Introduzione
Questo documento descrive gli errori che il connettore Linux genera/cancella per notificare quando vengono rilevate/risolte condizioni che influiscono sul corretto funzionamento.
Errori del connettore Linux dell'endpoint sicuro
Errore 5: utente del servizio di digitalizzazione non disponibile
Condizione
Il connettore non è riuscito a creare l'utente cisco-amp-scan-svc per eseguire il processo di scansione dei file. Per risolvere il problema, il connettore è tornato indietro per utilizzare l'utente root per eseguire le scansioni dei file. Questo si discosta dal progetto previsto e deve essere corretto.
Risoluzione
- Se l'utente o il gruppo cisco-amp-scan-svc è stato eliminato o le configurazioni sono state modificate, reinstallare il connettore per ricreare l'utente e il gruppo con le configurazioni necessarie. Per ulteriori informazioni, visitare il sito /var/log/cisco/ampdaemon.log.
- Se la creazione di utenti/gruppi è limitata dalle impostazioni in /etc/login.defs, questo file deve essere temporaneamente modificato durante l'esecuzione del programma di installazione del connettore Linux per consentire la creazione dell'utente e del gruppo cisco-amp-scan-svc. A tale scopo, modificare
USERGROUPS_ENAB in /etc/login.defs da no a yes.
- Se un altro programma ha modificato una delle autorizzazioni per la directory del connettore (ad esempio /opt/cisco o una directory secondaria), ripristinare le autorizzazioni predefinite per la directory (ad esempio 0755). Verificare che nessun programma futuro modifichi la directory /opt/cisco o una delle relative directory figlio, quindi riavviare il servizio connettore.
Errore 6: riavvio frequente del servizio di analisi
Condizione
Il processo di scansione dei file del connettore ha rilevato errori ripetuti e il connettore è stato riavviato nel tentativo di cancellare l'errore. La scansione del connettore proseguirà al massimo delle risorse.
Risoluzione
È possibile che uno o più file nel sistema causino l'arresto anomalo dell'algoritmo di digitalizzazione durante la digitalizzazione. Se l'errore non viene risolto automaticamente entro 10 minuti dal riavvio del connettore, è necessario eseguire ulteriori verifiche. La capacità del connettore di eseguire scansioni risulterà ridotta fino alla risoluzione del problema.
Per ulteriori informazioni, vedere /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log.
Errore 7: Impossibile Avviare Il Servizio Di Digitalizzazione
Condizione
Impossibile avviare il processo di scansione del file del connettore. Il connettore è stato riavviato nel tentativo di eliminare il problema. L'analisi dei file è disattivata quando viene generato l'errore.
Risoluzione
Questo errore può essere attivato se si verifica un errore durante il caricamento di un file di definizione dei virus (file con estensione cvd) appena installato. Il connettore esegue una serie di controlli di integrità e stabilità prima di attivare nuovi file .cvd per evitare questo errore. Al riavvio, il connettore rimuove tutti i file .cvd non validi in modo che il connettore possa riprendere.
- Se l'errore non viene risolto dopo il riavvio del connettore, è necessario un ulteriore intervento dell'utente. Se l'errore si ripete con ogni aggiornamento .cvd, i controlli di integrità del file .cvd del connettore non rilevano correttamente un file .cvd non valido.
- Se la memoria disponibile nel computer è insufficiente, il servizio scanner potrebbe non essere in grado di avviarsi. Consultare la guida ai requisiti di sistema di Linux Secure Endpoint User Guide Secure Endpoint User Guide.
Per ulteriori informazioni, vedere /var/log/cisco/ampdaemon.log e /var/log/cisco/ampscansvc.log.
Errore 8: Impossibile Avviare Il Monitoraggio Del File System In Tempo Reale
Condizione
Il connettore non è in grado di caricare il modulo del kernel sottostante necessario per il monitoraggio dell'attività del file system quando nel criterio del connettore è abilitato "Controlla copie e spostamenti file". Monitoraggio del file system non disponibile durante la generazione dell'errore.
Risoluzione
- Disabilitare l'avvio protetto UEFI sul sistema.
- Se l'opzione Secure Boot è disabilitata, potrebbe esserci un'incompatibilità tra il modulo kernel
ampfsm fornito con il connettore e il kernel di sistema o altri moduli kernel di terze parti installati nel sistema. Per ulteriori informazioni, vedere /var/log/messages.
- Se il connettore è in esecuzione su una versione del kernel non supportata, installare una versione del kernel supportata o creare un modulo del kernel
ampfsm personalizzato per il kernel del sistema in esecuzione corrente. Per ulteriori informazioni, vedere Creazione dei moduli kernel dei connettori Linux di Cisco Secure Endpoint.
Errore 9: Impossibile Avviare Realtime Network Monitor
Condizione
Il connettore non è in grado di caricare il modulo del kernel sottostante necessario per il monitoraggio dell'attività di rete quando per il criterio del connettore è abilitata l'opzione "Abilita correlazione flusso dispositivo". Monitoraggio della rete non disponibile durante la generazione dell'errore.
