| ID de panne |
Texte du portail |
Terminaux
Description |
Dépannage/résolution |
| 1 |
Module de noyau non autorisé |
Extension système non autorisée |
L'exécution du poste système du connecteur a été bloquée.
Ouvrez les préférences système de sécurité et de confidentialité et approuvez le poste.
Les extensions système peuvent également être approuvées à distance à l'aide d'un profil de gestion des appareils mobiles (MDM). |
| 2 |
Non-concordance des versions |
Incompatibilité de version d'extension système |
Le logiciel Connector installé est endommagé. Réinstallez le connecteur.
Remarque : lorsque vous exécutez Mac Connector versions 1.14.0 et ultérieures, certaines occurrences de cette erreur peuvent être effacées en redémarrant l'ordinateur. |
| 3 |
Accès au disque non accordé |
Accès au disque complet non accordé |
Le connecteur ne peut pas accéder aux fichiers utilisateur à analyser. Ouvrez les préférences système de sécurité et de confidentialité et accordez l'accès disque complet au service AMP. Pour les versions du connecteur Mac antérieures à 1.14.0, ce processus est nommé /opt/cisco/amp/ampdaemon. Pour Mac Connector versions 1.14.0 et ultérieures, les deux applications suivantes nécessitent un accès complet au disque, selon la version de macOS :
- Service AMP for Endpoints (requis pour toutes les versions de macOS)
- AMP Security Extension (requis sur macOS 10.15.5 et versions ultérieures)
Pour Mac Connector versions 1.14.1 et ultérieures, les deux applications suivantes nécessitent un accès complet au disque, selon la version de macOS :
- Service AMP for Endpoints (requis pour toutes les versions de macOS)
- AMP Security Extension (requis sur macOS 11 et versions ultérieures)
Des détails supplémentaires sont disponibles dans cette note technique. |
| 4 |
Module de noyau non chargé |
Impossible de charger l'extension du système ; réinstallez le connecteur |
Pour les versions du Connecteur Mac antérieures à 1.14.0, ou lorsqu'il est exécuté sur macOS 10.14 ou 10.15, cette erreur indique que l'extension système du Connecteur est la version correcte et a été approuvée pour l'exécution, mais n'a toujours pas pu être chargée. Pour plus d'informations, consultez /Library/Logs/Cisco/ampdaemon.log. La désinstallation et la réinstallation du connecteur peuvent également résoudre ce problème.
|
| 5 |
Utilisateur du service de numérisation non disponible |
Utilisateur du service de numérisation non disponible |
Le connecteur n'a pas pu créer d'utilisateur pour exécuter le processus d'analyse de fichier. Le connecteur contourne ce problème en utilisant l'utilisateur racine pour effectuer l'analyse des fichiers. Cela s'écarte de la conception prévue et n'est pas prévu.
Si l'utilisateur ou le groupe cisco-amp-scan-svc a été supprimé ou si la configuration de l'utilisateur et du groupe a été modifiée, la réinstallation du connecteur recrée l'utilisateur et le groupe avec la configuration nécessaire. Pour plus d'informations, consultez la page /Library/Logs/Cisco/ampdaemon.log.
|
| 6 |
Redémarrage fréquent du service d'analyse |
Redémarrage fréquent du service d'analyse |
Le processus d'analyse des fichiers du connecteur a rencontré des échecs répétés et le connecteur a redémarré pour tenter de résoudre le problème. Il est possible qu'un ou plusieurs fichiers du système provoquent le blocage de l'algorithme d'analyse lors de l'analyse. Le connecteur poursuit ses analyses au mieux de ses capacités.
Si cette erreur n'est pas automatiquement corrigée dans les 10 minutes qui suivent le démarrage du connecteur, cela indique qu'une intervention supplémentaire de l'utilisateur est nécessaire et que la capacité du connecteur à effectuer des analyses est altérée.
Pour plus d'informations, consultez /Library/Logs/Cisco/ampdaemon.log et /Library/Logs/Cisco/ampscansvc.log. |
| 7 |
Échec du démarrage du service d'analyse |
Échec du démarrage du service d'analyse |
Le processus d'analyse des fichiers du connecteur n'a pas pu démarrer et le connecteur a redémarré pour tenter de résoudre le problème. La fonctionnalité d'analyse des fichiers est désactivée lorsque cette erreur est déclenchée.
Cet échec peut être déclenché si une erreur est rencontrée lors du chargement d'un fichier de définition de virus nouvellement installé (fichiers .cvd). Le connecteur effectue un certain nombre de contrôles d'intégrité et de stabilité avant d'activer de nouveaux fichiers .cvd pour éviter cette défaillance. Au redémarrage, le connecteur supprime tous les fichiers .cvd non valides pour permettre la reprise du connecteur.
Si cette erreur n'est pas corrigée lors du redémarrage du connecteur, cela indique que l'utilisateur doit intervenir davantage. Si cette erreur se reproduit avec chaque mise à jour .cvd, cela indique qu'un fichier .cvd non valide n'est pas correctement détecté par les contrôles d'intégrité du fichier .cvd du connecteur.
