Introduction
Ce document décrit les défauts que le connecteur Linux déclenche/efface pour notifier lorsque des conditions affectant le bon fonctionnement sont détectées/résolues.
Défaillances du connecteur Linux du terminal sécurisé
Erreur 5 : utilisateur du service de numérisation non disponible
Condition
Le connecteur n'a pas pu créer l'utilisateur cisco-amp-scan-svc pour exécuter le processus d'analyse de fichier. Pour contourner ce problème, le connecteur est revenu à l'utilisation de l'utilisateur racine pour effectuer des analyses de fichiers. Cela s'écarte de la conception prévue et doit être corrigé.
Résolution
- Si l'utilisateur ou le groupe cisco-amp-scan-svc a été supprimé ou a vu ses configurations modifiées, réinstallez le connecteur pour recréer l'utilisateur et le groupe avec les configurations nécessaires. Pour plus d'informations, consultez /var/log/cisco/ampdaemon.log.
- Si la création d'utilisateur/groupe est restreinte via les paramètres dans /etc/login.defs, alors ce fichier doit être temporairement modifié pendant que le programme d'installation du connecteur Linux est en cours d'exécution pour permettre la création de l'utilisateur et du groupe cisco-amp-scan-svc. Pour ce faire, changez
USERGROUPS_ENAB dans /etc/login.defs de no à yes.
- Si un autre programme a modifié l'une des autorisations de répertoire du connecteur (par exemple /opt/cisco ou un répertoire enfant), redéfinissez les autorisations de répertoire sur la valeur par défaut (par exemple, 0755). Assurez-vous qu'aucun programme futur ne modifie le répertoire /opt/cisco ou l'un de ses répertoires enfants, puis redémarrez le service de connecteur.
Erreur 6 : service d'analyse redémarrant fréquemment
Condition
Le processus d'analyse des fichiers du connecteur a rencontré des échecs répétés et le connecteur a redémarré pour tenter d'effacer l'échec. Le connecteur continuera à effectuer une analyse au mieux.
Résolution
Un ou plusieurs fichiers du système peuvent provoquer le blocage de l'algorithme d'analyse lors de l'analyse. Si cette erreur n'est pas automatiquement corrigée dans les 10 minutes suivant le redémarrage du connecteur, une enquête plus approfondie est nécessaire. La capacité du connecteur à effectuer des analyses sera réduite jusqu'à ce que le problème soit résolu.
Pour plus d'informations, consultez /var/log/cisco/ampdaemon.log et /var/log/cisco/ampscansvc.log.
Erreur 7 : Échec Du Démarrage Du Service D'Analyse
Condition
Le processus d'analyse des fichiers du connecteur n'a pas pu démarrer et le connecteur a redémarré pour tenter de résoudre le problème. L'analyse des fichiers est désactivée lorsque cette erreur est déclenchée.
Résolution
Cet échec peut être déclenché en cas d'erreur lors du chargement d'un fichier de définition de virus nouvellement installé (fichiers .cvd). Le connecteur effectue un certain nombre de contrôles d'intégrité et de stabilité avant d'activer de nouveaux fichiers .cvd pour empêcher cette défaillance. Au redémarrage, le connecteur supprime tous les fichiers .cvd non valides afin que le connecteur puisse reprendre.
- Si cette erreur n'est pas corrigée après le redémarrage du connecteur, une intervention supplémentaire de l'utilisateur est nécessaire. Si cette erreur se répète avec chaque mise à jour .cvd alors un fichier .cvd non valide n'est pas correctement détecté par les contrôles d'intégrité du fichier .cvd du connecteur.
- Si la mémoire disponible de l'ordinateur est insuffisante, le service de l'analyseur risque de ne pas pouvoir démarrer. Consultez la configuration système requise pour Linux dans le Guide de l'utilisateur Secure Endpoint Guide de l'utilisateur Secure Endpoint.
Pour plus d'informations, consultez les sites /var/log/cisco/ampdaemon.log et /var/log/cisco/ampscansvc.log.
Erreur 8 : Échec Du Démarrage De Realtime Filesystem Monitor
Condition
Le connecteur ne peut pas charger le module de noyau sous-jacent requis pour la surveillance de l'activité du système de fichiers lorsque la stratégie de connecteur a activé « Surveiller les copies et les déplacements de fichiers ». La surveillance du système de fichiers est indisponible lorsque cette erreur est déclenchée.
Résolution
- Désactivez l'amorçage sécurisé UEFI sur le système.
- Si le démarrage sécurisé est désactivé, il peut y avoir une incompatibilité entre le module de noyau
ampfsm fourni avec le connecteur et le noyau du système ou d'autres modules de noyau tiers installés sur le système. Consultez /var/log/messages pour plus de détails.
- Si le connecteur est exécuté sur une version de noyau non supportée, alors installez une version de noyau supportée ou construisez un module de noyau
ampfsm personnalisé pour le noyau du système en cours d'exécution. Pour plus d'informations, consultez Création de modules de noyau de connecteur Linux pour Cisco Secure Endpoint.
Erreur 9 : Échec Du Démarrage De Realtime Network Monitor
Condition
Le connecteur ne peut pas charger le module de noyau sous-jacent requis pour la surveillance de l'activité du réseau lorsque la stratégie de connecteur a activé l'option « Activer la corrélation de flux de périphérique ». La surveillance du réseau est indisponible lorsque cette erreur est déclenchée.
Résolution
- Désactivez l'amorçage sécurisé UEFI sur le système.
- Si le démarrage sécurisé est désactivé, il peut y avoir une incompatibilité entre le module de noyau
ampnetworkflow fourni avec le connecteur et le noyau système ou d'autres modules de noyau tiers installés sur le système. Consultez /var/log/messages pour plus de détails.
- Si le connecteur est exécuté sur une version de noyau non prise en charge, installez une version de noyau prise en charge ou créez un module de noyau
ampnetworkflow personnalisé pour le noyau du système en cours d'exécution. Pour plus d'informations, consultez Création de modules de noyau de connecteur Linux pour Cisco Secure Endpoint.
Fault 11 : Le Package Kernel-Devel Requis Est Manquant
Condition
Le connecteur nécessite que l'un des éléments suivants soit valide :
- Le noyau actuel a
CONFIG_DEBUG_INFO_BTF activé, ou
- Le bon paquet d'en-tête du noyau est installé afin de surveiller les événements du système de fichiers et du réseau.
Si aucune de ces conditions n'est remplie, cette erreur est déclenchée et le connecteur surveille les événements du système de fichiers et du réseau en mode dégradé.
Résolution
- Mettez à niveau votre noyau et redémarrez le connecteur. C'est la solution préférée.
- Si le problème persiste, installez le paquet d'en-tête de noyau manquant :
- Pour les distributions basées sur RPM, installez le paquet
kernel-devel.
- Pour les distributions Oracle Linux UEK, installez le package
kernel-uek-devel.
- Pour les distributions basées sur Debian, installez le paquet
linux-headers.
- Pour les distributions SUSE, installez le paquet
kernel-default-devel.
Référez-vous à Dépannage de la panne 11 du connecteur Linux du point d'extrémité sécurisé pour plus de détails.
Erreur 16 : Noyau incompatible
Condition
Le connecteur n'est pas compatible avec le connecteur en cours d'exécution et la stratégie de connecteur a activé « Surveiller les copies et les déplacements de fichiers » ou « Activer la corrélation de flux de périphérique ».
Résolution
Rétrograder le noyau vers une version prise en charge ou mettre à niveau le connecteur vers une version plus récente prenant en charge ce noyau.
Référez-vous à la configuration système requise pour Linux pour plus de détails sur les versions de noyau prises en charge.
Erreur 18 : Surveillance Des Événements Du Connecteur Surchargée
Condition
Le connecteur est soumis à une charge importante en raison d'un nombre écrasant d'événements système. La protection du système est limitée et le connecteur surveille un plus petit ensemble d'événements critiques du système jusqu'à ce que l'activité globale du système soit réduite.
Résolution
Cette erreur peut être une indication d'une activité malveillante du système ou d'applications très actives sur le système.
- Si une application active est bénigne et approuvée par l'utilisateur, elle peut être ajoutée à un jeu d'exclusions de processus pour réduire la charge de surveillance sur le connecteur. Cette action peut être suffisante pour effacer le défaut.
- Si aucun processus bénin ne provoque une charge importante, une enquête est nécessaire pour déterminer si l'activité accrue est due à un processus malveillant.
- Si le connecteur est sous de courtes périodes de charge lourde, alors il est possible que ce défaut peut se dissiper lui-même.
- Si cette erreur est fréquemment signalée, qu'aucun processus bénin n'entraîne une charge importante et qu'aucun processus malveillant n'a été détecté, le système doit être reconfiguré pour gérer les charges plus lourdes.
Référez-vous à Dépannage de la défaillance du connecteur Mac/Linux de point d'extrémité sécurisé 18 pour plus de détails.
Erreur 19 : la stratégie SELinux est manquante ou désactivée
Condition
La stratégie Secure Enterprise Linux (SELinux) sur le système empêche le connecteur de surveiller l'activité du système.
Si SELinux est activé et en mode d'application, le connecteur requiert cette règle dans la politique SELinux :
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Sur les systèmes Enterprise Linux, cette règle n'est pas présente dans la politique SELinux par défaut. Au cours d'une installation ou d'une mise à niveau, le connecteur tente d'ajouter cette règle via l'installation d'un module de stratégie SELinux nommé cisco-secure-bpf. Si l'installation et le chargement de cisco-secure-bpf échouent ou sont désactivés, le problème est soulevé.
Résolution
Pour résoudre le problème, assurez-vous que le paquet système policy-coreutils-python est installé. Ensuite, soit :
- Réinstallez ou mettez à niveau le connecteur pour déclencher l'installation de
cisco-secure-bpf, ou
- Ajoutez manuellement la règle à la politique SELinux existante et redémarrez le connecteur.
Pour plus d'instructions détaillées sur la modification de la politique SELinux pour résoudre cette erreur, consultez SELinux Policy Fault.
Commentaires