Einleitung
In diesem Dokument wird beschrieben, wie Diagnosedaten für den Cisco Secure Endpoint Linux-Connector generiert werden.
Hintergrundinformationen
Der Cisco Secure Endpoint Linux-Connector ist im Lieferumfang der Anwendung Support Tool enthalten, mit der Diagnosedaten zum Endpunkt und zum darauf installierten Connector generiert werden können. Die Diagnosedaten enthalten Informationen wie:
- Ressourcennutzung (Festplatte, CPU und Arbeitsspeicher).
- Connector-spezifische Protokolle
- Konfigurationsinformationen für den Connector.
Diagnosedaten generieren
Diagnosedaten können auf zwei verschiedene Arten generiert werden:
- Lokal mithilfe des Support-Tools.
- Remote über die Secure Endpoint Console.
Die generierten Diagnosedaten können dem Cisco Technical Assistance Center (TAC) zur weiteren Analyse zur Verfügung gestellt werden.
Lokales Generieren von Diagnosedaten mit dem Support-Tool
Führen Sie den folgenden Befehl aus, um Diagnosedaten für den Linux-Connector mithilfe des Support-Tools zu generieren:
sudo /opt/cisco/amp/bin/ampsupport
Hinweis: Sie müssen über ausreichende Berechtigungen zum Ausführen des Support Tools verfügen. Stellen Sie daher sicher, dass Sie dem Befehl sudo voranstellen.
Das Support-Tool erstellt eine .zip-
Archivdatei mit dem Namen AMP_Support_<timestamp>.zip
im Desktop-Verzeichnis des aktuell angemeldeten Benutzers, sofern vorhanden. Andernfalls wird die Archivdatei im Home-Verzeichnis des aktuell angemeldeten Benutzers erstellt.
Generieren von Diagnosedaten mithilfe der sicheren Endpunktkonsole
Führen Sie die folgenden Schritte aus, um Diagnosedaten für den Linux-Connector über die Secure Endpoint Console zu generieren:
- Navigieren Sie zur Seite Computer, indem Sie
Verwaltung
-> Computer
auswählen und Ihren Computer in der Liste identifizieren. Klicken Sie auf Diagnose..
.
![Seite Computer](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-00.png)
- Wählen Sie im Popup-Fenster New Connector Diagnostic (Neue Connector-Diagnose) aus dem Dropdown-Menü die Länge der Debug-Sitzung aus, und stellen Sie sicher, dass die Kontrollkästchen für Verlaufsdaten und Kernel-Protokoll aktiviert sind. Klicken Sie auf
Erstellen
.
![Diagnose einleiten](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-01.png)
- Klicken Sie weiterhin auf der Seite Computer auf
Diagnose
für den Anschluss. Sie gelangen zur Seite Datei-Repository im Abschnitt Analyse.
![Diagnose anzeigen](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-02.png)
- Auf der Seite "Datei-Repository" können Sie den Status der angeforderten Diagnose anzeigen. Suchen Sie mithilfe der Filter nach der Diagnose für Ihren Computer. Wenn Ihre Diagnose den Status "Verfügbar" hat, klicken Sie auf
Herunterladen
.
![Diagnose herunterladen](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-03.png)
Hinweis: Sie erhalten außerdem eine E-Mail von Cisco Secure Endpoint, wenn die angeforderten Diagnosedaten zum Download verfügbar sind.
Fehlerbehebung
Die Protokollierung des Debugmodus kann für den Secure Endpoint Linux-Connector aktiviert werden, um detailliertere Fehlerbehebungsinformationen in den Diagnosedaten bereitzustellen. Der Debug-Modus kann remote über die Konsole für sichere Endgeräte oder lokal über das Befehlszeilentool des Linux-Connectors aktiviert/deaktiviert werden.
Warnung: Der Debug-Modus sollte nur aktiviert werden, wenn ein Techniker des technischen Supports von Cisco eine Anfrage für diese Daten stellt. Wenn Sie den Debug-Modus für einen längeren Zeitraum aktiviert lassen, kann er sehr schnell den Speicherplatz belegen und möglicherweise verhindern, dass die Protokoll- und Tray-Protokoll-Daten des Connectors in der Diagnosedatei des Supports aufgrund einer zu großen Dateigröße erfasst werden.
Debug-Modus aktivieren
Debug-Modus mit der Konsole für sichere Endgeräte aktivieren
Führen Sie die folgenden Schritte aus, um den Debug-Modus zu aktivieren und Diagnosedaten mit der Secure Endpoint Console zu sammeln:
- Navigieren Sie in der Konsole für sichere Endgeräte zur Seite Richtlinien, indem Sie
Management
-> Richtlinien
auswählen.
![Seite Policies](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-04.png)
- Suchen Sie die Richtlinie, die auf den Endpunkt angewendet wird, und wählen Sie sie aus. Dadurch wird das Fenster Richtlinie erweitert. Klicken Sie auf
Duplizieren
.
![Richtlinie duplizieren](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-05.png)
- Die Konsole für sichere Endpunkte erstellt eine Kopie der angeforderten Richtlinie.
![Doppelte Richtlinie erstellt](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-06.png)
- Wählen Sie die doppelte Richtlinie aus, erweitern Sie sie, und klicken Sie auf
Bearbeiten
. Die Seite "Policy bearbeiten" wird für diese Policy aufgerufen.
![Neue Richtlinie bearbeiten](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-07.png)
- Ändern Sie den Namen der Richtlinie. Sie können z. B. Debug TechZone Linux Policy verwenden.
![Policy-Name ändern](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-08.png)
- Wählen Sie
Erweiterte Einstellungen
und dann Verwaltungsfunktionen
aus der Seitenleiste aus.
![Verwaltungsfunktionen](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-09.png)
- Erweitern Sie das Dropdown-Menü Connector Log Level (Connector-Protokollstufe), und klicken Sie auf "Debug".
![Debuggen auswählen](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-10.png)
- Klicken Sie auf
Save (Speichern), um die Änderungen zu speichern.
- Navigieren Sie zur Seite Gruppen, indem Sie
Verwaltung
-> Gruppen
auswählen und auf Gruppe erstellen
klicken. Sie gelangen zur Seite Neue Gruppe.
![Seite Gruppen](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-11.png)
- Geben Sie einen Namen für die Gruppe ein. Sie können beispielsweise Debug TechZone Linux Group verwenden.
- Ändern Sie die Linux Policy (Linux-Richtlinie) in die neue Richtlinie, die Sie gerade erstellt haben, nämlich in diesem Beispiel Debug TechZone Linux Policy (TechZone Linux-Richtlinie debuggen). Klicken Sie auf
Speichern
.
![Neue Gruppe](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-12.png)
- Navigieren Sie zur Seite Computer, indem Sie
Verwaltung
-> Computer
auswählen und Ihren Computer in der Liste identifizieren. Wählen Sie es aus, und klicken Sie auf In Gruppe verschieben..
.
![Verbinder in Gruppe verschieben](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-13.png)
- Wählen Sie im daraufhin angezeigten Popup-Fenster Verbindung in Gruppe verschieben die neu erstellte Gruppe aus dem Dropdown-Menü
Gruppe auswählen aus
. Klicken Sie auf Verschieben
, um den ausgewählten Computer in die neue Gruppe zu verschieben.
![Verbinderdialog verschieben](/c/dam/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir-14.png)
Debug-Modus über die Connector-Befehlszeilenschnittstelle aktivieren
Führen Sie den folgenden Befehl aus, um den Debug-Modus über die Befehlszeilenschnittstelle (CLI) des Linux-Connectors zu aktivieren:
/opt/cisco/amp/bin/ampcli debuglevel 1
Die folgende Ausgabe sollte angezeigt werden:
Daemon now logging at 'info' level until next policy update
Debug-Modus deaktivieren
Nachdem die Diagnosedaten im Debug-Modus abgerufen wurden, müssen Sie den Secure Endpoint Connector in den normalen Modus zurücksetzen. Der Debug-Modus kann entweder über die Konsole für sichere Endpunkte oder über das Befehlszeilentool für Linux-Connectors deaktiviert werden.
Deaktivieren des Debugmodus mithilfe der Konsole für sichere Endgeräte
Um den Debug-Modus zu deaktivieren, führen Sie die gleichen Schritte aus, um den Debug-Modus über die Konsole für sichere Endgeräte zu aktivieren, ändern Sie jedoch die Connector-Protokollstufe in Schritt 7 in "Standard".
Deaktivieren des Debugmodus mithilfe der Connector-Befehlszeilenschnittstelle
Führen Sie den folgenden Befehl aus, um den Debug-Modus über die CLI des Linux-Connectors zu deaktivieren:
/opt/cisco/amp/bin/ampcli debuglevel 0
Die folgende Ausgabe sollte angezeigt werden:
Daemon now logging at policy-specified log level
Siehe auch