Einleitung
In diesem Dokument werden Fehler beschrieben, die der Linux-Connector auslöst/löscht, um ihn zu benachrichtigen, wenn Bedingungen erkannt/behoben werden, die das ordnungsgemäße Funktionieren beeinträchtigen.
Sichere Endpunkt-Linux-Connector-Fehler
Fehler 5: Benutzer des Scan-Diensts nicht verfügbar
Bedingung
Der Connector konnte den Benutzer cisco-amp-scan-svc nicht erstellen, um den Dateiscan auszuführen. Als Problemumgehung hat sich der Connector zurückgezogen und verwendet den Root-Benutzer, um Datei-Scans durchzuführen. Dies weicht von der vorgesehenen Konstruktion ab und muss korrigiert werden.
Auflösung
- Wenn der Benutzer oder die Gruppe cisco-amp-scan-svc gelöscht oder seine Konfigurationen geändert wurden, installieren Sie den Connector neu, um den Benutzer und die Gruppe mit den erforderlichen Konfigurationen neu zu erstellen. Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log.
- Wenn die Erstellung von Benutzern/Gruppen über Einstellungen in /etc/login.defs eingeschränkt wird, muss diese Datei vorübergehend geändert werden, während das Linux Connector-Installationsprogramm ausgeführt wird, damit die Benutzer und Gruppen von cisco-amp-scan-svc erstellt werden können. Ändern Sie dazu
USERGROUPS_ENAB in /etc/login.defs von "nein" in "ja".
- Wenn ein anderes Programm eine der Verzeichnisberechtigungen des Connectors geändert hat (z. B. /opt/cisco oder ein untergeordnetes Verzeichnis), setzen Sie die Verzeichnisberechtigungen auf den Standardwert (d. h. 0755) zurück. Stellen Sie sicher, dass keine zukünftigen Programme das /opt/cisco-Verzeichnis oder eines seiner untergeordneten Verzeichnisse ändern, und starten Sie dann den Connector-Dienst neu.
Fehler 6: Häufiger Neustart des Suchdiensts
Bedingung
Wiederholte Fehler beim Scanvorgang der Connectordatei. Der Connector wurde neu gestartet, um den Fehler zu beheben. Der Connector scannt weiterhin nach bestem Bemühen.
Auflösung
Eine oder mehrere Dateien auf dem System können dazu führen, dass der Suchalgorithmus beim Scannen abstürzt. Wenn dieser Fehler nicht automatisch innerhalb von 10 Minuten nach dem Neustart des Steckverbinders behoben wird, sind weitere Untersuchungen erforderlich. Die Fähigkeit des Connectors, Scans durchzuführen, wird beeinträchtigt, bis das Problem behoben ist.
Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log und /var/log/cisco/ampscansvc.log.
Fehler 7: Der Scandienst konnte nicht gestartet werden.
Bedingung
Der Scanvorgang der Connectordatei konnte nicht gestartet werden, und der Connector wurde neu gestartet, um den Fehler zu beheben. Die Dateiprüfung ist deaktiviert, während dieser Fehler ausgelöst wird.
Auflösung
Dieser Fehler kann ausgelöst werden, wenn beim Laden neu installierter Virendefinitionsdateien (.cvd-Dateien) ein Fehler auftritt. Der Connector führt eine Reihe von Integritäts- und Stabilitätsprüfungen durch, bevor er neue .cvd-Dateien aktiviert, um diesen Fehler zu verhindern. Beim Neustart entfernt der Connector alle ungültigen .cvd-Dateien, sodass der Connector fortgesetzt werden kann.
- Wenn dieser Fehler nach dem Neustart des Steckverbinders nicht behoben wird, ist ein weiterer Benutzereingriff erforderlich. Wenn dieser Fehler bei jedem .cvd-Update erneut auftritt, wird eine ungültige .cvd-Datei von den .cvd-Dateiintegritätsprüfungen des Connectors nicht richtig erkannt.
- Wenn auf dem Computer nicht genügend Arbeitsspeicher verfügbar ist, kann der Scannerdienst möglicherweise nicht gestartet werden. Weitere Informationen finden Sie in den Linux-Systemanforderungen im Secure Endpoint User Guide Secure Endpoint User Guide.
Weitere Informationen finden Sie unter /var/log/cisco/ampdaemon.log und /var/log/cisco/ampscansvc.log.
Fehler 8: Echtzeitüberwachung des Dateisystems konnte nicht gestartet werden
Bedingung
Der Connector kann das zugrunde liegende Kernelmodul, das für die Überwachung der Dateisystemaktivität erforderlich ist, nicht laden, wenn in der Connectorrichtlinie "Dateikopien und -verschiebungen überwachen" aktiviert ist. Die Überwachung des Dateisystems ist während der Auslösung dieses Fehlers nicht verfügbar.
Auflösung
- Deaktivieren Sie UEFI Secure Boot auf dem System.
- Wenn "Sicheres Booten" deaktiviert ist, kann es zu einer Inkompatibilität zwischen dem
AMPFSM-Kernelmodul, das mit dem Connector bereitgestellt wird, und dem Systemkernel oder anderen Kernelmodulen von Drittanbietern kommen, die auf dem System installiert sind. Lesen Sie /var/log/messages für Details.
- Wenn der Connector auf einer nicht unterstützten Kernel-Version ausgeführt wird, installieren Sie entweder eine unterstützte Kernel-Version oder erstellen Sie ein benutzerdefiniertes
ampfsm-Kernel-Modul für den aktuell ausgeführten System-Kernel. Weitere Informationen finden Sie unter Erstellen von Cisco Secure Endpoint Linux Connector-Kernel-Modulen.
Fehler 9: Echtzeitüberwachung konnte nicht gestartet werden
Bedingung
Der Connector kann das zugrunde liegende Kernelmodul, das für die Überwachung der Netzwerkaktivität erforderlich ist, nicht laden, wenn in der Connectorrichtlinie "Enable Device Flow Correlation" aktiviert ist. Die Netzwerküberwachung ist während der Auslösung dieses Fehlers nicht verfügbar.
Auflösung
- Deaktivieren Sie UEFI Secure Boot auf dem System.
- Wenn "Sicheres Booten" deaktiviert ist, kann es zu einer Inkompatibilität zwischen dem
ampnetworkflow-Kernelmodul, das mit dem Connector bereitgestellt wird, und dem Systemkernel oder anderen Kernelmodulen von Drittanbietern kommen, die auf dem System installiert sind. Lesen Sie /var/log/messages für Details.
- Wenn der Connector auf einer nicht unterstützten Kernel-Version ausgeführt wird, installieren Sie entweder eine unterstützte Kernel-Version oder erstellen Sie ein benutzerdefiniertes
ampnetworkflow-Kernelmodul für den aktuell ausgeführten System-Kernel. Weitere Informationen finden Sie unter Erstellen von Cisco Secure Endpoint Linux Connector-Kernel-Modulen.
Fehler 11: Erforderliches Kernel-Devel-Paket fehlt
Bedingung
Für den Connector ist eine der folgenden Bedingungen erforderlich:
- Im aktuellen Kernel ist
CONFIG_DEBUG_INFO_BTF aktiviert, oder
- Das richtige Kernel-Header-Paket wird installiert, um Dateisystem- und Netzwerkereignisse zu überwachen.
Wenn keine dieser Bedingungen erfüllt ist, wird dieser Fehler ausgelöst, und der Connector überwacht Dateisystem- und Netzwerkereignisse im herabgesetzten Modus.
Auflösung
- Aktualisieren Sie Ihren Kernel und starten Sie den Connector neu. Dies ist die bevorzugte Lösung.
- Wenn der Fehler weiterhin besteht, installieren Sie das fehlende Kernel-Header-Paket:
- Für RPM-basierte Distributionen installieren Sie das
kernel-devel Paket.
- Für Oracle Linux UEK-Distributionen installieren Sie das Paket
kernel-uek-devel.
- Für Debian-basierte Distributionen installieren Sie das
linux-headers-Paket.
- Für SUSE-Distributionen installieren Sie das Paket
kernel-default-devel.
Weitere Informationen finden Sie unter Troubleshoot Secure Endpoint Linux Connector Fault 11.
Fehler 16: inkompatibler Kernel
Bedingung
Der Connector ist nicht mit dem aktuell ausgeführten Connector kompatibel, und in der Connectorrichtlinie ist entweder "Dateikopien und -verschiebungen überwachen" oder "Device Flow Correlation aktivieren" aktiviert.
Auflösung
Downgraden Sie den Kernel auf eine unterstützte Version oder aktualisieren Sie den Connector auf eine neuere Version, die diesen Kernel unterstützt.
Weitere Informationen zu unterstützten Kernelversionen finden Sie unter Linux System Requirements (Linux-Systemanforderungen).
Fehler 18: Connector-Ereignisüberwachung ist überlastet
Bedingung
Der Anschluss steht aufgrund einer überwältigenden Anzahl von Systemereignissen unter starker Last. Der Systemschutz ist begrenzt, und der Connector überwacht eine kleinere Anzahl systemkritischer Ereignisse, bis die Gesamtaktivität des Systems reduziert ist.
Auflösung
Dieser Fehler kann ein Hinweis auf schädliche Systemaktivitäten oder sehr aktive Anwendungen im System sein.
- Wenn eine aktive Anwendung vom Benutzer als vertrauenswürdig eingestuft wird, kann sie einem Prozessausschlusssatz hinzugefügt werden, um die Überwachungslast für den Connector zu reduzieren. Diese Aktion kann ausreichen, um den Fehler zu beheben.
- Wenn keine unbedenklichen Prozesse eine hohe Auslastung verursachen, muss untersucht werden, ob die erhöhte Aktivität auf einen schädlichen Prozess zurückzuführen ist.
- Steht der Steckverbinder in kurzen Zeiträumen unter starker Last, so ist es möglich, dass sich dieser Fehler von selbst löst.
- Wenn dieser Fehler häufig auftritt, es keine harmlosen Prozesse gibt, die eine hohe Auslastung verursachen, und keine bösartigen Prozesse entdeckt wurden, dann muss das System neu bereitgestellt werden, um eine größere Auslastung zu bewältigen.
Weitere Informationen finden Sie unter Troubleshoot Secure Endpoint Mac/Linux Connector Fault 18.
Fehler 19: SELinux-Richtlinie fehlt oder ist deaktiviert
Bedingung
Die Richtlinie für Secure Enterprise Linux (SELinux) auf dem System verhindert, dass der Connector die Systemaktivität überwacht.
Wenn SELinux aktiviert ist und sich im Erzwingungsmodus befindet, benötigt der Connector diese Regel in der SELinux-Richtlinie:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Auf Linux-basierten Enterprise-Systemen ist diese Regel in der SELinux-Standardrichtlinie nicht vorhanden. Während einer Installation oder eines Upgrades versucht der Connector, diese Regel durch die Installation des SELinux-Richtlinienmoduls cisco-secure-bpf hinzuzufügen. Wenn cisco-secure-bpf nicht installiert und geladen oder deaktiviert wird, wird der Fehler ausgelöst.
Auflösung
Um den Fehler zu beheben, stellen Sie sicher, dass das policyCoreutils-python-Systempaket installiert ist. Dann entweder:
- Installieren Sie den Connector neu, oder aktualisieren Sie ihn, um die Installation von
cisco-secure-bpf auszulösen, oder
- Fügen Sie die Regel manuell zur bestehenden SELinux-Richtlinie hinzu, und starten Sie den Connector neu.
Ausführlichere Anweisungen zum Ändern der SELinux-Richtlinie, um diesen Fehler zu beheben, finden Sie unter SELinux Policy Fault.
Feedback