はじめに
このドキュメントでは、適切な機能に影響を与える状態が検出または解決された場合に、Linuxコネクタが通知するために発生またはクリアする障害について説明します。
セキュアエンドポイントLinuxコネクタの障害
障害5:スキャンサービスユーザが使用できない
条件
コネクタがファイルスキャンプロセスを実行するためのcisco-amp-scan-svcユーザの作成に失敗しました。回避策として、コネクタはrootユーザを使用してファイルスキャンを実行するようにフォールバックされています。これは意図した設計と異なるため、修正する必要があります。
解決方法
- cisco-amp-scan-svcユーザまたはグループが削除されているか、設定が変更されている場合は、コネクタを再インストールし、必要な設定でユーザとグループを再作成します。詳細は/var/log/cisco/ampdaemon.logを参照してください。
- ユーザ/グループの作成が/etc/login.defsの設定で制限されている場合、Linuxコネクタインストーラの実行中にユーザおよびグループの作成をcisco-amp-scan-svcユーザおよびグループに許可するために、このファイルを一時的に変更する必要があります。これを行うには、
/etc/login.defsのUSERGROUPS_ENABをnoからyesに変更します。
- 別のプログラムがコネクタのディレクトリ権限の1つを変更した場合(/opt/ciscoや子ディレクトリなど)、ディレクトリ権限をデフォルト(0755など)に戻します。今後/opt/ciscoディレクトリまたはその子ディレクトリを変更するプログラムがないことを確認してから、コネクタサービスを再起動します。
障害6:スキャンサービスが頻繁に再起動する
条件
コネクタファイルのスキャンプロセスでエラーが繰り返し発生し、エラーをクリアするためにコネクタが再起動されました。コネクタはベストエフォート方式でスキャンを続行します。
解決方法
システム上の1つ以上のファイルが原因で、スキャン時にスキャンアルゴリズムがクラッシュする可能性があります。コネクタの再起動後10分以内にこの障害が自動的にクリアされない場合は、さらに調査が必要です。コネクタのスキャン機能は、問題が解決されるまで低下します。
詳細は/var/log/cisco/ampdaemon.logと/var/log/cisco/ampscansvc.logを参照してください。
エラー7:スキャンサービスを開始できませんでした
条件
コネクタファイルのスキャンプロセスの開始に失敗し、エラーをクリアするためにコネクタが再起動されました。このエラーが発生している間、ファイルのスキャンは無効になります。
解決方法
この障害は、新しくインストールされたウイルス定義ファイル(.cvdファイル)のロード時にエラーが発生した場合にトリガーされる可能性があります。コネクタは、新しい.cvdファイルをアクティブ化してこの障害を回避する前に、整合性と安定性に関する多数のチェックを実行します。再起動時に、コネクタは無効な.cvdファイルをすべて削除し、コネクタを再開できるようにします。
- コネクタの再起動後にこのエラーがクリアされない場合は、さらにユーザの介入が必要です。この障害が各.cvdアップデートで繰り返される場合、無効な.cvdファイルが、コネクタの.cvdファイル整合性チェックによって適切に検出されていません。
- コンピューターの使用可能なメモリが不足している場合は、スキャナーサービスを開始できない可能性があります。『Secure Endpoint User Guide Secure Endpoint User Guide』の「Linux System Requirements」を参照してください。
詳細については、/var/log/cisco/ampdaemon.logおよび/var/log/cisco/ampscansvc.logを参照してください。
エラー8:リアルタイムファイルシステムモニタの起動に失敗した
条件
コネクタポリシーで[ファイルのコピーと移動を監視する]が有効になっている場合、コネクタはファイルシステムアクティビティの監視に必要な基本カーネルモジュールを読み込むことができません。この障害が発生している間は、ファイルシステムの監視は行えません。
解決方法
- システムのUEFIセキュアブートを無効にします。
- セキュアブートが無効になっている場合は、コネクタに付属の
ampfsmカーネルモジュールと、システムにインストールされているシステムカーネルまたはその他のサードパーティ製カーネルモジュールとの間に互換性がない可能性があります。詳細は/var/log/messagesを参照してください。
- コネクタがサポートされていないカーネルバージョンで動作している場合は、サポートされているカーネルバージョンをインストールするか、現在実行中のシステムカーネル用のカスタム
ampfsmカーネルモジュールを構築します。詳細については、「Cisco Secure Endpoint Linuxコネクタカーネルモジュールの構築」を参照してください。
エラー9:リアルタイムネットワークモニタを起動できない
条件
コネクタポリシーで[デバイスフローの関連付けを有効にする]が有効になっている場合、コネクタはネットワークアクティビティの監視に必要な基になるカーネルモジュールを読み込めません。このエラーが発生している間は、ネットワークの監視は行えません。
解決方法
- システムのUEFIセキュアブートを無効にします。
- セキュアブートが無効になっている場合は、コネクタに付属の
ampnetworkflowカーネルモジュールと、システムにインストールされているシステムカーネルまたはその他のサードパーティ製カーネルモジュールとの間に互換性がない可能性があります。詳細は/var/log/messagesを参照してください。
- コネクタがサポートされていないカーネルバージョンで実行されている場合は、サポートされているカーネルバージョンをインストールするか、現在実行中のシステムカーネル用のカスタム
ampnetworkflowカーネルモジュールを構築します。詳細については、「Cisco Secure Endpoint Linuxコネクタカーネルモジュールの構築」を参照してください。
障害11:必要なカーネル開発パッケージが見つかりません
条件
コネクタには、次のいずれかが有効であることが必要です。
- 現在のカーネルで
CONFIG_DEBUG_INFO_BTFが有効になっている場合、または
- ファイルシステムとネットワークのイベントを監視するために、正しいカーネルヘッダパッケージがインストールされている。
これらの条件がどちらも満たされない場合、このエラーが発生し、コネクタはデグレードモードでファイルシステムおよびネットワークイベントを監視します。
解決方法
- カーネルをアップグレードし、コネクタを再起動します。これは推奨されるソリューションです。
- エラーが続く場合は、不足しているカーネルヘッダーパッケージをインストールします。
- RPMベースのディストリビューションの場合は、
kernel-develパッケージをインストールします。
- Oracle Linux UEKディストリビューションの場合は、
kernel-uek-develパッケージをインストールします。
- Debianベースのディストリビューションの場合は、
linux-headersパッケージをインストールします。
- SUSEディストリビューションの場合は、
kernel-default-develパッケージをインストールします。
詳細については、「Secure Endpoint Linuxコネクタ障害11のトラブルシューティング」を参照してください。
障害16:互換性のないカーネル
条件
コネクタは現在実行中のコネクタと互換性がなく、コネクタポリシーで[ファイルのコピーと移動を監視する]または[デバイスフローの関連付けを有効にする]が有効になっています。
解決方法
カーネルをサポートされているバージョンにダウングレードするか、このカーネルをサポートする新しいバージョンにコネクタをアップグレードします。
サポートされているカーネルのバージョンの詳細については、『Linuxのシステム要件』を参照してください。
障害18:コネクタイベント監視が過負荷です
条件
システムイベント数が非常に多いため、コネクタに大きな負荷がかかる。システム保護は制限されており、システム全体のアクティビティが低下するまで、コネクタは比較的小さなシステムクリティカルイベントのセットを監視します。
解決方法
このエラーは、悪意のあるシステムアクティビティまたはシステム上の非常にアクティブなアプリケーションを示している可能性があります。
- アクティブなアプリケーションが良性で、ユーザーによって信頼されている場合、そのアプリケーションをプロセス除外セットに追加して、コネクタの監視負荷を軽減できます。このアクションで十分に障害が解消される場合があります。
- 良性のプロセスが大きな負荷を引き起こさない場合は、アクティビティの増加が悪意のあるプロセスによるものかどうかを判断するために何らかの調査が必要になります。
- コネクタに短期間の高負荷が発生した場合は、この障害が自然に解消される可能性があります。
- このエラーが頻繁に発生し、高負荷を引き起こす無害なプロセスがなく、悪意のあるプロセスが検出されない場合は、システムを再プロビジョニングして、高負荷を処理する必要があります。
詳細については、「Secure Endpoint Mac/Linux Connector Fault 18のトラブルシューティング」を参照してください。
障害19: SELinuxポリシーが見つからないか無効になっている
条件
システムのSecure Enterprise Linux(SELinux)ポリシーにより、コネクタがシステムアクティビティを監視できません。
SELinuxが有効でenforcingモードの場合、コネクタはSELinuxポリシーで次の規則を要求します。
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Enterprise Linuxベースのシステムでは、このルールはデフォルトのSELinuxポリシーには存在しません。インストールまたはアップグレードの際、コネクタはcisco-secure-bpfという名前のSELinux Policy Module(SELinuxポリシーモジュール)のインストールを介してこのルールの追加を試行します。cisco-secure-bpfのインストールとロードに失敗した場合、または無効にした場合は、このエラーが発生します。
解決方法
このエラーを解決するには、policycoreutils-pythonシステムパッケージがインストールされていることを確認します。次のいずれか:
- コネクタを再インストールまたはアップグレードして、
cisco-secure-bpfのインストールをトリガーする
- 既存のSELinuxポリシーに手動でルールを追加し、コネクタを再起動します。
SELinuxポリシーを変更してこの障害を解決する詳細な手順については、「SELinuxポリシー障害」を参照してください。
フィードバック