Guía básica de solución de problemas de AMP para terminales Conector Linux

Opciones de descarga

  • PDF     (456.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (415.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (436.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:7 de junio de 2020
ID del documento:215625

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe una manera básica de resolver problemas de rendimiento encendido la protección frente a malware avanzado de Cisco (AMP) para Terminales Conector Linux.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • AMP para terminales
    • Linux/UnixSistemas operativos basados en

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Red Hat Enterprise Linux (RHEL) / Sistema operativo empresarial comunitario (CentSO) versiones 6.10 y 7.7
    • AMP para terminales Linux Conector versión 1.11.1

    Para obtener una lista completa de versiones AMP compatibles con sistema operativo Linux, consulte este artículo.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El conector de AMP analiza todos los archivos activos (aquellos que se mueven, copian y/o modifican) de una máquina a menos que se les indique explícitamente que no lo hagan, esto inevitablemente conlleva problemas de rendimiento si se ejecutan demasiados procesos y operaciones mientras el conector está activo, lo que conduce a un uso elevado de la CPU, ralentizaciones y, en algunos casos, software que no se ejecutará o ejecutará lentamente. Además, el conector de AMP puede bloquear los archivos en función de su reputación en la nube, que en ocasiones puede ser erróneo (falso positivo). La solución a ambos problemas es excluir estos trayectos y procesos; en el caso de falsos positivos, problemas no relacionados con el rendimiento o problemas de rendimiento que no parecen resolverse a través de esta guía, se recomienda aumentar el soporte de notificaciones.

    El flujo de solución de problemas de rendimiento básico es el siguiente:

    • Recopile un paquete Debug mientras se reproduce el problema.
    • Ejecute la herramienta de soporte de AMP
    • Revisar los archivos pertinentes
    • Añadir exclusiones según sea necesario

    Troubleshoot

    Cómo recopilar un paquete de depuración

    Un paquete de depuración es un archivo zip que contiene información detallada de depuración (como registros de escaneo) en el conector. Este paquete es esencial para solucionar la mayoría de los problemas relacionados con el conector de AMP para terminales. Para recopilar un paquete de depuración, siga los pasos proporcionados en Recopilación de Datos de Diagnóstico de AMP para Terminales Conector Linux.

    ¿Qué información recopila la herramienta de soporte amp y luego se ejecuta un paquete Debug?

    La entrada del proceso de debug bundle muestra que el ampsupport ejecuta algunos comandos log-collection, como se muestra en la imagen.

    Cómo leer los registros básicos del paquete Linux para identificar los trayectos y procesos afectados

    El paquete de depuración de AMP para terminales de Linux transporta a plétora de información útil, sin embargo, para propósitos básicos de resolución de problemas de rendimiento, sólo hay unos pocos archivos que revisar, fileops.txt, fiescans.txt y execs.txt, como se muestra en la imagen.

    El archivo de texto File Operations (fileops) funciona como la principal herramienta de solución de problemas de rendimiento. muestra todas las operaciones activas actuales en su terminal mientras se ejecuta el conector. Estas son las rutas para agregar al conjunto de exclusión de políticas si se considera necesario/seguro.

    El texto es el siguiente:

    • <Los escaneos numéricos realizados en la trayectoria realizada mientras se ejecuta el proceso de recopilación de paquetes> /<Ruta explorada>

    Ejemplo de análisis:

    • 1 /homet/user/.mozila/Firefox/

    El archivo de análisis de archivos (los archivos pueden) muestra todos los procesos que se ejecutan mientras el conector recopila información de depuración.

    Dice así:

    • <Execution time> , <File Type>, <Operation type>, <Process path>, <Parent process path> , <Process ID>, <Parent Process ID> , <SHA Signature (Not SHA256)> <File Sze>

    El archivo de texto File Execution (execs) enumera todos los comandos Linux utilizados por los procesos activos en el conector mientras el conector recopilaba el paquete.

    Advertencia: Las trayectorias enumeradas aquí no deben excluirse en la política de AMP, ya que son binarios (/bin) y binarios del sistema (/sbin) que utiliza todo el proceso; sin embargo, esta lista puede resultar útil para intentar comprender qué acciones se realizan en los diferentes procesos que se ejecutan en la máquina de destino.

    Una vez identificada, la ruta se excluirá mediante la política, siga las Prácticas recomendadas para AMP para las exclusiones de terminales.

    Las exclusiones de procesos manejadas por los conectores Mac y Linux se agregan de manera similar a través de la política, sin embargo, el método difiere ligeramente: Exclusiones de procesos en MacOS y Linux.

    Una vez agregadas las exclusiones, pruebe y supervise si el problema persiste. Póngase en contacto con el servicio de asistencia del TAC de AMP.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Juan Castillero
      Cisco TAC Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos