安装 AIX 代理以实现深度可视性和策略执行

Note

进程树、软件包 (CVE) 和取证事件报告功能在 AIX 上不可用。此外，由于操作系统限制，这些功能的某些方面可能在其他支持的平台的特定次要版本上不可用。

安装 AIX 代理的要求和前提条件

请参阅支持的平台和要求。
深度可视性的其他要求：
- 安装和运行代理服务需要根权限。
- 代理和日志文件的存储要求：500 MB。
- 在监控主机的任何安全应用上配置的安全排除。这些排除是为了防止其他安全应用阻止代理安装或代理活动。有关详细信息，请参阅安全排除项。
- AIX 仅支持 20 台网络设备的流捕获（如果版本为 AIX 7.1 TL3 SP4 或更早，则为 6 台网络设备）。深度可视性代理最多从 16 台网络设备捕获，而其他 4 个捕获会话可用于专用的通用系统（例如，tcpdump）。
- 深度可视性代理执行以下操作，以确保对 20 台网络设备进行流捕获：
  - 代理会在代理目录 (/opt/cisco/tetration/chroot/dev/bpf0 - /opt/cisco/tetration/chroot/dev/bpf15) 下创建 16 个 bpf 设备节点
  - tcpdump 和其他使用 bpf 的系统工具将扫描系统设备节点 (/dev/bpf0-/dev/bpf19)，直至找到未使用的节点 (!EBUSY)
  - 代理创建的 bpf 节点和系统 bpf 节点会共享相同的主/次要文件，而每个主要或次要文件仅由一个实例（tcpdump 或代理）打开。
  - 代理不会访问系统设备节点，也不会像 tcpdump 那样创建系统设备节点（如果不存在，tcpdump-D 会创建 /dev/bpf0. . . /dev/bpf19）。
- 在某些情况下，在系统上运行 iptrace 可防止来自 tcpdump 和深度可视性代理的流捕获。这是一个已知的设计问题，需要与 IBM 核实。
  - 要检查是否存在此场景，请在安装代理之前运行 tcpdump。如果错误消息为 tcpdump: BIOCSETIF: en0: File exists，则 iptrace 已阻止流捕获。停止 iptrace 以解决问题。
AIX 7 和 POWER8 或更高版本支持进程可视性和调查分析。
策略执行的其他要求：
- 如果启用了 IP 安全过滤器（即 smitty IPsec4），则代理安装会在预先检查中失败。建议您在安装代理之前禁用 IP 安全过滤器。
- 如果在运行 Cisco Secure Workload 执行器代理时启用了 IP 安全，则会报告错误并停止执行。请联系支持人员，以便在执行器代理运行时安全地禁用 IP 安全过滤器。

使用代理脚本安装程序方法安装 AIX 代理

深度可视性和执行 AIX 代理只能使用代理脚本安装方法进行安装。

Note

安装的 AIX 代理支持深度可视性和执行。
AIX 7.2 和 POWER8 或更高版本支持进程可视性和调查分析。
默认情况下，执行会被禁用。要启用执行，请参阅创建代理配置文件。

要安装 AIX 代理，请执行以下操作：

Procedure

Step 1

导航至代理安装方法：

如果您是新用户，请启动“快速启动”(Quick Start) 向导，然后点击安装代理 (Install Agents)。
从导航窗格中，选择管理 (Manage) > 代理 (Agents)，然后选择安全程序 (Installer) 选项卡。

Step 2

点击代理脚本安装程序 (Agent Script Installer)。

Step 3

从选择平台 (Select Platform) 下拉菜单中，选择 AIX。

要查看支持的 AIX 平台，请点击显示支持的平台 (Show Supported Platforms)。

Step 4

选择要安装代理的租户。

Note

对于 Cisco Secure Workload SaaS 集群，不需要选择租户。

Step 5

如果要为工作负载分配标签，请选择标签键并输入标签值。

当安装的代理报告主机上的 IP 地址时，此处选择的安装程序 CMDB 标签，以及已分配给该主机报告的 IP 的其他已上传 CMDB 标签，将自动分配给新的 IP 地址。如果上传的 CMDB 标签与安装程序的 CMDB 标签发生冲突：

分配给确切 IP 地址的标签优先于分配给子网的标签。
分配给确切 IP 地址的现有标签优先于安装程序 CMDB 标签。

Step 6

如果需要 HTTP 代理才能与 Cisco Secure Workload 通信，请选择是 (Yes)，然后输入有效的代理 URL。

Step 7

在安装程序到期 (Installer expiration) 部分下，从可用选项中选择一个选项：

无过期 (No expiration)：安装程序脚本可多次使用。
一次 (One time)：安装程序脚本只能使用一次。
时间限制 (Time bound)：您可以设置安装程序脚本可以使用的天数。
部署次数 (Number of deployments)：您可以设置安装程序脚本可以使用的次数。

Step 8

点击下载 (Download) 并将文件保存到本地磁盘。

Step 9

将安装程序 shell 脚本复制到所有 AIX 主机上进行部署。

Step 10

要授予脚本执行权限，请运行以下命令：chmod u+x tetration_installer_default_sensor_aix.sh

Note

脚本名称可能因代理类型和范围而异。

Step 11

要安装代理，请使用根权限运行以下命令：./tetration_installer_default_sensor_aix.sh

Note

如果主机上已经安装了代理，则无法继续安装。如果要重新安装代理，请使用 --new 选项，如本章后面所述。

我们建议按照脚本使用详细信息中的规定运行预先检查。

AIX 安装程序脚本使用详细信息：

ksh tetration_installer_default_enforcer_aix.sh [--pre-check] [--pre-check-user] [--skip-pre-check=<option>] [--no-install] [--logfile=<filename>] [--proxy=<proxy_string>] [--no-proxy] [--help] [--version] [--sensor-version=<version_info>] [--ls] [--file=<filename>] [--osversion=<osversion>] [--save=<filename>] [--new] [--reinstall] [--unpriv-user] [--libs=<libs.zip|tar.Z>] [--force-upgrade] [--upgrade-local] [--upgrade-by-uuid=<filename>] [--logbasedir=<logbdir>] [--tmpdir=<tmp_dir>] [--visibility] [--golden-image]
  --pre-check: run pre-check only
  --pre-check-user: provide alternative to nobody user for pre-check su support
  --skip-pre-check=<option>: skip pre-installation check by given option; Valid options include 'all', 'ipv6' and 'enforcement'; e.g.: '--skip-pre-check=all' will skip all pre-installation checks; All pre-checks will be performed by default
  --no-install: will not download and install sensor package onto the system
  --logfile=<filename>: write the log to the file specified by <filename>
  --proxy=<proxy_string>: set the value of HTTPS_PROXY, the string should be formatted as http://<proxy>:<port>
  --no-proxy: bypass system wide proxy; this flag will be ignored if --proxy flag was provided
  --help: print this usage
  --version: print current script's version
  --sensor-version=<version_info>: select sensor's version; e.g.: '--sensor-version=3.4.1.0'; will download the latest version by default if this flag was not provided
  --ls: list all available sensor versions for your system (will not list pre-3.3 packages); will not download any package
  --file=<filename>: provide local zip file to install sensor instead of downloading it from cluster
  --osversion=<osversion>: specify osversion for --save flag;
  --save=<filename>: download and save zip file as <filename>; will download package for osversion given by --osversion flag; e.g.: '--save=myimage.aix72.tar.Z --osversion=7.2'
  --new: remove any previous installed sensor;
  --reinstall: reinstall sensor and retain the same identity with cluster; this flag has higher priority than --new
  --unpriv-user=<username>: use <username> for unpriv processes instead of tet-snsr
  --libs=<libs.zip|tar.Z>: install provided libs to be used by agents
  --force-upgrade: force sensor upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --force-upgrade'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-local: trigger local sensor upgrade to version given by --sensor-version flag: e.g.: '--sensor-version=3.4.1.0 --upgrade-local'; apply the latest version by default if --sensor-version flag was not provided
  --upgrade-by-uuid=<filename>: trigger sensor whose uuid is listed in <filename> upgrade to version given by --sensor-version flag; e.g.: '--sensor-version=3.4.1.0 --upgrade-by-uuid=/usr/local/tet/sensor_id'; apply the latest version by default if --sensor-version flag was not provided
  --logbasedir=<log_base_dir>: instead of logging to /opt/cisco/tetration/log use <log_base_dir>. The full path will be <log_base_dir>/tetration
  --tmpdir=<tmp_dir>: instead of using /tmp use <tmp_dir> as temp directory
  --visibility: install deep visibility agent only; --reinstall would overwrite this flag if previous installed agent type was enforcer
  --golden-image: install Cisco Secure Workload Agent but do not start the Cisco Secure Workload Services; use to install Cisco Secure Workload Agent on Golden Images in VDI environment or Template VM. On VDI/VM instance created from golden image with different host name, Cisco Secure Workload Services will work normally

验证 AIX 代理安装

过程

运行命令 lslpp -c -l tet-sensor.rte，确认存在如下的条目。

注	具体输出可能因版本而异

$ lslpp -c -l tet-sensor.rte

#Fileset:Level:PTF Id:State:Type:Description:EFIX Locked

/usr/lib/objrepos:tet-sensor.rte:3.9.1.19::COMMITTED:I:Tetration:

$

# lssrc -s csw-agent

子系统组 PID 状态

csw-agent 8126714 active

Cisco Secure Workload 用户指南 SaaS，版本 3.10

非歧视性语言

当地语言翻译版本说明

Book Title