简介
当连接器检测到影响连接器正常工作的条件时,它可能会通知您发生故障事件。同样,“已清除故障”事件表示该情况不再存在。
连接器故障表
下表介绍了故障和相应的诊断步骤。
| 故障ID |
门户文本 |
终端
描述 |
故障排除/解决 |
| 1 |
内核模块未授权 |
未授权系统扩展 |
已阻止执行连接器的系统扩展。
打开安全和隐私系统首选项并批准延期。
或者,可以使用移动设备管理(MDM)配置文件远程批准系统扩展。 |
| 2 |
版本不匹配 |
系统扩展版本不匹配 |
安装的连接器软件损坏。重新安装连接器。
注意:运行Mac Connector版本1.14.0及更高版本时,可以通过重新启动计算机来清除此故障的某些发生。 |
| 3 |
未授予磁盘访问权限 |
未授予全盘访问权限 |
连接器无法访问要扫描的用户文件。打开“安全和隐私系统首选项”(Security and Privacy System Preferences)并授予AMP服务的全磁盘访问权限。 对于1.14.0以前的Mac Connector版本,此过程被命名为/opt/cisco/amp/ampdaemon。 对于Mac Connector版本1.14.0及更高版本,以下两个应用需要完全磁盘访问,具体取决于macOS版本:
- 面向终端的AMP服务(所有macOS版本均需要)
- AMP安全扩展(MacOS 10.15.5及更高版本上需要)
对于Mac Connector版本1.14.1及更高版本,以下两个应用需要完全磁盘访问,具体取决于macOS版本:
- 面向终端的AMP服务(所有macOS版本均需要)
- AMP安全扩展(MacOS 11和更新版本上需要)
有关其他详细信息,请参阅此技术说明。 |
| 4 |
未加载内核模块 |
无法加载系统扩展;请重新安装连接器 |
对于1.14.0以前的Mac Connector版本,或者在macOS 10.14或10.15上运行时,此故障表示连接器的系统扩展是正确的版本,已批准执行,但仍无法加载。有关详细信息,请参阅/Library/Logs/Cisco/ampdaemon.log。卸载并重新安装连接器也可能清除此故障。
|
| 5 |
扫描服务用户不可用 |
扫描服务用户不可用 |
连接器无法创建用户来运行文件扫描进程。连接器可通过使用根用户执行文件扫描来解决此问题。这偏离了预期设计,不符合预期。
如果cisco-amp-scan-svc用户或组已删除,或用户和组的配置已更改,则重新安装连接器将重新创建具有必要配置的用户和组。有关其他详细信息,请参阅/Library/Logs/Cisco/ampdaemon.log。
|
| 6 |
扫描服务频繁重新启动 |
扫描服务频繁重新启动 |
连接器的文件扫描进程遇到反复故障,连接器已重新启动以尝试清除故障。系统上的一个或多个文件可能导致扫描算法在扫描时崩溃。连接器会持续进行尽力扫描。
如果连接器启动后10分钟内未自动清除此故障,则表示需要进一步用户干预,并且连接器的执行扫描能力将下降。
有关详细信息,请参阅/Library/Logs/Cisco/ampdaemon.log和/Library/Logs/Cisco/ampscansvc.log。 |
| 7 |
扫描服务无法启动 |
扫描服务无法启动 |
连接器的文件扫描进程无法启动,连接器已重新启动以尝试清除故障。出现此故障时,文件扫描功能被禁用。
如果在加载新安装的病毒定义文件(.cvd文件)时遇到错误,可能会触发此故障。在激活新的.cvd文件之前,连接器会执行许多完整性和稳定性检查,以防止发生此故障。重新启动后,连接器将删除所有无效的.cvd文件,以便连接器可以恢复。
如果在重新启动连接器时未清除此故障,则表明需要进一步用户干预。如果每个.cvd更新重复此故障,则表明连接器的.cvd文件完整性检查未正确检测到无效的.cvd文件。
有关详细信息,请参阅/Library/Logs/Cisco/ampdaemon.log和/Library/Logs/Cisco/ampscansvc.log。
|
| 10 |
加载内核模块或系统扩展需要重新启动 |
加载系统扩展需要重新启动 |
重新启动系统。
对于Mac连接器版本1.11.1和1.14.0,如果系统扩展无法加载,可能会引发此故障。在这种情况下,可以通过重新安装连接器来清除此故障。 请注意,如果系统上安装的网络内容过滤器系统扩展太多,Mac Connector 1.14.1及更高版本可能会引发此故障。如果重新启动计算机未清除此故障,请参阅以下故障13指南了解更多详细信息。 |
| 12 |
不允许使用网络过滤器 |
不允许使用网络过滤器 |
策略中的“启用设备流关联”功能需要网络过滤器。要清除此故障,请允许“面向终端的AMP服务”过滤终端上的网络内容。
通过点击Agent小菜单中列出的活动故障并按照提供的指导,可以访问允许网络过滤器的macOS对话框。
此技术说明中提供了其他详细信息,包括用于远程授权网络过滤器的MDM配置文件设置。 |
| 13 |
网络内容过滤器系统扩展太多 |
网络内容过滤器系统扩展太多 |
对于Mac Connector 1.14.0,在启动网络内容过滤器系统扩展时,由于macOS Bug,经常会引发此故障。重新启动计算机将清除此故障。 策略中的“启用设备流关联”功能需要使用防火墙级macOS网络内容过滤器。MacOS限制可以运行的网络内容过滤器的数量。 如果引发此故障,并且重新启动计算机未将其清除,请卸载不再需要的防火墙级网络内容过滤器,然后重新启动连接器。 |
| 14 |
终端安全系统扩展过多 |
Endpoint Security系统扩展太多 |
MacOS限制可以运行的终端安全系统扩展的数量。对于策略中的“监控文件复制和移动”和“监控进程执行”功能,Mac Connector需要以下终端安全系统扩展名之一。
要清除此故障,请卸载不再需要的终端安全系统扩展并重新启动连接器。 |
| 15 |
系统扩展需要全磁盘访问 |
系统扩展需要全磁盘访问 |
Mac Connector的macOS系统扩展无法访问要扫描的用户文件。打开“安全和隐私系统首选项”(Security & Privacy System Preferences)并授予AMP安全扩展的完全磁盘访问权限。
此技术说明中提供了更多详细信息,包括用于通过系统扩展对全磁盘访问进行远程授权的MDM配置文件设置。
请注意,MacOS 11.0.0上的Bug可能导致在重新引导时自发清除全盘访问设置。 此Bug已在macOS 11.0.1中修复。 |
| 17 |
未授予轨道全磁盘访问权限 |
未授予轨道全磁盘访问权限 |
Orbal需要全磁盘访问才能访问受保护的文件和目录以进行查询。打开“安全和隐私系统首选项”,并授予Cisco Orbal全磁盘访问权限。 |
18
|
连接器事件监控过载 |
连接器事件监控过载 |
当连接器由于大量系统事件而承受重负载时,会发生此故障。系统保护受限,并且连接器会监控较小的一组系统关键事件,直到整体系统活动减少。 此故障可能表示存在恶意的系统活动,或者表示系统上存在非常活跃的应用。 如果活动应用是良性的且受用户信任,则可以将它添加到进程排除集,以减少连接器上的监控负载。此操作足以清除故障。 如果没有良性进程导致负载过重,则需要进行调查,以确定活动增加是否由恶意进程引起。 如果接头在短时间内承受重载,则此故障可能会自行消除。 如果此故障频繁发生,则不会出现会导致负载过重的良性进程,并且未发现恶意进程,则需要重新调配系统来处理负载过重的进程。 |
反馈