المقدمة
يصف هذا المستند الأخطاء التي يثيرها/ينذرها موصل Linux للإخطار عند اكتشاف/حل الظروف التي تؤثر على سير العمل السليم.
أخطاء موصل Linux لنقطة النهاية الآمنة
الخطأ 5: مستخدم خدمة المسح الضوئي غير متوفر
الشرط
فشل الموصل في إنشاء مستخدم Cisco-AMP-scan-svc لتشغيل عملية مسح الملف. كحل بديل، توقف الموصل عن إستخدام المستخدم الجذري لإجراء عمليات مسح للملفات. يختلف هذا عن التصميم المقصود ويجب تصحيحه.
قرار
- إذا تم حذف مستخدم أو مجموعة Cisco-AMP-Scan-SVC أو تعديل تكويناتها، فأعد تثبيت الموصل لإعادة إنشاء المستخدم والمجموعة باستخدام التكوينات اللازمة. راجع /var/log/cisco/ampdaemon.log للحصول على تفاصيل.
- إذا تم تقييد إنشاء المستخدم/المجموعة عبر الإعدادات في /etc/login.defs، فيجب تغيير هذا الملف بشكل مؤقت أثناء تشغيل مثبت موصل Linux للسماح بإنشاء المستخدم والمجموعة Cisco-amp-scan-svc. للقيام بذلك، قم بتغيير
UserGroups_ENAB
في /etc/login.defs من لا إلى نعم.
- إذا قام برنامج آخر بتعديل أحد أذونات دليل الموصل (على سبيل المثال /opt/cisco أو دليل تابع)، قم بتعيين أذونات الدليل مرة أخرى إلى الافتراضي (على سبيل المثال، 0755). تأكد من عدم قيام أية برامج مستقبلية بتعديل دليل /opt/cisco أو أي من الدلائل التابعة له، ثم أعد تشغيل خدمة الموصل.
خطأ 6: إعادة تشغيل خدمة المسح الضوئي بشكل متكرر
الشرط
واجهت عملية فحص ملف الموصل حالات فشل متكررة وأعيد تشغيل الموصل في محاولة لمسح الفشل. سيستمر الموصل في إجراء الفحص على أساس أفضل الجهود.
قرار
قد يتسبب ملف واحد أو أكثر من الملفات الموجودة على النظام في تعطيل خوارزمية المسح الضوئي عند المسح الضوئي. إذا لم يتم مسح هذا الخطأ تلقائيا في غضون 10 دقائق بعد إعادة تشغيل الموصل، يلزم إجراء مزيد من التحقيق. ستتراجع قدرة الموصل على إجراء عمليات الفحص إلى أن يتم حل المشكلة.
راجع /var/log/cisco/ampdaemon.log و/var/log/cisco/ampscansvc.log للحصول على تفاصيل.
خطأ 7: فشل بدء تشغيل خدمة المسح الضوئي
الشرط
فشلت عملية فحص ملف الموصل في بدء التشغيل وتمت إعادة تشغيل الموصل في محاولة لإزالة الفشل. تم تعطيل فحص الملف أثناء ظهور هذا الخطأ.
قرار
يمكن تشغيل هذا الفشل في حالة مواجهة خطأ عند تحميل ملفات تعريف فيروسات مثبتة حديثا (ملفات .cvd). يقوم الموصل بإجراء عدد من عمليات التحقق من السلامة والاستقرار قبل تنشيط ملفات .cvd الجديدة لمنع هذا الفشل. عند إعادة التشغيل، يقوم الموصل بإزالة أي ملفات .cvd غير صالحة بحيث يمكن إستئناف الموصل.
- في حالة عدم مسح هذا الخطأ بعد إعادة تشغيل الموصل، يلزم تدخل المستخدم مرة أخرى. إذا تكرر هذا الفشل مع كل تحديث .cvd، فلن يتم اكتشاف ملف .cvd غير صالح بشكل صحيح بواسطة عمليات التحقق من سلامة الملف .cvd الخاصة بالموصل.
- إذا كانت مساحة ذاكرة الجهاز المتاحة منخفضة، فقد يتعذر بدء تشغيل خدمة الماسح الضوئي. ارجع إلى متطلبات نظام لينوكس في دليل مستخدم نقطة النهاية الآمنة.
راجع الصفحتين /var/log/cisco/ampdaemon.log و /var/log/cisco/ampscansvc.log للحصول على تفاصيل.
خطأ 8: فشل بدء تشغيل RealTime Filesystem Monitor
الشرط
يتعذر على الموصل تحميل وحدة Kernel الأساسية المطلوبة لمراقبة نشاط نظام الملفات عندما يكون نهج الموصل قد تم تمكين "Monitor File Copy and Move". مراقبة نظام الملفات غير متوفرة أثناء ظهور هذا الخطأ.
قرار
- تعطيل "التمهيد الآمن ل UEFI" على النظام.
- في حالة تعطيل "التمهيد الآمن"، قد يحدث عدم توافق بين وحدة kernel
الخاصة بالجهاز
المصغر بالجهاز
المزود بالموصل ونواة kernel للنظام أو وحدات kernel الأخرى التابعة لجهات خارجية المثبتة على النظام. مراجعة /var/log/الرسائل للحصول على تفاصيل.
- إذا كان الموصل يعمل على إصدار kernel غير معتمد، فإما أن تقوم بتثبيت إصدار kernel مدعوم أو إنشاء وحدة
kernel
مخصصة لنواة نظام التشغيل الحالي. راجع بناء الوحدات النمطية لنواة موصل Linux الآمن من Cisco للحصول على مزيد من المعلومات.
خطأ 9: فشل بدء تشغيل RealTime Network Monitor
الشرط
يتعذر على الموصل تحميل وحدة kernel الأساسية المطلوبة لمراقبة نشاط الشبكة عندما يكون نهج الموصل قد تم تمكين "تمكين إرتباط تدفق الجهاز". لا تتوفر مراقبة الشبكة أثناء رفع هذا الخطأ.
قرار
- تعطيل "التمهيد الآمن ل UEFI" على النظام.
- في حالة تعطيل "التمهيد الآمن"، قد يكون هناك عدم توافق بين وحدة kernel
لسير العمل
المزودة بالموصل ونواة kernel للنظام أو وحدات kernel الأخرى التابعة لجهات خارجية المثبتة على النظام. مراجعة /var/log/الرسائل للحصول على تفاصيل.
- إذا كان الموصل قيد التشغيل على إصدار kernel غير معتمد، فإما أن تقوم بتثبيت إصدار kernel مدعوم أو إنشاء وحدة
kernel
مخصصة لنواة سير العمل لنواة النظام الجاري تشغيلها حاليا. راجع بناء الوحدات النمطية لنواة موصل Linux الآمن من Cisco للحصول على مزيد من المعلومات.
خطأ 11: حزمة kernel-devel المطلوبة مفقودة
الشرط
يتطلب الموصل أن يكون أحد العناصر التالية صالحا:
- يحتوي kernel الحالي على
config_debug_info_btf
ممكن، أو
- يتم تثبيت حزمة رأس kernel الصحيحة لمراقبة نظام الملفات وأحداث الشبكة.
إذا لم يتم استيفاء أي من هذه الشروط، فسيتم رفع هذا الخطأ وسيقوم الموصل بمراقبة نظام الملفات وأحداث الشبكة في الوضع المخفض.
قرار
- ترقية kernel وإعادة تشغيل الموصل. هذا هو الحل المفضل.
- إذا استمر الخطأ، فقم بتثبيت حزمة رأس kernel المفقودة:
- بالنسبة للبرامج القائمة على RPM، قم بتثبيت الحزمة
kernel-devel
.
- بالنسبة لبرامج Oracle Linux UEK، قم بتثبيت حزمة
kernel-uek-devel
.
- بالنسبة للبرامج المستندة إلى Debian، قم بتثبيت حزمة
رؤوس لينوكس
.
- بالنسبة لتوزيعات SUSE، قم بتثبيت الحزمة
kernel-default-devel
.
راجع أستكشاف أخطاء موصل نقطة النهاية الآمنة 11 وإصلاحها للحصول على مزيد من التفاصيل.
خطأ 16: نواة غير متوافقة
الشرط
الموصل غير متوافق مع الموصل الجاري تشغيله حاليا ونهج الموصل لديه تمكين "مراقبة نسخ الملفات وتحركاتها" أو "تمكين إرتباط تدفق الأجهزة".
قرار
انسخ kernel إلى إصدار مدعوم أو ترقية الموصل إلى إصدار أحدث يدعم هذا kernel.
ارجع إلى متطلبات نظام لينوكس للحصول على مزيد من التفاصيل حول إصدارات kernel المدعومة.
الخطأ 18: تم تحميل مراقبة حدث الموصل بشكل زائد
الشرط
يعاني الموصل من حمل ثقيل بسبب العدد الكبير من أحداث النظام. تعد حماية النظام محدودة، وسيقوم الموصل بمراقبة مجموعة أصغر من الأحداث الحرجة للنظام حتى يتم تقليل نشاط النظام الكلي.
قرار
قد يكون هذا الخطأ مؤشرا على نشاط النظام الضار أو التطبيقات النشطة للغاية على النظام.
- إذا كان أحد التطبيقات النشطة حميدا وموثوقا به من قبل المستخدم، فيمكن إضافته إلى مجموعة إستثناءات العملية لتقليل حمل المراقبة على الموصل. يمكن أن يكون هذا الإجراء كافيا لإزالة الخطأ.
- إذا لم تتسبب أي عمليات حميدة في تحميل ثقيل، فإنه يلزم إجراء بعض التحقيقات لتحديد ما إذا كانت الزيادة في النشاط ناجمة عن عملية خبيثة.
- إذا كان الموصل خاضعا لفترات قصيرة من الحمل الثقيل فمن المحتمل أن يستطيع هذا الخطأ مسح نفسه.
- إذا كان هذا الخطأ قد تم رفعه بشكل متكرر، فلا توجد عمليات حميدة تتسبب في حمل ثقيل، ولم يتم اكتشاف أي عمليات ضارة، ومن ثم سيلزم إعادة إمداد النظام لمعالجة الأحمال الأكبر.
راجع أستكشاف أخطاء موصل Mac/Linux لنقطة النهاية الآمنة وإصلاحها 18 للحصول على مزيد من التفاصيل.
الخطأ 19: نهج SelInux مفقود أو معطل
الشرط
تمنع سياسة Secure Enterprise Linux (SELinux) على النظام الموصل من مراقبة نشاط النظام.
إذا تم تمكين SELinux وفي وضع فرض، يتطلب الموصل هذه القاعدة في نهج SELinux:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
في الأنظمة القائمة على نظام التشغيل Enterprise Linux، لا تتوفر هذه القاعدة في نهج SelInux الافتراضي. أثناء التثبيت أو الترقية، يحاول الموصل إضافة هذه القاعدة من خلال تثبيت وحدة نهج SELinux المسماة Cisco-secure-bpf
. إذا فشل Cisco-secure-bpf
في التثبيت والتحميل، أو تم تعطيله، فسيتم رفع الخطأ.
قرار
لحل الخطأ، تأكد من تثبيت حزمة نظام PolicyOutputLs-Python
. ثم بعد ذلك إما:
- إعادة تثبيت الموصل أو ترقيته لتشغيل تثبيت
Cisco-secure-bpf
، أو
- قم بإضافة القاعدة يدويا إلى نهج SELinux الموجود وإعادة تشغيل الموصل.
للحصول على إرشادات أكثر تفصيلا حول تعديل سياسة SelInux لحل هذا الخطأ، راجع خطأ سياسة SelInux.