Risoluzione
- Disabilitare l'avvio protetto UEFI sul sistema.
- Se l'avvio protetto è disabilitato, potrebbe esserci un'incompatibilità tra il modulo kernel
ampnetworkflow fornito con il connettore e il kernel di sistema o altri moduli kernel di terze parti installati nel sistema. Per ulteriori informazioni, vedere /var/log/messages.
- Se il connettore è in esecuzione su una versione del kernel non supportata, installare una versione del kernel supportata o creare un modulo del kernel
ampnetworkflow personalizzato per il kernel del sistema in esecuzione corrente. Per ulteriori informazioni, vedere Creazione dei moduli kernel dei connettori Linux di Cisco Secure Endpoint.
Errore 11: Manca Il Pacchetto Di Sviluppo Del Kernel Richiesto
Condizione
Il connettore richiede che sia valida una delle seguenti condizioni:
- Il kernel corrente ha
CONFIG_DEBUG_INFO_BTF abilitato oppure
- Per monitorare gli eventi del file system e di rete, viene installato il pacchetto di intestazione del kernel corretto.
Se nessuna di queste condizioni è soddisfatta, l'errore verrà generato e il connettore eseguirà il monitoraggio del file system e degli eventi di rete in modalità danneggiata.
Risoluzione
- Aggiornare il kernel e riavviare il connettore. Questa è la soluzione preferita.
- Se l'errore persiste, installare il pacchetto di intestazione del kernel mancante:
- Per le distribuzioni basate su RPM, installare il pacchetto
di sviluppo del kernel.
- Per le distribuzioni UEK di Oracle Linux, installare il pacchetto
kernel-uek-devel.
- Per le distribuzioni basate su Debian, installare il pacchetto
linux-headers.
- Per le distribuzioni SUSE, installare il pacchetto
kernel-default-devel.
per ulteriori informazioni, fare riferimento a Risoluzione dei problemi relativi all'errore del connettore Linux dell'endpoint sicuro 11.
Errore 16: kernel non compatibile
Condizione
Il connettore non è compatibile con il connettore in esecuzione e per il criterio del connettore è attivata l'opzione "Esegui monitoraggio copie e spostamenti file" o "Abilita correlazione flusso dispositivo".
Risoluzione
Effettuare il downgrade del kernel a una versione supportata o aggiornare il connettore a una versione più recente che supporta questo kernel.
Fare riferimento ai requisiti di sistema di Linux per ulteriori dettagli sulle versioni del kernel supportate.
Errore 18: monitoraggio degli eventi del connettore sovraccarico
Condizione
Il connettore è sottoposto a un carico pesante a causa di un numero eccessivo di eventi di sistema. La protezione del sistema è limitata e il connettore monitorerà un set ridotto di eventi critici del sistema fino a ridurre l'attività complessiva del sistema.
Risoluzione
Questo errore potrebbe indicare un'attività di sistema dannosa o applicazioni molto attive nel sistema.
- Se un'applicazione attiva è benigna e considerata attendibile dall'utente, può essere aggiunta a un set di esclusione di processo per ridurre il carico di monitoraggio sul connettore. Questa azione può essere sufficiente per eliminare il guasto.
- Se nessun processo innocuo provoca un carico di lavoro elevato, è necessaria un'indagine per determinare se l'aumento dell'attività è dovuto a un processo dannoso.
- Se il connettore è sottoposto a brevi periodi di carico elevato, è possibile che questo errore si risolva da solo.
- Se l'errore viene generato frequentemente, non esistono processi innocui che causano un carico elevato e non sono stati rilevati processi dannosi, è necessario eseguire nuovamente il provisioning del sistema per gestire carichi più pesanti.
Per ulteriori informazioni, fare riferimento a Risoluzione dei problemi relativi all'errore del connettore Mac/Linux dell'endpoint sicuro 18.
Errore 19: il criterio SELinux è mancante o disabilitato
Condizione
La policy Secure Enterprise Linux (SELinux) sul sistema impedisce al connettore di monitorare l'attività del sistema.
Se SELinux è abilitato e in modalità di applicazione, il connettore richiede questa regola nella policy SELinux:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Nei sistemi basati su Enterprise Linux, questa regola non è presente nel criterio SELinux predefinito. Durante un'installazione o un aggiornamento, il connettore tenta di aggiungere questa regola tramite l'installazione di un SELinux Policy Module denominato cisco-secure-bpf. Se cisco-secure-bpf non viene installato e caricato o è disabilitato, l'errore viene generato.
Risoluzione
Per risolvere il problema, verificare che il pacchetto di sistema policycoreutils-python sia installato. Quindi:
- Reinstallare o aggiornare il connettore per attivare l'installazione di
cisco-secure-bpf, o
- Aggiungere manualmente la regola al criterio SELinux esistente e riavviare il connettore.
Per istruzioni più dettagliate sulla modifica della policy SELinux per risolvere il problema, vedere SELinux Policy Fault.
Feedback