Solución de problemas de Secure Endpoint Linux Connector Faults

Opciones de descarga

  • PDF     (254.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de octubre de 2023
ID del documento:214523

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe fallas que el conector de Cisco Secure Endpoint Linux utiliza para notificarle de condiciones que afectan su correcto funcionamiento.

    Antecedentes

    El conector de Cisco Secure Endpoint Linux notifica con un evento Fault Raised cuando detecta una condición que afecta el correcto funcionamiento del conector. De manera similar, un evento Fault Cleared comunica que la condición ya no está presente.

    Tabla de fallas del conector de Secure Endpoint Linux

    En la tabla se describen los fallos y los pasos de diagnóstico asociados.

    ID de fallo

    Descripción

    Resolución/resolución de problemas

    5

    Usuario del servicio de digitalización no disponible

    El conector no pudo crear un usuario para ejecutar el proceso de análisis de archivos. El conector utiliza el usuario raíz para realizar análisis de archivos como solución alternativa. Esto se desvía del diseño previsto y no se espera.


    Si cisco-amp-scan-svc se ha eliminado el usuario o el grupo, o se ha cambiado la configuración del usuario y el grupo, puede volver a instalar el conector para volver a crear el usuario y el grupo con las configuraciones necesarias. Encontrará más información en /var/log/cisco/ampdaemon.log.

    Si la creación del grupo de usuarios está restringida a través de la configuración de /etc/login.defs, este archivo debe cambiarse temporalmente mientras el instalador se está ejecutando para permitir que se creen el usuario y el grupo. Para ello, cambie userggroups_enab de no a yes.

    Este fallo puede producirse en los conectores Linux 1.15.1 y posteriores si otro programa ha modificado uno de los permisos de directorio del conector (es decir, /opt/cisco o un directorio secundario). Para aliviar esto, el permiso de directorio cambiado debe ser establecido de nuevo en el valor predeterminado (por ejemplo, 0755), asegúrese de que ningún programa futuro modifique el directorio /opt/cisco (o cualquier directorio secundario) y reinicie el servicio de conector.

    6

    El servicio de análisis se reinicia con frecuencia

    El proceso de análisis de archivos de conector encontró errores repetidos y el conector se reinició en un intento de borrar el error. Es posible que uno o más archivos del sistema provoquen que el algoritmo de escaneo falle cuando se escanea. El conector continúa escaneando en el mejor de los casos.

    Si este fallo no se elimina automáticamente en los 10 minutos siguientes al inicio del conector, esto indica que se requiere una intervención adicional del usuario y que la capacidad del conector para realizar análisis se ha degradado.

    Consulte /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más información.

    7

    Error al iniciar el servicio de análisis

    El proceso de análisis de archivos del conector no se pudo iniciar y el conector se ha reiniciado en un intento de borrar el error. La funcionalidad de análisis de archivos está deshabilitada mientras se provoca este error.

    Este error puede desencadenarse si se produce un error al cargar los archivos de definición de virus recién instalados (archivos .cvd). El conector realiza una serie de comprobaciones de integridad y estabilidad antes de activar nuevos archivos .cvd para evitar este error. Al reiniciar, el conector quita los archivos .cvd no válidos para que el conector pueda reanudarse.

    Si este error no se borra cuando se reinicia el conector, esto es una indicación de que se requiere la intervención del usuario. Si este error se repite con cada actualización .cvd, esto indica que las comprobaciones de integridad del archivo .cvd del conector no detectan correctamente un archivo .cvd no válido.

    Este error se puede activar en los conectores de Linux si el equipo se está quedando sin memoria disponible y el servicio de escáner no puede iniciarse. Consulte la "Guía del usuario de Secure Endpoint (anteriormente AMP para terminales)" para conocer los requisitos mínimos del sistema en Linux.

    Consulte /var/log/cisco/ampdaemon.log y /var/log/cisco/ampscansvc.log para obtener más información.

    8

    Error al iniciar el monitor del sistema de archivos en tiempo real

    ​El módulo del núcleo que proporciona monitoreo de actividad del sistema de archivos en tiempo real no se cargó y la política del conector tiene habilitada la opción "Monitorear copias y movimientos de archivos". Estas funciones de supervisión no están disponibles en el conector mientras se produce este fallo. Este fallo se genera cuando el conector Secure Endpoint no puede cargar el módulo del núcleo subyacente necesario para la supervisión de la actividad del sistema de archivos.

    El arranque seguro UEFI debe estar desactivado en el sistema.

    Si Secure Boot está inhabilitado, esta falla puede ser causada por una incompatibilidad entre el módulo de kernel ampavflt o ampfsm proporcionado con el conector Secure Endpoint y el kernel del sistema u otros módulos de kernel de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles.

    La falla también puede ser causada cuando se ejecuta una versión del núcleo que no es soportada por el conector. En este caso, se puede borrar construyendo un módulo de kernel ampfsm personalizado para el kernel del sistema actual en ejecución. (Aplicable a las versiones 1.16.0 y posteriores del conector Linux). Para obtener más información sobre cómo crear módulos de kernel personalizados, consulte: Building Cisco Secure Endpoint Linux Connector Kernel Modules

    9

    Error al iniciar el monitor de red en tiempo real

    El módulo del kernel que proporciona monitoreo de actividad de red en tiempo real no se cargó y la política del conector tiene habilitada la opción "Habilitar correlación de flujo de dispositivos". Esta función de supervisión no está disponible en el conector mientras se produce este fallo. Este fallo se genera cuando el conector Secure Endpoint no puede cargar el módulo del núcleo subyacente necesario para la supervisión de la actividad del sistema de archivos.

