Inleiding
Dit document beschrijft fouten die door de Linux-connector worden opgeroepen/gewist om te worden gewaarschuwd wanneer omstandigheden die een goede werking beïnvloeden worden gedetecteerd/opgelost.
Fouten in Secure Endpoint Linux-connector
Fout 5: Scannen naar gebruiker niet beschikbaar
Voorwaarde
De connector is er niet in geslaagd de gebruiker cisco-amp-scan-svc te maken om het bestandsscanproces uit te voeren. Als tijdelijke oplossing is de connector teruggevallen om de hoofdgebruiker te gebruiken om bestandsscans uit te voeren. Dit wijkt af van het beoogde ontwerp en moet worden gecorrigeerd.
Resolutie
- Als de gebruiker of groep van Cisco-amp-scan-svc is verwijderd of als de configuraties zijn aangepast, installeert u de connector opnieuw om de gebruiker en groep opnieuw te maken met de benodigde configuraties. Surf naar /var/log/cisco/ampdaemon.log voor meer informatie.
- Als de gebruiker/groep creatie beperkt is via instellingen in /etc/login.defs, dan moet dit bestand tijdelijk worden gewijzigd terwijl de Linux connector installatieprogramma wordt uitgevoerd om de gebruiker en groep cisco-amp-scan-svc te kunnen maken. Om dit te doen, verander
USERGROUP_ENAB
in /etc/login.defs van nee naar ja.
- Als een ander programma een van de directory-permissies van de connector heeft gewijzigd (bijvoorbeeld /opt/cisco of een child directory), zet u de directory-permissies terug op standaard (d.w.z. 0755). Zorg ervoor dat geen toekomstige programma's de directory /opt/cisco of een van de onderliggende directory's wijzigen, en start vervolgens de verbindingsservice opnieuw.
Fout 6: Scanservice wordt regelmatig opnieuw gestart
Voorwaarde
Het scanproces van het verbindingsbestand heeft herhaaldelijk fouten aangetroffen en de connector is opnieuw gestart in een poging om de fout te verhelpen. De connector blijft scannen op basis van de best mogelijke inspanning.
Resolutie
Een of meer bestanden op het systeem kunnen ervoor zorgen dat het scanalgoritme crasht als het gescand wordt. Als deze fout niet automatisch wordt gewist binnen 10 minuten nadat de connector opnieuw is opgestart, is verder onderzoek vereist. Het vermogen van de connector om scans uit te voeren wordt beknot totdat het probleem is opgelost.
Surf naar /var/log/cisco/ampdaemon.log en /var/log/cisco/ampscansvc.log voor meer informatie.
Fout 7: Scan-service is niet gestart
Voorwaarde
Het scanproces van het verbindingsbestand is niet gestart en de connector is opnieuw gestart in een poging om de fout te verhelpen. Het scannen van bestanden is uitgeschakeld terwijl deze fout wordt veroorzaakt.
Resolutie
Deze fout kan worden geactiveerd als er een fout wordt aangetroffen tijdens het laden van een nieuw geïnstalleerde virusdefinitiebestanden (.cvd-bestanden). De -connector voert een aantal integriteits- en stabiliteitscontroles uit voordat nieuwe .cvd-bestanden worden geactiveerd om deze storing te voorkomen. Bij het opnieuw opstarten, verwijdert de connector alle ongeldige .cvd-bestanden zodat de connector kan hervatten.
- Als deze fout niet wordt gewist nadat de connector opnieuw is opgestart, is verdere tussenkomst van de gebruiker vereist. Als deze fout zich herhaalt bij elke .cvd-update, wordt een ongeldig .cvd-bestand niet correct gedetecteerd door de integriteitscontroles van het .cvd-bestand op de connector.
- Als de machine bijna geen beschikbaar geheugen meer heeft, kan de scannerservice mogelijk niet worden gestart. Raadpleeg de Linux System Requirements in de Secure Endpoint User Guide Secure Endpoint User Guide.
Surf naar /var/log/cisco/ampdaemon.log en /var/log/cisco/ampscansvc.log voor meer informatie.
Fout 8: Realtime File System Monitor kan niet starten
Voorwaarde
De connector is niet in staat om de onderliggende kernel module te laden die vereist is voor bestandssysteem activiteit monitoring wanneer het connector beleid "Monitor File Copies and Moves" ingeschakeld heeft. Bestandssysteem controle is niet beschikbaar terwijl deze fout wordt verhoogd.
Resolutie
- UEFI Secure Boot op het systeem uitschakelen.
- Als Secure Boot is uitgeschakeld, kan er een incompatibiliteit zijn tussen de
ampfsm
kernel module voorzien van de connector en de systeem kernel of andere derde kernel modules geïnstalleerd op het systeem. Bekijk /var/log/details
- Als de connector wordt uitgevoerd op een niet-ondersteunde kernel-versie, installeer dan een ondersteunde kernel-versie of bouw een aangepaste
amfsm
kernel module voor de huidige actieve systeemkernel. Beoordeel Building Cisco Secure Endpoint Linux Connector Kernel Modules voor meer informatie.
Fout 9: Realtime Network Monitor kan niet starten
Voorwaarde
De connector is niet in staat om de onderliggende kernel module te laden die nodig is voor netwerk activiteit monitoring wanneer het connector beleid "Enable Device Flow Correlatie" ingeschakeld heeft. Netwerkbewaking is niet beschikbaar terwijl deze fout wordt veroorzaakt.
Resolutie
- UEFI Secure Boot op het systeem uitschakelen.
- Als Secure Boot is uitgeschakeld, kan er een incompatibiliteit zijn tussen de
ampnetworkflow
-kernel module die met de connector wordt geleverd en de systeemkernel of andere kernel-modules van derden die op het systeem zijn geïnstalleerd. Bekijk /var/log/details
- Als de connector wordt uitgevoerd op een niet-ondersteunde kernel-versie, installeer dan een ondersteunde kernel-versie of bouw een aangepaste
ampnetworkflow
kernel module voor de huidige actieve kernel. Beoordeel Building Cisco Secure Endpoint Linux Connector Kernel Modules voor meer informatie.
Fout 11: het vereiste pakket van het kernel-apparaat ontbreekt
Voorwaarde
De connector vereist dat een van de volgende eigenschappen geldig is:
- De huidige kernel heeft
CONFIG_DEBUG_INFO_BTF
ingeschakeld, of
- Het juiste kernel headerpakket wordt geïnstalleerd om bestandssysteem en netwerkgebeurtenissen te bewaken.
Als aan geen van deze voorwaarden wordt voldaan, wordt deze fout opgeheven en zal de connector het bestandssysteem en de netwerkgebeurtenissen in gestoorde modus bewaken.
Resolutie
- Upgrade uw kernel en start de aansluiting opnieuw. Dit is de geprefereerde oplossing.
- Als de fout blijft optreden, installeer dan het ontbrekende kernel header pakket:
- Installeer voor op RPM gebaseerde distributies het
kernel-design
pakket.
- Voor Oracle Linux UEK distributies, installeer het
kernel-uek-devel
pakket.
- Installeer voor Debian-gebaseerde distributies het pakket
linux-headers
.
- Installeer voor SUSE-distributies het
kernel-default-devel-
pakket.
Raadpleeg Fout 11 van Secure Endpoint Linux Connector voor meer informatie.
Fout 16: Incompatibele kernel
Voorwaarde
De connector is niet compatibel met de momenteel actieve connector en het aansluitbeleid heeft "Monitor File Copies and Moves" of "Enable Device Flow Correlatie" ingeschakeld.
Resolutie
Downgrade de kernel naar een ondersteunde versie of upgrade de connector naar een nieuwere versie die deze kernel ondersteunt.
Raadpleeg de Linux System Requirements voor meer informatie over ondersteunde kernel versies.
Fout 18: Connector voor gebeurtenisbewaking is overbelast
Voorwaarde
De connector staat onder zware belasting als gevolg van een overweldigend aantal systeemgebeurtenissen. De systeembescherming is beperkt en de connector zal een kleinere reeks systeemkritische gebeurtenissen bewaken tot de totale systeemactiviteit is verminderd.
Resolutie
Deze fout kan een indicatie zijn van kwaadaardige systeemactiviteit of van zeer actieve toepassingen op het systeem.
- Als een actieve toepassing benigne is en door de gebruiker wordt vertrouwd, dan kan deze worden toegevoegd aan een uitsluiting van het proces die is ingesteld om de controlebelasting op de connector te verminderen. Deze actie kan genoeg zijn om de fout weg te nemen.
- Als geen goedaardige processen zware belasting veroorzaken, dan is enig onderzoek vereist om te bepalen of de verhoogde activiteit toe te schrijven is aan een kwaadaardig proces.
- Als de connector kortstondig zwaar belast is, is het mogelijk dat deze fout vanzelf kan verdwijnen.
- Als deze fout vaak wordt verhoogd, zijn er geen goedaardige processen die zware lading veroorzaken, en geen kwaadaardige processen werden ontdekt, dan moet het systeem worden herprovisioneerd om zwaardere ladingen te behandelen.
Raadpleeg Probleemoplossing Secure Endpoint Mac/Linux Connector Fault 18 voor meer informatie.
Fout 19: Het SELinux-beleid ontbreekt of is uitgeschakeld
Voorwaarde
Het Secure Enterprise Linux (SELinux)-beleid op het systeem verhindert dat de connector de systeemactiviteit kan controleren.
Als SELinux is ingeschakeld en in de afdwingingsmodus, vereist de connector deze regel in het SELinux-beleid:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Op Enterprise Linux-gebaseerde systemen is deze regel niet aanwezig in het standaard SELinux-beleid. Tijdens een installatie of upgrade probeert de connector deze regel toe te voegen door de installatie van een SELinux Policy Module met de naam cisco-secure-bpf
. Als cisco-secure-bpf
niet kan installeren en laden of uitgeschakeld is, wordt de fout verhoogd.
Resolutie
Om de fout te verhelpen, dient u ervoor te zorgen dat het pakket van het polisycoreutils-python-
systeem is geïnstalleerd. Vervolgens ofwel:
- Installeer of upgrade de connector om de installatie van
cisco-secure-bpf
te starten, of
- Voeg de regel handmatig toe aan het bestaande SELinux-beleid en start de connector opnieuw.
Zie SELinux Policy Fault voor meer informatie over het wijzigen van het SELinux Policy om deze fout op te lossen.