簡介
當聯結器偵測到影響聯結器正常運作的狀況時,可能會通知您發生錯誤事件。同樣地,「已清除故障」事件會告知該情況不再存在。
聯結器故障表
下表介紹了故障和相應的診斷步驟。
| 故障ID |
入口網站文字 |
端點
說明 |
疑難排解/解決方案 |
| 1 |
核心模組未授權 |
未授權系統擴充 |
已阻止執行聯結器的系統擴展。
開啟「保全性和隱私權系統偏好設定」並核准延伸。
或者,也可以使用流動裝置管理(MDM)配置檔案遠端批准系統擴展。 |
| 2 |
版本不匹配 |
系統副檔名版本不匹配 |
安裝的聯結器軟體已損壞。重新安裝聯結器。
注意:執行Mac Connector版本1.14.0和更新版本時,重新啟動電腦可能會清除此錯誤的一些發生。 |
| 3 |
未授予磁碟訪問許可權 |
未授與全磁碟存取 |
聯結器無法存取要掃描的使用者檔案。開啟「保全性和隱私權系統」偏好設定,並授與AMP服務的全磁碟存取權。 對於1.14.0之前的Mac聯結器版本,此過程被命名為/opt/cisco/amp/ampdaemon。 對於Mac Connector版本1.14.0及更高版本,根據macOS版本,以下兩個應用程式需要完全磁碟訪問:
- 面向終端的AMP服務(所有macOS版本均需要)
- AMP安全擴展(在macOS 10.15.5及更高版本上需要)
對於Mac Connector版本1.14.1及更高版本,根據macOS版本,以下兩個應用程式需要完全磁碟訪問:
- 面向終端的AMP服務(所有macOS版本均需要)
- AMP安全擴展(在macOS 11及更高版本上需要)
本技術說明中提供了其他詳細資訊。 |
| 4 |
未載入核心模組 |
無法載入系統擴展;請重新安裝聯結器 |
對於1.14.0之前的Mac Connector版本,或者在macOS 10.14或10.15上運行時,此故障表明Connector的系統擴展是正確的版本,並且已批准執行,但仍無法載入。有關詳細資訊,請參閱/Library/Logs/Cisco/ampdaemon.log。解除安裝並重新安裝聯結器也會清除此錯誤。
|
| 5 |
掃描服務使用者不可用 |
掃描服務使用者不可用 |
聯結器無法建立使用者來執行檔案掃描程式。聯結器可透過使用root使用者來執行檔案掃描來解決這個問題。這偏離了預期的設計,並且不是預期的。
如果cisco-amp-scan-svc使用者或組已刪除,或者使用者和組的配置已更改,則重新安裝聯結器將重新建立具有必要配置的使用者和組。有關其他詳細資訊,請參閱/Library/Logs/Cisco/ampdaemon.log。
|
| 6 |
掃描服務經常重新啟動 |
掃描服務經常重新啟動 |
聯結器的檔案掃描進程遇到反覆的故障,聯結器已重新啟動以嘗試清除故障。系統上的一個或多個檔案可能在掃描時導致掃描演算法崩潰。聯結器會盡力繼續掃描。
如果聯結器啟動後10分鐘內未自動清除此故障,則表示需要進一步使用者干預,並且聯結器的執行掃描能力將降低。
有關詳細資訊,請參閱/Library/Logs/Cisco/ampdaemon.log和/Library/Logs/Cisco/ampscansvc.log。 |
| 7 |
掃描服務無法啟動 |
掃描服務無法啟動 |
聯結器的檔案掃描進程無法啟動,聯結器已重新啟動以嘗試清除故障。發生此故障時,檔案掃描功能被停用。
如果在載入新安裝的病毒定義檔案(.cvd檔案)時遇到錯誤,可能會觸發此故障。在啟用新的.cvd檔案之前,聯結器會執行許多完整性和穩定性檢查,以防止出現此故障。重新啟動後,聯結器將刪除所有無效的.cvd檔案,以便聯結器可以恢復。
如果重新啟動聯結器時未清除此故障,則表示需要使用者進一步干預。如果每次.cvd更新後都重複出現此故障,則表明聯結器的.cvd檔案完整性檢查未正確檢測到無效的.cvd檔案。
有關詳細資訊,請參閱/Library/Logs/Cisco/ampdaemon.log和/Library/Logs/Cisco/ampscansvc.log。
|
| 10 |
載入核心模組或系統擴充程式需要重新開機 |
載入系統擴充功能需要重新開機 |
重新啟動系統。
對於Mac Connector版本1.11.1和1.14.0,如果系統擴展無法載入,可能會引發此故障。在這種情況下,可以透過重新安裝聯結器來清除此故障。 請注意,如果系統上安裝了太多網路內容過濾器系統擴展,Mac Connector 1.14.1及更高版本可能會引發此故障。如果重新啟動電腦未清除此故障,請參閱以下故障13指南以瞭解其他詳細資訊。 |
| 12 |
不允許使用網路篩選 |
不允許使用網路篩選器 |
策略中的「啟用裝置流關聯」功能需要網路過濾器。若要清除此故障,請允許「面向終端的AMP服務」過濾終端上的網路內容。
透過按一下Agent選單中所列的活動故障並遵循所提供的指導,可以訪問MacOS對話方塊,從而允許訪問網路過濾器。
此技術說明中包含其他詳細資訊,包括用於遠端授權網路過濾器的MDM配置檔案設定。 |
| 13 |
網路內容過濾器系統擴展太多 |
網路內容過濾器系統擴展太多 |
對於Mac Connector 1.14.0,由於啟動網路內容過濾器系統擴展時存在macOS漏洞,因此經常引發此故障。重新啟動電腦將清除此故障。 策略中的「啟用裝置流關聯」功能需要使用防火牆級別的macOS網路內容過濾器。MacOS限制可以運行的網路內容過濾器的數量。 如果發生此故障,並且重新啟動電腦後未清除此故障,請解除安裝不再需要的防火牆級網路內容過濾器,然後重新啟動聯結器。 |
| 14 |
太多終端安全系統擴展 |
Endpoint Security系統擴展太多 |
MacOS限制可以運行的Endpoint Security系統擴展的數量。Mac Connector需要以下終端安全系統副檔名之一,用於策略中的「監控檔案副本和移動」和「監控進程執行」功能。
若要清除此故障,請解除安裝不再需要的終端安全系統擴展,然後重新啟動聯結器。 |
| 15 |
系統擴充需要全磁碟存取 |
系統擴充需要全磁碟存取 |
Mac Connector的macOS系統副檔名無法訪問要掃描的使用者檔案。打開安全和隱私系統首選項,並授予對AMP安全擴展的完全磁碟訪問許可權。
有關其他詳細資訊,包括用於透過系統擴展對全磁碟訪問進行遠端授權的MDM配置檔案設定,請參閱此技術說明。
請注意,MacOS 11.0.0上的Bug會導致在重新開機時,在授予許可權後自動清除全磁碟存取設定。 這個Bug已在macOS 11.0.1中修正。 |
| 17 |
未授予軌道全磁碟存取權 |
未授予軌道全磁碟存取權 |
Orbal需要全磁碟存取才能存取受保護的檔案與目錄以進行查詢。打開安全和隱私系統首選項,然後授予對Cisco Orbal的全磁碟訪問許可權。 |
18
|
聯結器事件監視超載 |
聯結器事件監視超載 |
當聯結器因系統事件數量過多而承受過載時,會引發此故障。系統保護有限,聯結器會監控較少的系統關鍵事件,直到整體系統活動減少。 此故障可能是惡意系統活動或系統上非常活躍的應用程式的指示。 如果活動應用程式是良性的且受使用者信任,則可將其增加到進程排除集中,以減少聯結器上的監視負載。此動作足以清除錯誤。 如果沒有良性進程導致負載過重,則需要進行一些調查以確定活動增加是否由惡意進程引起。 如果接頭在短期的重負載下,則此故障可能會自行清除。 如果頻繁發生此故障,則不會出現導致負載過重的良性進程,並且不會發現惡意進程,則需要重新調配系統來處理負載過重的進程。 |
意見