    El arranque seguro UEFI debe estar desactivado en el sistema.

    Si Secure Boot está inhabilitado, esta falla puede ser causada por una incompatibilidad entre el módulo de kernel ampavflt o ampfsm proporcionado con el conector Secure Endpoint y el kernel del sistema u otros módulos de kernel de terceros instalados en el sistema. Revise /var/log/messages para obtener detalles.

    La falla también puede ser causada cuando se ejecuta una versión del núcleo que no es soportada por el conector. En este caso, se puede borrar construyendo un módulo de kernel ampfsm personalizado para el kernel del sistema actual en ejecución. (Aplicable a las versiones 1.16.0 y posteriores del conector Linux). Para obtener más información sobre cómo crear módulos de kernel personalizados, consulte: Building Cisco Secure Endpoint Linux Connector Kernel Modules

    11

    Falta el paquete kernel-devel requerido

    El conector Secure Endpoint utiliza módulos eBPF para supervisar el sistema de archivos, los procesos y la actividad de la red. El conector requiere que ciertos paquetes estén disponibles en el sistema para cargar y ejecutar estos módulos eBPF. Para resolver este fallo, instale el paquete requerido por su distribución de Linux como se describe a continuación y reinicie el conector.

    Para las distribuciones basadas en Red Hat, este fallo se genera cuando falta el paquete kernel-devel. Instale el paquete kernel-devel y reinicie el conector. (Aplicable únicamente a las versiones 1.13.0 y posteriores del conector Linux).

    Para Oracle Linux UEK 6 y versiones posteriores, este fallo se genera cuando el kernel-uek-develfalta el paquete. Instale el paquete kernel-uek-devel y reinicie el conector. (Aplicable únicamente a las versiones 1.18.0 y posteriores del conector Linux).

    Para las distribuciones basadas en Debian, este fallo se genera cuando falta el paquete linux-encabezados. Instale el paquete linux-encabezados y reinicie el conector. (Aplicable a las versiones 1.15.0 y posteriores del conector Linux).

    Para obtener más información, visite: Falla de Linux Kernel-Devel

    16

    kernel incompatible

    El núcleo que se está ejecutando actualmente no es compatible con el conector que se está ejecutando actualmente y la política del conector tiene habilitada la opción "Supervisar copias y movimientos de archivos" o "Habilitar correlación de flujo de dispositivos".

    Reduzca el núcleo a una versión compatible o actualice el conector a una versión más reciente que admita este núcleo.

    Para obtener más información sobre las versiones compatibles del núcleo, consulte: Compatibilidad de SO del conector de Cisco Secure Endpoint Linux

    18

    La supervisión de eventos del conector está sobrecargada

    Este fallo se produce cuando el conector está sometido a una carga pesada debido a un número abrumador de eventos del sistema. La protección del sistema es limitada y el conector supervisa un conjunto menor de eventos críticos del sistema hasta que se reduce la actividad general del sistema.

    Este fallo podría ser un indicio de actividad maliciosa del sistema o de aplicaciones muy activas en el sistema.

    Si una aplicación activa es benigna y de confianza para el usuario, se puede agregar a un conjunto de exclusión de procesos para reducir la carga de supervisión en el conector. Esta acción puede ser suficiente para despejar la falla.

    Si ningún proceso benigno causa una carga pesada, se requiere alguna investigación para determinar si el aumento de la actividad se debe a un proceso malicioso.

    Si el conector se encuentra bajo períodos cortos de carga pesada, es posible que este fallo se pueda resolver por sí mismo.

    Si este fallo se produce con frecuencia, no hay procesos benignos que causen una carga pesada y no se han detectado procesos maliciosos, es necesario volver a aprovisionar el sistema para gestionar cargas más pesadas.

    19

    Falta la política SELinux o está inhabilitada

    Este fallo se produce cuando la política de Secure Enterprise Linux (SELinux) del sistema impide que el conector supervise la actividad del sistema. Si SELinux está habilitado y en el modo de aplicación, el Conector requiere esta regla en la Política de SELinux:

    allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

    En los sistemas basados en Red Hat, incluyendo RHEL 7 y Oracle Linux 7, esta regla no está presente en la política de SELinux predeterminada. Durante una instalación o actualización, el conector intenta agregar esta regla a través de la instalación de un módulo de políticas de SELinux llamado Cisco-Secure-BPF. Si Cisco-Secure-BPF no se puede instalar y cargar, o está deshabilitado, se genera el error.

    Para resolver el error, asegúrese de que el paquete del sistema policcoreutils-python esté instalado. Reinstale o actualice el conector para activar la instalación de cisco-secure-bpf, o agregue manualmente la regla a la política de SELinux existente y reinicie el conector.

    Para obtener instrucciones más detalladas sobre la modificación de la Política de SELinux para resolver este fallo, vea Falla de la Política de SELinux.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    7.0
    19-Oct-2023
    Descripción del fallo modificado 11.
    6.0
    12-Sep-2023
    Descripción del fallo modificado 19.
    5.0
    20-Jul-2023
    Errores añadidos 18 y 19
    4.0
    08-Apr-2022
    Guía añadida para fallos 8 y 9
    3.0
    14-Mar-2022
    Menor edición con respecto a UEFI Secure Boot for Faults 8/9.
    2.0
    02-Mar-2022
    Se ha añadido la guía UEK al fallo 11
    1.0
    19-Jun-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos