Introducción
Este documento describe fallas que el conector Linux genera/borra para notificar cuando se detectan/resuelven las condiciones que afectan el funcionamiento correcto.
Errores del conector de Secure Endpoint Linux
Falla 5: Usuario del servicio de escaneo no disponible
Condición
El conector no pudo crear el usuario cisco-amp-scan-svc para ejecutar el proceso de análisis de archivos. Como solución alternativa, el conector se ha caído para utilizar el usuario root para realizar escaneos de archivos. Esto difiere del diseño previsto y debe corregirse.
Resolución
- Si el usuario o grupo cisco-amp-scan-svc se ha eliminado o se han modificado sus configuraciones, vuelva a instalar el conector para volver a crear el usuario y el grupo con las configuraciones necesarias. Consulte /var/log/cisco/ampdaemon.log para obtener más información.
- Si la creación de usuario/grupo está restringida a través de la configuración en /etc/login.defs, este archivo debe ser cambiado temporalmente mientras el instalador del conector Linux se está ejecutando para permitir que el usuario y el grupo cisco-amp-scan-svc sean creados. Para ello, cambie
USERGROUPS_ENAB en /etc/login.defs de no a sí.
- Si otro programa ha modificado uno de los permisos de directorio del conector (por ejemplo, /opt/cisco o un directorio secundario), vuelva a establecer los permisos de directorio en el valor predeterminado (es decir, 0755). Asegúrese de que ningún programa futuro modifique el directorio /opt/cisco ni ninguno de sus directorios secundarios y, a continuación, reinicie el servicio del conector.
Falla 6: Reinicio frecuente del servicio de análisis
Condición
El proceso de análisis de archivos de conector encontró errores repetidos y el conector se reinició en un intento de borrar el error. El conector continuará escaneando en el mejor de los casos.
Resolución
Es posible que uno o más archivos del sistema provoquen que el algoritmo de análisis falle al analizarse. Si este fallo no se elimina automáticamente en los 10 minutos siguientes al reinicio del conector, se requiere una investigación adicional. La capacidad del conector para realizar análisis se degradará hasta que se resuelva el problema.
Consulte /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más información.
Falla 7: El Servicio De Análisis No Se Pudo Iniciar
Condición
No se pudo iniciar el proceso de análisis de archivos de conector y el conector se ha reiniciado en un intento de borrar la falla. El análisis de archivos está desactivado mientras se genera este error.
Resolución
Este error puede desencadenarse si se produce un error al cargar los archivos de definición de virus recién instalados (archivos .cvd). El conector realiza una serie de comprobaciones de integridad y estabilidad antes de activar los nuevos archivos .cvd para evitar este error. Al reiniciar, el conector quita los archivos .cvd no válidos para que el conector pueda reanudarse.
- Si este fallo no se borra después de reiniciar el conector, se requiere la intervención del usuario. Si este error se repite con cada actualización .cvd, las comprobaciones de integridad del archivo .cvd del conector no detectan correctamente un archivo .cvd no válido.
- Si el equipo se está quedando sin memoria disponible, es posible que el servicio de escáner no pueda iniciarse. Consulte los Requisitos del Sistema Linux en la Guía del Usuario de Secure Endpoint Guía del Usuario de Secure Endpoint.
Consulte /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más información.
Falla 8: Error Al Iniciar El Monitor De Sistema De Archivos En Tiempo Real
Condición
El conector no puede cargar el módulo del núcleo subyacente necesario para la supervisión de la actividad del sistema de archivos cuando la política del conector tiene habilitada la opción "Supervisar copias y movimientos de archivos". La supervisión del sistema de archivos no está disponible mientras se provoca este error.
Resolución
- Inhabilite UEFI Secure Boot en el sistema.
- Si Secure Boot está inhabilitado, podría haber una incompatibilidad entre el módulo del núcleo
ampfsm proporcionado con el conector y el núcleo del sistema u otros módulos del núcleo de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles.
- Si el conector se está ejecutando en una versión de kernel no compatible, instale una versión de kernel compatible o cree un módulo de kernel
ampfsm personalizado para el kernel del sistema actual en ejecución. Revise Building Cisco Secure Endpoint Linux Connector Kernel Modules para obtener más información.
Falla 9: Error Al Iniciar El Monitor De Red En Tiempo Real
Condición
El conector no puede cargar el módulo del núcleo subyacente necesario para la supervisión de la actividad de la red cuando la política del conector tiene habilitada la opción "Habilitar correlación de flujo de dispositivos". La supervisión de red no está disponible mientras se provoca este error.
Resolución
- Inhabilite UEFI Secure Boot en el sistema.
- Si Secure Boot está inhabilitado, puede haber una incompatibilidad entre el módulo del kernel
ampnetworkflow proporcionado con el conector y el kernel del sistema u otros módulos del kernel de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles.
- Si el conector se está ejecutando en una versión de kernel no compatible, instale una versión de kernel compatible o cree un módulo de kernel
ampnetworkflow personalizado para el kernel del sistema actual en ejecución. Revise Building Cisco Secure Endpoint Linux Connector Kernel Modules para obtener más información.
Falla 11: Falta el paquete de desarrollo de núcleo requerido
Condición
El conector requiere que sea válido uno de los siguientes elementos:
- El kernel actual tiene
CONFIG_DEBUG_INFO_BTF habilitado, o
- Se instala el paquete de encabezado de kernel correcto para monitorear el sistema de archivos y los eventos de red.
Si no se cumple ninguna de estas condiciones, se producirá este error y el conector supervisará los eventos de red y sistema de archivos en modo degradado.
Resolución
- Actualice el núcleo y reinicie el conector. Esta es la solución preferida.
- Si el fallo persiste, instale el paquete de encabezado del núcleo que falta:
- Para distribuciones basadas en RPM, instale el paquete
kernel-devel.
- Para distribuciones UEK de Oracle Linux, instale el paquete
kernel-uek-devel.
- Para distribuciones basadas en Debian, instale el paquete
linux-encabezados.
- Para las distribuciones SUSE, instale el paquete
kernel-default-devel.
Consulte Troubleshooting de Secure Endpoint Linux Connector Fault 11 para obtener más detalles.
Falla 16: Kernel incompatible
Condición
El conector no es compatible con el conector que se está ejecutando en ese momento y la directiva del conector tiene habilitada la opción "Supervisar copias y movimientos de archivos" o "Habilitar correlación de flujo de dispositivos".
Resolución
Reduzca el núcleo a una versión compatible o actualice el conector a una versión más reciente que admita este núcleo.
Refiérase a Requisitos del Sistema Linux para obtener más detalles sobre las versiones del núcleo soportadas.
Falla 18: La Supervisión De Eventos De Conector Está Sobrecargada
Condición
El conector está bajo mucha carga debido a un número abrumador de eventos del sistema. La protección del sistema es limitada y el conector supervisará un conjunto menor de eventos críticos del sistema hasta que se reduzca la actividad general del sistema.
Resolución
Este fallo podría ser un indicio de actividad maliciosa del sistema o de aplicaciones muy activas en el sistema.
- Si una aplicación activa es benigna y de confianza para el usuario, se puede agregar a un conjunto de exclusión de procesos para reducir la carga de supervisión en el conector. Esta acción puede ser suficiente para despejar la falla.
- Si ningún proceso benigno causa una carga pesada, se requiere alguna investigación para determinar si el aumento de la actividad se debe a un proceso malicioso.
- Si el conector se encuentra bajo períodos cortos de carga pesada, es posible que este fallo se pueda resolver por sí mismo.
- Si este fallo se produce con frecuencia, no hay procesos benignos que causen una carga pesada y no se han detectado procesos maliciosos, es necesario volver a aprovisionar el sistema para gestionar cargas más pesadas.
Consulte Troubleshooting Secure Endpoint Mac/Linux Connector Fault 18 para obtener más detalles.
Falla 19: La Política de SELinux Falta o Está Inhabilitada
Condición
La política Secure Enterprise Linux (SELinux) del sistema impide que el conector supervise la actividad del sistema.
Si SELinux está habilitado y en el modo de aplicación, el conector requiere esta regla en la Política de SELinux:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
En los sistemas basados en Enterprise Linux, esta regla no está presente en la política predeterminada de SELinux. Durante una instalación o actualización, el conector intenta agregar esta regla a través de la instalación de un módulo de políticas de SELinux llamado cisco-secure-bpf. Si cisco-secure-bpf no se instala y carga, o está inhabilitado, se genera el error.
Resolución
Para resolver el error, asegúrese de que el paquete del sistema policycoreutils-python esté instalado. A continuación:
- Reinstale o actualice el conector para activar la instalación de
cisco-secure-bpf, o
- Agregue manualmente la regla a la Política de SELinux existente y reinicie el conector.
Para obtener instrucciones más detalladas sobre la modificación de la Política de SELinux para resolver este fallo, vea Falla de la Política de SELinux.
Comentarios