于策略配置和/或根权限。依赖于此的命令将在本文中介绍。
Cisco 建议您了解以下主题:
-
Linux Command Line -
Secure Endpoint
使用的组件
本文档中使用的信息基于以下软件版本:
-
Secure Endpoint1.20 -
SUSE Linux Enterprise 15 SP2内核版本5.3.18-24.96-default
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在2SUSE Linux Enterprise 15 Service Pack (SP)上,内核版本大于或等于5.3.18,连接器使用模块进行实时文件系统和网络监控eBPF。这些模eBPF 块取代了运行在Kernel和早期版本上以及运行在RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5内核4.14或更早Amazon Linux 2版本上时使用的Linux模块。 对于Ubuntu18.04及更高版本以及10及更Debian高版本,模eBPF块是本地的。
为获得适当的兼容性,连接器在加载和eBPF在系统上运行连接器所使用的模块之前,会自动编译这些模块。kernel-devel filesystem此编译要求安装与当前版本对应的内核开发头文件。启用实时和网络监控时,连接器会在每次启动连接器时编译模块,或在启用这些功能时作为策略更新的一部分实时编译模eBPF块。
当系统丢失当前内核级软件包时,连接器将引发故障ID 11:实时网络和文件监控不可用。为当前运行的内核安装内核级软件包,然后重新启动连接器。此故障的问题在于Linux连接器以降级状态运行,这意味着在解决故障之前,它不会按预期工作。
故障排除
如果引发故障11,则会显示以下错误日志:
- 在系统日志中查找类似
/var/log/messages于以下内容的日志行:
init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules日志声明计算机上的当前内核版本不使用内核模块进行和filesystem网络监控。在大于或等于4.18的内核版本上,filesystem使用模块监控和网eBPF络。
如何识别缺少的内核报头
当连接器在没有内核报头的计算机上运行时,(Fault ID 11),Realtime network and file monitoring is unavailable连接器在降级状态下运行,无需进行或filesystem网络监控。
这些步骤可以从终端窗口执行,以识别连接器是kernel-header否存在。
步骤1.从受影响的设备检验连接器是否具有Fault ID 11:
# /opt/cisco/amp/bin/ampcli
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.在安全终端控制台中,找到受影响的设备并展开详细信息以验证Fault部分。
步骤2.使用以下命令检查当前内核:
$ uname -r
5.3.18-150200.24.115-default步骤3.要检查内核报头是否已安装:
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")
输出必须如下所示:
其中i+表示安装了该软件包。如果左侧的列为v空,则必须安装软件包。
如SUSE果以下所有条件均成立,则计算机适合安装内核报头:
- 连接器具有故障ID 11。
- 最低
kernel版本为5.3.18。 - 未
kernel安装信头。
分辨率
如果计SUSE算机没有所需的内核报头,则此过程可用于在计算机上安装所需的内核报头。
步骤1.安装必要的内核报头:
# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')
# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 步骤2.重新启动连接器:
# sudo systemctl stop cisco-amp
# sudo systemctl start cisco-amp 步骤3.确认故障已清除:
# /opt/cisco/amp/bin/ampcli
# status
Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 验证
要验证现在是否安装了内核报头,请运行以下命令:
# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")
# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 在执行该解决方法之前,您有一个类似下面的输出:
执行此解决方法后,输出必须类似于以下内容:
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Feb-2023
|
初始版本 |
反馈