Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Instalación del agente de seguridad de carga de trabajo

10/14/2025 Colaboradores

PDF

Workload Security (anteriormente Cloud Secure) recopila datos de actividad del usuario utilizando uno o más agentes. Los agentes se conectan a los dispositivos de su inquilino y recopilan datos que se envían a la capa SaaS de seguridad de carga de trabajo para su análisis. Ver"Requisitos del agente" para configurar una máquina virtual agente.

Antes de empezar

El privilegio sudo es necesario para la instalación, la ejecución de scripts y la desinstalación.
Durante la instalación del agente, se crean un usuario local cssys y un grupo local cssys en la máquina. Si la configuración de permisos no permite la creación de un usuario local y en su lugar requiere Active Directory, se debe crear un usuario con el nombre de usuario cssys en el servidor de Active Directory.
Puede leer sobre la seguridad de Data Infrastructure Insights"aquí" .

Los cambios globales pueden tener un impacto potencial en sus sistemas ONTAP . Se recomienda encarecidamente realizar cambios que afecten a una gran cantidad de recopiladores de datos durante horas de menor actividad.

Pasos para instalar el agente

Inicie sesión como administrador o propietario de cuenta en su entorno de seguridad de carga de trabajo.
Seleccione Coleccionistas > Agentes > +Agente

El sistema muestra la página Agregar un agente:
Verifique que el servidor del agente cumpla con los requisitos mínimos del sistema.
Para verificar que el servidor del agente esté ejecutando una versión compatible de Linux, haga clic en Versiones compatibles (i).
Si su red utiliza un servidor proxy, configure los detalles del servidor proxy siguiendo las instrucciones en la sección Proxy.
Haga clic en el icono Copiar al portapapeles para copiar el comando de instalación.
Ejecute el comando de instalación en una ventana de terminal.
El sistema muestra el siguiente mensaje cuando la instalación se completa correctamente:

Después de terminar

Necesitas configurar un"Recopilador de directorios de usuarios" .
Necesita configurar uno o más recopiladores de datos.

Configuración de red

Ejecute los siguientes comandos en el sistema local para abrir los puertos que utilizará Workload Security. Si existe un problema de seguridad con respecto al rango de puertos, puede utilizar un rango de puertos menor, por ejemplo 35000:35100. Cada SVM utiliza dos puertos.

Pasos

sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
sudo firewall-cmd --reload

Sigue los siguientes pasos según tu plataforma:

CentOS 7.x / RHEL 7.x:

sudo iptables-save | grep 35000

Salida de muestra:

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
*CentOS 8.x / RHEL 8.x*:

sudo firewall-cmd --zone=public --list-ports | grep 35000(para CentOS 8)

Salida de muestra:

35000-55000/tcp

"Fijar" un agente en la versión actual

De forma predeterminada, Data Infrastructure Insights Workload Security actualiza los agentes automáticamente. Es posible que algunos clientes deseen pausar la actualización automática, lo que deja al Agente en su versión actual hasta que ocurra una de las siguientes situaciones:

El cliente reanuda las actualizaciones automáticas del Agente.
Han pasado 30 días. Tenga en cuenta que los 30 días comienzan el día de la actualización más reciente del Agente, no el día en que se pausa el Agente.

En cada uno de estos casos, el agente se actualizará en la próxima actualización de Seguridad de carga de trabajo.

Para pausar o reanudar las actualizaciones automáticas del agente, utilice las API cloudsecure_config.agents:

API de agente de CloudSecure para fijar y desanclar agentes

Tenga en cuenta que la acción de pausar o reanudar puede tardar hasta cinco minutos en surtir efecto.

Puede ver las versiones actuales de su Agente en la página Seguridad de carga de trabajo > Recopiladores, en la pestaña Agentes.

Versiones de WS Agent que se muestran en la tabla de agentes

Solución de problemas de errores del agente

Los problemas conocidos y sus resoluciones se describen en la siguiente tabla.

Problema: Resolución:

Problema:	Resolución:
La instalación del agente no logra crear la carpeta /opt/netapp/cloudsecure/agent/logs/agent.log y el archivo install.log no proporciona información relevante.	Este error se produce durante el arranque del agente. El error no se registra en los archivos de registro porque ocurre antes de que se inicialice el registrador. El error se redirige a la salida estándar y es visible en el registro de servicio mediante el `journalctl -u cloudsecure-agent.service` dominio. Este comando se puede utilizar para solucionar el problema con más detalle.
La instalación del agente falla con el mensaje 'Esta distribución de Linux no es compatible'. Saliendo de la instalación'.	Este error aparece cuando intenta instalar el Agente en un sistema no compatible. Ver "Requisitos del agente" .
La instalación del agente falló con el error: "-bash: unzip: comando no encontrado"	Instale, descomprima y luego ejecute el comando de instalación nuevamente. Si Yum está instalado en la máquina, intente “yum install unzip” para instalar el software de descompresión. Después de eso, vuelva a copiar el comando desde la interfaz de usuario de instalación del Agente y péguelo en la CLI para ejecutar la instalación nuevamente.
El agente se instaló y estaba ejecutándose. Sin embargo, el agente se detuvo de repente.	SSH a la máquina del agente. Verifique el estado del servicio del agente a través de `sudo systemctl status cloudsecure-agent.service` . 1. Compruebe si los registros muestran el mensaje “Error al iniciar el servicio de demonio de seguridad de carga de trabajo”. 2. Verifique si el usuario cssys existe en la máquina del Agente o no. Ejecute los siguientes comandos uno por uno con permiso de root y verifique si el usuario y el grupo cssys existen. `sudo id cssys` `sudo groups cssys` 3. Si no existe ninguno, es posible que una política de monitoreo centralizada haya eliminado el usuario cssys. 4. Cree un usuario y un grupo cssys manualmente ejecutando los siguientes comandos. `sudo useradd cssys` `sudo groupadd cssys` 5. Luego reinicie el servicio del agente ejecutando el siguiente comando: `sudo systemctl restart cloudsecure-agent.service` 6. Si aún no funciona, verifique las otras opciones de solución de problemas.
No se pueden agregar más de 50 recopiladores de datos a un agente.	Sólo se pueden agregar 50 recopiladores de datos a un agente. Puede ser una combinación de todos los tipos de recopiladores, por ejemplo, Active Directory, SVM y otros recopiladores.
La interfaz de usuario muestra que el agente está en estado NO CONECTADO.	Pasos para reiniciar el Agente. 1. SSH a la máquina del agente. 2. Luego reinicie el servicio del agente ejecutando el siguiente comando: `sudo systemctl restart cloudsecure-agent.service` 3. Verifique el estado del servicio del agente a través de `sudo systemctl status cloudsecure-agent.service` . 4. El agente debe pasar al estado CONECTADO.
La máquina virtual del agente está detrás del proxy Zscaler y la instalación del agente está fallando. Debido a la inspección SSL del proxy Zscaler, los certificados de seguridad de carga de trabajo se presentan como si estuvieran firmados por Zscaler CA, por lo que el agente no confía en la comunicación.	Deshabilite la inspección SSL en el proxy Zscaler para la URL *.cloudinsights.netapp.com. Si Zscaler realiza una inspección SSL y reemplaza los certificados, Workload Security no funcionará.
Al instalar el agente, la instalación se bloquea después de descomprimirlo.	El comando “chmod 755 -Rf” está fallando. El comando falla cuando el comando de instalación del agente lo ejecuta un usuario sudo que no es root y que tiene archivos en el directorio de trabajo que pertenecen a otro usuario y no se pueden cambiar los permisos de esos archivos. Debido a la falla del comando chmod, el resto de la instalación no se ejecuta. 1. Cree un nuevo directorio llamado “cloudsecure”. 2. Vaya a ese directorio. 3. Copie y pegue el comando de instalación completo “token=…… … ./cloudsecure-agent-install.sh" y presione Enter. 4. La instalación debería poder continuar.
Si el agente aún no puede conectarse a Saas, abra un caso con el soporte de NetApp . Proporcione el número de serie de Data Infrastructure Insights para abrir un caso y adjunte registros al caso como se indica.	Para adjuntar registros al estuche: 1. Ejecute el siguiente script con permiso de root y comparta el archivo de salida (cloudsecure-agent-symptoms.zip). a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. Ejecute los siguientes comandos uno por uno con permiso de root y comparta la salida. a. id cssys b. groups cssys c. cat /etc/os-release
El script cloudsecure-agent-symptom-collector.sh falla con el siguiente error. [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh Recopilación de registro de servicio Recopilación de registros de aplicaciones Recopilación de configuraciones de agente Toma de instantánea del estado del servicio Toma de instantánea de la estructura del directorio del agente …………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh: línea 52: zip: comando no encontrado ERROR: No se pudo crear /tmp/cloudsecure-agent-symptoms.zip	La herramienta Zip no está instalada. Instale la herramienta zip ejecutando el comando “yum install zip”. Luego ejecute cloudsecure-agent-symptom-collector.sh nuevamente.
La instalación del agente falla con useradd: no se puede crear el directorio /home/cssys	Este error puede ocurrir si el directorio de inicio de sesión del usuario no se puede crear en /home, debido a la falta de permisos. La solución alternativa sería crear un usuario cssys y agregar su directorio de inicio de sesión manualmente usando el siguiente comando: sudo useradd user_name -m -d HOME_DIR -m: Crea el directorio de inicio del usuario si no existe. -d: El nuevo usuario se crea utilizando HOME_DIR como valor para el directorio de inicio de sesión del usuario. Por ejemplo, sudo useradd cssys -m -d /cssys, agrega un usuario cssys y crea su directorio de inicio de sesión bajo la raíz.
El agente no se ejecuta después de la instalación. Systemctl status cloudsecure-agent.service muestra lo siguiente: [root@demo ~]# systemctl status cloudsecure-agent.service agent.service – Servicio Daemon del agente de seguridad de carga de trabajo Cargado: cargado (/usr/lib/systemd/system/cloudsecure-agent.service; habilitado; valor predeterminado del proveedor: deshabilitado) Activo: activando (reinicio automático) (Resultado: código de salida) desde el martes 2021-08-03 21:12:26 PDT; Hace 2 s Proceso: 25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent (código=salido estado=126) PID principal: 25889 (código=salido, estado=126), 03 ago 21:12:26 demo systemd[1]: cloudsecure-agent.service: proceso principal salió, código=salido, estado=126/n/a 03 ago 21:12:26 demo systemd[1]: La unidad cloudsecure-agent.service entró en estado de error. 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service falló.	Esto puede fallar porque el usuario cssys podría no tener permiso para instalar. Si /opt/netapp es un montaje NFS y el usuario cssys no tiene acceso a esta carpeta, la instalación fallará. cssys es un usuario local creado por el instalador de Workload Security que puede no tener permiso para acceder al recurso compartido montado. Puede comprobarlo intentando acceder a /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent usando el usuario cssys. Si devuelve “Permiso denegado”, el permiso de instalación no está presente. En lugar de una carpeta montada, instálelo en un directorio local de la máquina.
El agente se conectó inicialmente a través de un servidor proxy y el proxy se configuró durante la instalación del agente. Ahora el servidor proxy ha cambiado. ¿Cómo se puede cambiar la configuración del proxy del Agente?	Puede editar agent.properties para agregar los detalles del proxy. Siga estos pasos: 1. Cambie a la carpeta que contiene el archivo de propiedades: cd /opt/netapp/cloudsecure/conf 2. Usando su editor de texto favorito, abra el archivo agent.properties para editarlo. 3. Agregue o modifique las siguientes líneas: AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4. Guarde el archivo. 5. Reinicie el agente: sudo systemctl restart cloudsecure-agent.service

La instalación del agente no logra crear la carpeta /opt/netapp/cloudsecure/agent/logs/agent.log y el archivo install.log no proporciona información relevante.

Este error se produce durante el arranque del agente. El error no se registra en los archivos de registro porque ocurre antes de que se inicialice el registrador. El error se redirige a la salida estándar y es visible en el registro de servicio mediante el journalctl -u cloudsecure-agent.service dominio. Este comando se puede utilizar para solucionar el problema con más detalle.

La instalación del agente falla con el mensaje 'Esta distribución de Linux no es compatible'. Saliendo de la instalación'.

Este error aparece cuando intenta instalar el Agente en un sistema no compatible. Ver "Requisitos del agente" .

La instalación del agente falló con el error: "-bash: unzip: comando no encontrado"

Instale, descomprima y luego ejecute el comando de instalación nuevamente. Si Yum está instalado en la máquina, intente “yum install unzip” para instalar el software de descompresión. Después de eso, vuelva a copiar el comando desde la interfaz de usuario de instalación del Agente y péguelo en la CLI para ejecutar la instalación nuevamente.

El agente se instaló y estaba ejecutándose. Sin embargo, el agente se detuvo de repente.

SSH a la máquina del agente. Verifique el estado del servicio del agente a través de sudo systemctl status cloudsecure-agent.service . 1. Compruebe si los registros muestran el mensaje “Error al iniciar el servicio de demonio de seguridad de carga de trabajo”. 2. Verifique si el usuario cssys existe en la máquina del Agente o no. Ejecute los siguientes comandos uno por uno con permiso de root y verifique si el usuario y el grupo cssys existen.
sudo id cssys
sudo groups cssys 3. Si no existe ninguno, es posible que una política de monitoreo centralizada haya eliminado el usuario cssys. 4. Cree un usuario y un grupo cssys manualmente ejecutando los siguientes comandos.
sudo useradd cssys
sudo groupadd cssys 5. Luego reinicie el servicio del agente ejecutando el siguiente comando:
sudo systemctl restart cloudsecure-agent.service 6. Si aún no funciona, verifique las otras opciones de solución de problemas.

No se pueden agregar más de 50 recopiladores de datos a un agente.

Sólo se pueden agregar 50 recopiladores de datos a un agente. Puede ser una combinación de todos los tipos de recopiladores, por ejemplo, Active Directory, SVM y otros recopiladores.

La interfaz de usuario muestra que el agente está en estado NO CONECTADO.

Pasos para reiniciar el Agente. 1. SSH a la máquina del agente. 2. Luego reinicie el servicio del agente ejecutando el siguiente comando:
sudo systemctl restart cloudsecure-agent.service 3. Verifique el estado del servicio del agente a través de sudo systemctl status cloudsecure-agent.service . 4. El agente debe pasar al estado CONECTADO.

La máquina virtual del agente está detrás del proxy Zscaler y la instalación del agente está fallando. Debido a la inspección SSL del proxy Zscaler, los certificados de seguridad de carga de trabajo se presentan como si estuvieran firmados por Zscaler CA, por lo que el agente no confía en la comunicación.

Deshabilite la inspección SSL en el proxy Zscaler para la URL *.cloudinsights.netapp.com. Si Zscaler realiza una inspección SSL y reemplaza los certificados, Workload Security no funcionará.

Al instalar el agente, la instalación se bloquea después de descomprimirlo.

El comando “chmod 755 -Rf” está fallando. El comando falla cuando el comando de instalación del agente lo ejecuta un usuario sudo que no es root y que tiene archivos en el directorio de trabajo que pertenecen a otro usuario y no se pueden cambiar los permisos de esos archivos. Debido a la falla del comando chmod, el resto de la instalación no se ejecuta. 1. Cree un nuevo directorio llamado “cloudsecure”. 2. Vaya a ese directorio. 3. Copie y pegue el comando de instalación completo “token=…… … ./cloudsecure-agent-install.sh" y presione Enter. 4. La instalación debería poder continuar.

Si el agente aún no puede conectarse a Saas, abra un caso con el soporte de NetApp . Proporcione el número de serie de Data Infrastructure Insights para abrir un caso y adjunte registros al caso como se indica.

Para adjuntar registros al estuche: 1. Ejecute el siguiente script con permiso de root y comparta el archivo de salida (cloudsecure-agent-symptoms.zip). a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. Ejecute los siguientes comandos uno por uno con permiso de root y comparta la salida. a. id cssys b. groups cssys c. cat /etc/os-release

El script cloudsecure-agent-symptom-collector.sh falla con el siguiente error. [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh Recopilación de registro de servicio Recopilación de registros de aplicaciones Recopilación de configuraciones de agente Toma de instantánea del estado del servicio Toma de instantánea de la estructura del directorio del agente …………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh: línea 52: zip: comando no encontrado ERROR: No se pudo crear /tmp/cloudsecure-agent-symptoms.zip

La herramienta Zip no está instalada. Instale la herramienta zip ejecutando el comando “yum install zip”. Luego ejecute cloudsecure-agent-symptom-collector.sh nuevamente.

La instalación del agente falla con useradd: no se puede crear el directorio /home/cssys

Este error puede ocurrir si el directorio de inicio de sesión del usuario no se puede crear en /home, debido a la falta de permisos. La solución alternativa sería crear un usuario cssys y agregar su directorio de inicio de sesión manualmente usando el siguiente comando: sudo useradd user_name -m -d HOME_DIR -m: Crea el directorio de inicio del usuario si no existe. -d: El nuevo usuario se crea utilizando HOME_DIR como valor para el directorio de inicio de sesión del usuario. Por ejemplo, sudo useradd cssys -m -d /cssys, agrega un usuario cssys y crea su directorio de inicio de sesión bajo la raíz.

El agente no se ejecuta después de la instalación. Systemctl status cloudsecure-agent.service muestra lo siguiente: [root@demo ~]# systemctl status cloudsecure-agent.service agent.service – Servicio Daemon del agente de seguridad de carga de trabajo Cargado: cargado (/usr/lib/systemd/system/cloudsecure-agent.service; habilitado; valor predeterminado del proveedor: deshabilitado) Activo: activando (reinicio automático) (Resultado: código de salida) desde el martes 2021-08-03 21:12:26 PDT; Hace 2 s Proceso: 25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent (código=salido estado=126) PID principal: 25889 (código=salido, estado=126), 03 ago 21:12:26 demo systemd[1]: cloudsecure-agent.service: proceso principal salió, código=salido, estado=126/n/a 03 ago 21:12:26 demo systemd[1]: La unidad cloudsecure-agent.service entró en estado de error. 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service falló.

Esto puede fallar porque el usuario cssys podría no tener permiso para instalar. Si /opt/netapp es un montaje NFS y el usuario cssys no tiene acceso a esta carpeta, la instalación fallará. cssys es un usuario local creado por el instalador de Workload Security que puede no tener permiso para acceder al recurso compartido montado. Puede comprobarlo intentando acceder a /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent usando el usuario cssys. Si devuelve “Permiso denegado”, el permiso de instalación no está presente. En lugar de una carpeta montada, instálelo en un directorio local de la máquina.

El agente se conectó inicialmente a través de un servidor proxy y el proxy se configuró durante la instalación del agente. Ahora el servidor proxy ha cambiado. ¿Cómo se puede cambiar la configuración del proxy del Agente?

Puede editar agent.properties para agregar los detalles del proxy. Siga estos pasos: 1. Cambie a la carpeta que contiene el archivo de propiedades: cd /opt/netapp/cloudsecure/conf 2. Usando su editor de texto favorito, abra el archivo agent.properties para editarlo. 3. Agregue o modifique las siguientes líneas: AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4. Guarde el archivo. 5. Reinicie el agente: sudo systemctl restart cloudsecure-agent.service