Guida alla risoluzione dei problemi di base per il connettore Linux di AMP for Endpoints

Opzioni per il download

  • PDF     (455.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (415.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (437.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:7 giugno 2020
ID documento:215625

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto un metodo di base per risolvere i problemi relativi alle prestazioni on Cisco Advanced Malware Protection (AMP) per Endpoint Linux Connector.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • AMP for Endpoints
    • Linux/UnixSistemi operativi

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Red Hat Enterprise Linux (RHEL) / Sistema Operativo Aziendale Della Community (Cent)OS) versioni 6.10 e 7.7
    • AMP For Endpoints Linux Connettore version 1.11.1

    Per un elenco completo delle versioni compatibili di AMP con il sistema operativo Linux, fare riferimento a questo articolo.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il connettore AMP esegue la scansione di tutti i file attivi (quelli che si spostano, si copiano e/o si modificano da soli) su una macchina a meno che non sia esplicitamente indicato di non farlo, ciò causa inevitabilmente problemi di prestazioni se vengono eseguiti troppi processi e operazioni mentre il connettore è attivo, con conseguente elevato utilizzo della CPU, rallentamenti e in alcuni casi software che non verrà eseguito o eseguito lentamente. Inoltre, il connettore AMP può bloccare i file in base alla loro reputazione cloud, che a volte può essere errata (falso positivo). La soluzione a entrambi i problemi consiste nell'escludere tali percorsi e processi; in caso di problemi falsi positivi, non correlati alle prestazioni o problemi di prestazioni che non sembrano essere risolti tramite questa guida, è consigliabile aumentare il supporto ticket.

    Il flusso di risoluzione dei problemi relativi alle prestazioni di base è il seguente:

    • Raccogliere un bundle di debug durante la riproduzione del problema.
    • Eseguire lo strumento di supporto AMP
    • Esaminare i file pertinenti
    • Aggiungere esclusioni in base alle esigenze

    Risoluzione dei problemi

    Come raccogliere un bundle di debug

    Un bundle di debug è un file zip che contiene informazioni di debug dettagliate (come i log di scansione) sul connettore. Questo pacchetto è essenziale per risolvere la maggior parte dei problemi relativi al connettore AMP for Endpoints. Per raccogliere un bundle di debug, seguire i passaggi forniti in Raccolta di dati diagnostici da AMP for Endpoints Linux Connector.

    Quali informazioni vengono raccolte dallo strumento di supporto amp e viene eseguito un bundle di debug?

    L'input del processo del bundle di debug indica che ampsupport esegue alcuni comandi di raccolta dei log, come mostrato nell'immagine.

    Come leggere i registri di base del bundle Linux per identificare i percorsi e i processi interessati

    Il bundle di debug di Linux AMP for Endpoints a pletora di informazioni utili, tuttavia, per la risoluzione dei problemi relativi alle prestazioni di base, è possibile esaminare solo alcuni file, fileops.txt, fiescans.txt ed excs.txt, come mostrato nell'immagine.

    Il file di testo Operazioni file (fileops) funge da strumento principale per la risoluzione dei problemi relativi alle prestazioni. durante l'esecuzione del connettore, vengono elencate tutte le operazioni attualmente attive sull'endpoint. Percorsi da aggiungere al set di esclusione dei criteri se ritenuto necessario/sicuro.

    Si legge come segue:

    • <Numero di scansioni eseguite sul percorso durante l'esecuzione del processo di raccolta del bundle> /<Percorso analizzato>

    Esempio di analisi:

    • 1 /homet/user/.mozila/Firefox/

    Il file di testo Scansioni file (filescan) elenca tutti i processi in esecuzione durante la raccolta delle informazioni di debug da parte del connettore.

    Si legge così:

    • <Tempo di esecuzione> , <Tipo file>, <Tipo operazione>, <Percorso processo>, <Percorso processo padre> , <ID processo>, <ID processo padre> , <Firma SHA (non SHA256)> <Dimensione file>

    Il file di testo Esecuzione file (excs) elenca tutti i comandi Linux utilizzati dai processi attivi sul connettore durante la raccolta del bundle da parte del connettore.

    Avviso: i percorsi elencati non devono essere esclusi dai criteri AMP, poiché si tratta di binari (/bin) e binari di sistema (/sbin) utilizzati da tutti i processi. Tuttavia, questo elenco può risultare utile per capire quali azioni vengono eseguite dai diversi processi in esecuzione sul computer di destinazione.

    Una volta identificato, il percorso deve essere escluso tramite criteri, seguire le best practice per AMP for Endpoint Exclusions.

    Le esclusioni dei processi gestite dai connettori Mac e Linux vengono aggiunte in modo simile tramite criteri, tuttavia il metodo differisce leggermente: Esclusioni dei processi in macOS e Linux.

    Una volta aggiunte le esclusioni, verificare e monitorare se il problema persiste. Contattare il supporto TAC AMP.

    TAC Authored

    Contributo dei tecnici Cisco

    • Juan Castillero
      Cisco TAC Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti