Einleitung
Dieses Dokument beschreibt Fehler 18 auf dem Secure Endpoint-Anschluss für MacOS und Linux.
Fehler 18: Connector-Ereignisüberwachung ist überlastet
Die Engine für den Verhaltensschutz verbessert die Transparenz des Connectors hinsichtlich der Systemaktivität. Durch diese erhöhte Transparenz wird die Überwachung der Systemaktivität des Connectors eher durch die Menge der Systemaktivität überlastet. In diesem Fall löst der Connector den Fehler 18 aus und wechselt in den heruntergestuften Modus. Details zu Fehler 18 finden Sie in den Artikeln zu Cisco Secure Endpoint Connector Faults für macOS und Linux. Über den Connector kann der status Befehl in der Secure Endpoint-CLI aufgerufen werden, um festzustellen, ob der Connector im heruntergestuften Modus ausgeführt wird und ob Fehler auftreten. Wenn Fehler 18 ausgelöst wird, zeigt die Ausführung des status Befehls in der Secure Endpoint CLI den Fehler mit einem der beiden möglichen Schweregrade an:
- Fehler 18 mit großem Schweregrad
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- Fehler 18 mit kritischem Schweregrad
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
Connector-Ereignisüberwachung ist überlastet: Schweregrad schwerwiegend
Wenn der Fehler 18 mit großem Schweregrad ausgelöst wird, bedeutet dies, dass die Steckerereignisüberwachung überlastet ist, aber dennoch in der Lage ist, eine kleinere Anzahl von Systemereignissen zu überwachen. Der Connector wechselt in den Schweregrad "Major" (Schweregrad) und überwacht weniger Ereignisse, die der Überwachung entsprechen, die in Linux-Connectors älter als 1.22.0 und macOS-Connectors älter als 1.24.0 verfügbar war. Wenn die Flut von Systemereignissen kurz ist und die Ereignisüberwachungslast wieder in einen akzeptablen Bereich abnimmt, wird der Fehler 18 behoben und der Stecker übernimmt die Überwachung aller Systemereignisse. Wenn sich die Flut von Systemereignissen verschlimmert und die Ereignisüberwachungslast auf einen kritischen Wert ansteigt, wird der Fehler 18 mit kritischem Schweregrad ausgelöst, und der Stecker wechselt in den kritischen Schweregrad.
Connector-Ereignisüberwachung ist überlastet: kritischer Schweregrad
Wenn der Fehler 18 mit kritischem Schweregrad ausgelöst wird, bedeutet dies, dass eine überwältigende Anzahl von Systemereignissen auf dem Steckverbinder auftritt, die ihn gefährden. Der Connector wechselt in einen restriktiveren kritischen Schweregrad. In diesem Zustand überwacht der Connector nur kritische Ereignisse, damit der Connector bereinigen und sich auf die Wiederherstellung konzentrieren kann. Wenn die Ereignisflut schließlich wieder in einen akzeptableren Bereich zurückgeht, wird der Fehler vollständig behoben, und der Connector überwacht erneut alle Systemereignisse.
Leitfaden zur Fehlerbehebung
Wenn der Steckverbinder den Fehler 18 jemals mit einem schweren oder kritischen Schweregrad verursacht, müssen einige Schritte unternommen werden, um das Problem zu untersuchen und zu beheben. Die Schritte zur Behebung von Fehler 18 variieren je nach dem Zeitpunkt und dem Grund der Fehlerbehebung:
- Fehler 18 wurde bei einer Neuinstallation des Steckverbinders ausgelöst
- Fehler 18 wurde nach den letzten Änderungen am Betriebssystem ausgelöst.
- Fehler 18 wurde spontan ausgelöst
-
Fehler 18 wurde bei der erneuten Bereitstellung eines Systems mit bereits installiertem Connector oder der Aktualisierung des Connectors auf Version (Linux) 1.22.0+ oder (macOS) 1.24.0+ ausgelöst.
Fall 1: Neuinstallation
Wenn bei einer Neuinstallation des Steckverbinders Fehler 18 und ein herabgesetzter Modus festgestellt werden, müssen Sie zunächst sicherstellen, dass Ihr System die Systemanforderungen erfüllt. Nachdem Sie überprüft haben, ob die Anforderungen die Mindestanforderungen erfüllen oder übertreffen, müssen Sie, falls der Fehler weiterhin besteht, die aktivsten Prozesse im System untersuchen. Sie können die aktuellen aktiven Prozesse auf einem Linux-System mit dem top Befehl (oder Ähnliches) im Terminal anzeigen. Wenn bekannt ist, dass die Prozesse, die die höchste CPU-Auslastung aufweisen, harmlos sind, können Sie neue Prozessausschlüsse erstellen, um diese Prozesse von der Überwachung auszuschließen.
Beispielszenario:
Angenommen, nach der Neuinstallation werden Fehler 18 und der herabgesetzte Modus über die Secure Endpoint CLI angezeigt. Beim Ausführen des top Befehls auf einem Ubuntu-Computer wurden folgende aktive Prozesse angezeigt:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie %Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process 4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal- 117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound 34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound 1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg 34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound 2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell 132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events 6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon 741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd 969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint 2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc 1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd 3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp 4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp 5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq 6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns 8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri 10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
Wir sehen, dass es einen sehr aktiven Prozess gibt, der trusted_process in diesem Beispiel genannt wird. In diesem Fall bin ich mit diesem Prozess vertraut und es gibt keinen Grund für mich, diesem Prozess misstrauisch zu sein. Zum Löschen des Fehlers 18 kann der vertrauenswürdige Prozess einem Prozessausschluss im Portal hinzugefügt werden. Im Artikel Configure and Identify Cisco Secure Endpoint Exclusions erfahren Sie mehr über die Best Practices beim Erstellen von Ausschlüssen.
Fall 2: Kürzlich vorgenommene Änderungen
Wenn Sie kürzlich Änderungen an Ihrem Betriebssystem vorgenommen haben, z. B. die Installation eines neuen Programms, können Fehler 18 und der herabgesetzte Modus festgestellt werden, wenn diese neuen Änderungen die Systemaktivität erhöhen. Verwenden Sie die gleiche Behebungsstrategie wie im Fall der neuen Installation beschrieben, suchen Sie jedoch nach Prozessen, die mit den jüngsten Änderungen zusammenhängen, z. B. einem neuen Prozess, der von einem neu installierten Programm ausgeführt wird.
Fall 3: Schädliche Aktivitäten
Die Engine für den Verhaltensschutz erhöht die Art der Systemaktivität, die überwacht wird. Dadurch erhält der Connector eine umfassendere Perspektive auf das System und kann komplexere Verhaltensangriffe erkennen. Die Überwachung einer größeren Anzahl von Systemaktivitäten erhöht jedoch auch das Risiko von Denial-of-Service (DoS)-Angriffen. Wenn der Connector durch die Systemaktivität überlastet ist und mit Fehler 18 in den degradierten Modus wechselt, überwacht er weiterhin systemkritische Ereignisse, bis die Systemaktivität insgesamt reduziert wird. Dieser Verlust an Systemereignistransparenz verringert die Fähigkeit des Steckverbinders, Ihre Maschine zu schützen. Es ist wichtig, dass Sie das System sofort auf schädliche Prozesse untersuchen. Verwenden Sie den top Befehl (oder einen ähnlichen Befehl) auf Ihrem System, um aktuelle aktive Prozesse anzuzeigen und geeignete Maßnahmen zu ergreifen, um die Situation zu beheben, wenn möglicherweise schädliche Prozesse identifiziert werden.
Fall 4: Verbindungsanforderungen
Die Behavioral Protection Engine verbessert die Fähigkeit des Connectors, Ihre Maschinenaktivität zu schützen. Dazu muss sie jedoch mehr Ressourcen verbrauchen als in früheren Versionen. Wenn Fehler 18 häufig ausgelöst wird, es keine harmlosen Prozesse gibt, die eine hohe Auslastung verursachen, und es scheint, als würden keine bösartigen Prozesse auf dem Computer wirken, dann müssen Sie sicherstellen, dass Ihr System die minimalen Systemanforderungen erfüllt.
Siehe auch
Feedback