Pour plus d'informations, consultez /Library/Logs/Cisco/ampdaemon.log et /Library/Logs/Cisco/ampscansvc.log.
|
| 10 |
Redémarrage requis pour charger le module du noyau ou l'extension du système |
Redémarrage requis pour charger les extensions système |
Redémarrez le système.
Pour Mac Connector versions 1.11.1 et 1.14.0, cette erreur peut être déclenchée si les extensions système ne peuvent pas se charger. Dans ce cas, il est possible de résoudre ce problème en réinstallant le connecteur. Notez que Mac Connector 1.14.1 et les versions ultérieures peuvent provoquer cette erreur si trop d'extensions système Network Content Filter sont installées sur le système. Reportez-vous au guide d'erreur 13 ci-dessous pour plus de détails si le redémarrage de l'ordinateur ne résout pas ce problème. |
| 12 |
Filtre réseau non autorisé |
Filtre réseau non autorisé |
Le filtre réseau est requis par la fonction « Activer la corrélation de flux de périphérique » dans la stratégie. Pour supprimer cette erreur, autorisez le service AMP for Endpoints à filtrer le contenu réseau sur le terminal.
Pour accéder à la boîte de dialogue macOS permettant d'activer le filtre réseau, cliquez sur l'erreur active répertoriée dans le menu Agent et suivez les instructions fournies.
Des détails supplémentaires, notamment les paramètres de profil MDM pour l'autorisation à distance des filtres réseau, sont disponibles dans cette note technique. |
| 13 |
Trop d'extensions du système de filtrage de contenu réseau |
Trop d'extensions du système de filtrage de contenu réseau |
Pour Mac Connector 1.14.0, cette erreur est fréquemment déclenchée en raison d'un bogue macOS lors du démarrage de l'extension du système de filtrage du contenu du réseau. Le redémarrage de l'ordinateur élimine cette erreur. La fonctionnalité « Activer la corrélation de flux de périphérique » de la stratégie nécessite l'utilisation d'un filtre de contenu réseau macOS de niveau pare-feu. MacOS limite le nombre de filtres de contenu réseau pouvant être exécutés. Si cette erreur est déclenchée et n'est pas résolue en redémarrant l'ordinateur, désinstallez les filtres de contenu réseau de niveau pare-feu qui ne sont plus nécessaires et redémarrez le connecteur. |
| 14 |
Trop d'extensions du système de sécurité des terminaux |
Trop d'extensions système Endpoint Security |
MacOS limite le nombre d'extensions système Endpoint Security pouvant être exécutées. Le connecteur Mac nécessite l'une de ces extensions système Endpoint Security pour les fonctions « Surveiller les copies et les déplacements de fichiers » et « Surveiller l'exécution du processus » de la stratégie .
Pour supprimer cette erreur, désinstallez les extensions système Endpoint Security qui ne sont plus nécessaires et redémarrez le connecteur. |
| 15 |
L'extension système nécessite un accès complet au disque |
L'extension système nécessite un accès complet au disque |
Les extensions système macOS du connecteur Mac ne peuvent pas accéder aux fichiers utilisateur à analyser. Ouvrez les préférences système de sécurité et de confidentialité et accordez un accès disque complet à l'extension de sécurité AMP.
Des détails supplémentaires, notamment les paramètres de profil MDM pour l'autorisation à distance d'un accès complet au disque avec des extensions système, sont disponibles dans cette note technique.
Notez qu'un bogue sur macOS 11.0.0 peut entraîner la suppression spontanée du paramètre d'accès complet au disque lors d'un redémarrage après qu'il a été accordé. Ce bogue a été corrigé dans macOS 11.0.1. |
| 17 |
Accès orbital au disque complet non accordé |
Accès orbital au disque complet non accordé |
Orbital nécessite un accès complet au disque pour accéder aux fichiers et répertoires protégés pour les requêtes. Ouvrez les préférences système de sécurité et de confidentialité et accordez un accès disque complet à Cisco Orbital. |
18
|
La surveillance des événements du connecteur est surchargée |
La surveillance des événements du connecteur est surchargée |
Cette erreur est déclenchée lorsque le connecteur est soumis à une charge importante en raison d'un nombre écrasant d'événements système. La protection du système est limitée et le connecteur surveille un plus petit ensemble d'événements critiques du système jusqu'à ce que l'activité globale du système soit réduite. Cette erreur peut être une indication d'une activité malveillante du système ou d'applications très actives sur le système. Si une application active est bénigne et approuvée par l'utilisateur, elle peut être ajoutée à un jeu d'exclusions de processus pour réduire la charge de surveillance sur le connecteur. Cette action peut être suffisante pour effacer le défaut. Si aucun processus bénin ne provoque une charge importante, une enquête est nécessaire pour déterminer si l'activité accrue est due à un processus malveillant. Si le connecteur est sous de courtes périodes de charge lourde, alors il est possible que ce défaut peut se dissiper lui-même. Si cette erreur est fréquemment signalée, qu'aucun processus bénin n'entraîne une charge importante et qu'aucun processus malveillant n'a été détecté, le système doit être reconfiguré pour gérer les charges plus lourdes. |
Commentaires