排除安全終端Mac/Linux聯結器故障18

簡介

本文檔介紹MacOS和Linux安全終端聯結器上的故障18。

錯誤18：聯結器事件監視超載

行為保護引擎可改善聯結器對系統活動的可視性；隨著可視性的提高，聯結器的系統活動監控更可能被系統上的活動量所淹沒。如果出現這種情況，聯結器會引發故障18並進入降級模式；有關故障18的詳細資訊，請參閱macOS和Linux的Cisco安全終端聯結器故障文章。在聯結器上，可以在Secure Endpoint CLI中使用status 命令來檢視聯結器是否以降級模式運行以及是否出現任何故障。如果發生故障18，則在Secure Endpoint CLI中運行status 命令會顯示此故障，嚴重性可能為以下兩種：

1. 故障18（嚴重性為嚴重）
   

   ampcli> status
   Status:                 Connected
   Mode:                   Degraded
   Scan:                   Ready for scan
   Last Scan:              2023-06-19 02:02:03 PM
   Policy:                 Audit Policy for FireAMP Linux (#1)
   Command-line:           Enabled
   Orbital:                Disabled
   Behavioural Protection: Protect
   Faults:                 1 Major
   Fault IDs:      18
                   ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.

   
   
2. 故障18（嚴重性）
   

   ampcli> status
   Status:                 Connected
   Mode:                   Degraded
   Scan:                   Ready for scan
   Last Scan:              2023-06-19 02:02:03 PM
   Policy:                 Audit Policy for FireAMP Linux (#1)
   Command-line:           Enabled
   Orbital:                Disabled
   Behavioural Protection: Protect
   Faults:                 1 Critical
   Fault IDs:      18
                   ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.

聯結器事件監視超載：主要嚴重性

當以嚴重性引發故障18時，這意味著聯結器事件監視超載，但仍可以監視較小的一組系統事件。聯結器會切換成主要嚴重性並監控較少事件，這些事件相當於早於1.22.0版的Linux聯結器和早於1.24.0版的macOS聯結器所提供的監控。如果系統事件泛洪較短，並且事件監視負載下降到可接受的範圍，則清除故障18並且聯結器恢復監視所有系統事件。如果系統事件泛洪變差，並且事件監控負載增加至臨界量，則故障18將升高至臨界嚴重性，並且聯結器將切換至臨界嚴重性。

聯結器事件監視超載：嚴重性

當故障18嚴重性為嚴重性時，這意味著聯結器正在經歷大量的系統事件，使聯結器處於危險狀態。聯結器會切換成更嚴格的嚴重性臨界值。在此狀態下，聯結器僅監控重要事件，以允許聯結器進行清理並專注於恢復。如果事件泛洪最終減少到更可接受的範圍，則故障將被完全清除，聯結器將恢復監控所有系統事件。

故障操作指南

如果聯結器曾經引發嚴重性或嚴重性為故障18，則必須採取一些步驟來調查和解決問題。解決故障18的步驟因發生故障的時間和原因而異：

1. 聯結器全新安裝時引發故障18
2. 最近對作業系統進行了更改後，出現了故障18
3. 第18故障自動引發

4. 在重新布建已安裝聯結器的機器或將聯結器更新為版本(Linux) 1.22.0+或(macOS) 1.24.0+時，發生錯誤18

案例1：全新安裝

如果在重新安裝聯結器時觀察到故障18和降級模式，則必須首先確保系統滿足最低系統要求。在驗證要求是否滿足或超過最低要求之後，如果故障仍然存在，您必須檢查系統上最活躍的進程。您可以在終端機中使用 top 指令（或類似指令）檢視Linux系統上目前的作用中處理作業。 如果已知佔用最多CPU量的進程是良性的，則可以建立新的進程排除項以排除那些進程被監視。 

範例情境：

假設全新安裝後，透過安全終端CLI顯示故障18和降級模式。在Ubuntu電腦上運行top 命令將顯示以下活動進程：

Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie %Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process 4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal- 117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound 34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound 1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg 34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound 2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell 132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events 6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon 741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd 969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint 2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc 1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd 3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp 4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp 5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq 6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns 8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri 10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq 

我們看到一個非常活躍的過程，在本例中稱為trusted_process 。在本例中，我熟悉這一過程並且值得信任，因此沒有理由懷疑這一過程。要清除故障18，可以將受信任的進程增加到門戶中的進程排除中。 請參閱配置和辨識Cisco安全終端排除文章，瞭解建立排除的最佳實踐。

案例2：最近的變更

如果您最近對作業系統做了變更（例如安裝新程式），則如果這些新的變更增加系統活動，就會發生故障18和降級模式。請使用在全新安裝案例中概述的相同補救策略，但會查詢與最近更改相關的進程，例如由新安裝的程式運行的新進程。

案例3：惡意活動

行為保護引擎會增加受監控的系統活動型別。這使聯結器對系統有更寬廣的視角，並具備檢測更複雜行為攻擊的能力。但是，監控大量系統活動也會使聯結器面臨更大的拒絕服務(DoS)攻擊風險。如果聯結器系統活動過多，並且進入降級模式並出現故障18，它仍會繼續監控系統關鍵事件，直到整體系統活動減少。 系統事件可視性的損失降低了聯結器保護電腦的能力。 請務必立即調查系統的惡意程式。在系統上使用 top 命令（或類似命令）檢視當前的活動進程，並在確定任何可能的惡意進程時採取適當操作以補救情況。

案例4：聯結器需求

行為保護引擎可提高聯結器保護電腦活動的能力；但是，要做到這一點，它必須消耗比以前版本更多的資源。如果經常發生故障18，則不會出現導致負載過重的良性進程，並且電腦上似乎不存在任何惡意進程，則必須確保系統滿足最低系統要求。

另請參閱

• 使用Secure Endpoint Mac/Linux CLI
• Cisco Secure Endpoint Linux聯結器故障
• 思科安全終端Mac聯結器故障
• 配置和確定Cisco Secure Endpoint排除
• 安全終端使用手冊(PDF)