SUSE Linux Secure Endpoint上的故障ID 11故障排除

簡介

本文檔描述了在15上解Fault ID決第11Secure Endpoint個SUSE Linux Enterprise的過SP2程。

需求

命令列介面(CLI)可供系統所有使用者使用，不過某些命令的可用性取決於策略配置和/或根許可權。依賴於此的命令將在本文中介紹。

思科建議您瞭解以下主題：

• Linux Command Line

• Secure Endpoint

採用元件

文中使用的資訊是根據以下軟體版本：

• Secure Endpoint  1.20

• SUSE Linux Enterprise 15 SP2  核心版本5.3.18-24.96-default

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

在2SUSE Linux Enterprise 15 Service Pack (SP)上，核心版本大於或等於5.3.18時，聯結器使用模組進行即時檔案系統和網路監eBPF控。這些eBPF 模組取代了運行在Kernel及更早版本上的Linux模RHEL 6, RHEL 7, Oracle Linux 7 RHCK, Oracle Linux 7 UEK 5塊，以及核心4.Amazon Linux 214或更早版本上的模組。  對於Ubuntu18.04及更高版本以及10及更Debian高版本，模eBPF塊是本機模組。

為了獲得適當的相容性，聯結器會在載入eBPF聯結器之前自動編譯聯結器使用的模組，並在系統上運行這些模組。kernel-devel filesystem此編譯要求安裝與當前內容相對應的核心開發標頭檔案。啟用即時和網路監視後，聯結器會在每次啟動聯結器時編譯模eBPF塊，或作為策略更新的一部分在啟用這些功能時即時編譯模組。

當系統丟失當前核心級軟體包時，聯結器將引發故障ID 11:即時網路和檔案監控不可用。為當前運行的核心安裝核心級軟體包，然後重新啟動聯結器。此故障的問題在於Linux聯結器運行在降級狀態，這意味著在故障得到解決之前，聯結器無法按預期工作。

疑難排解

如果發生故障11，則會出現以下錯誤日誌： 

• 在系統日誌中查詢類似/var/log/messages於以下內容的日誌行： 

init: cisco-amp pre-start: AMP kernel modules are not required on this kernel version '5.3.18-24.96-default'; skipping reinstalling kernel modules

該日誌指出，電腦上的當前核心版本不使用核心模組進行和filesystem網路監控。在大於或等於4.18的核心版本上，filesystem使用模組監控和網eBPF絡。

如何識別缺少的核心報頭

當聯結器在沒有核心標頭的電腦上運行時，(Fault ID 11),Realtime network and file monitoring is unavailable聯結器將以降級狀態運行，而不進行或filesystem網路監控。
這些步驟可以從終端視窗執行，以識別聯結器是否kernel-header存在。

步驟1.從受影響的裝置驗證聯結器是否具有Fault ID 11:

# /opt/cisco/amp/bin/ampcli 
# status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2022-08-03 06:31:42 PM
Policy: iscarden - Linux (#22192)
Command-line: Enabled
Orbital: Disabled
Faults: 1 Critical
Fault IDs: 11
           ID 11 - Critical: Realtime network and file monitoring is unavailable. Install the kernel-devel package for the currently running kernel, then, restart the Connector.

在安全終端控制檯中，找到受影響的裝置並展開詳細資訊以驗證「故障」部分。

步驟2.使用以下命令檢查當前核心：

$ uname -r
5.3.18-150200.24.115-default

步驟3.若要檢查是否已安裝核心標頭：

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//")

輸出必須如下所示：

其中i+表示軟體包已安裝。如果左側的列為v空，則必須安裝軟體包。

如果SUSE以下所有情況均成立，則電腦適合安裝核心標頭：

• 聯結器的故障ID為11。
• 最低版kernel本是5.3.18。
• 未kernel安裝標頭。

解析

如果計SUSE算機沒有所需的核心報頭，則此過程可用於在電腦上安裝所需的核心報頭。

步驟1.安裝所需的核心標頭：

# sudo zypper install --oldpackage kernel-default-devel=$(uname -r | sed 's/-default//')

# sudo zypper install --oldpackage kernel-devel=$(uname -r | sed 's/-default//') 

步驟2.重新啟動聯結器：

# sudo systemctl stop cisco-amp

# sudo systemctl start cisco-amp 

步驟3.確認故障已清除：

# /opt/cisco/amp/bin/ampcli
# status

Trying to connect...
Connected.
ampcli> status
Status: Connected
Mode: Normal
Scan: Ready for scan
Last Scan: 2022-08-05 01:29:47 PM
Policy: iscarden - Linux (#22201)
Command-line: Enabled
Orbital: Disabled
Faults: None
ampcli > quit 

驗證

若要驗證現在是否已安裝核心標頭，請運行以下命令：

# zypper se -s kernel-default-devel | grep $(uname -r | sed "s/-default//")

# zypper se -s kernel-devel | grep $(uname -r | sed "s/-default//") 

執行解決方法之前，您有一個類似以下的輸出：

執行解決方法後，輸出必須類似於以下內容：

相關資訊

• 驗證安全終端Linux聯結器作業系統相容性
• Linux核心級故障
• 構建思科安全終端Linux聯結器核心模組