워크로드 보안 에이전트 설치
워크로드 보안(이전의 Cloud Secure)은 하나 이상의 에이전트를 사용하여 사용자 활동 데이터를 수집합니다. 에이전트는 사용자 환경의 장치에 연결하여 워크로드 보안 SaaS 계층으로 전송되는 데이터를 수집하여 분석할 수 있습니다. 을 참조하십시오 "상담원 요구 사항" 에이전트 VM을 구성합니다.
|
워크로드 보안은 Cloud Insights Federal Edition에서 사용할 수 없습니다. |
시작하기 전에
-
설치, 스크립트 실행 및 제거에 sudo 권한이 필요합니다.
-
에이전트를 설치하는 동안 로컬 user_cssys_와 로컬 group_cssys_가 시스템에 생성됩니다. 권한 설정에서 로컬 사용자 생성을 허용하지 않고 대신 Active Directory가 필요한 경우 사용자 이름이 _cssys_인 사용자를 Active Directory 서버에 만들어야 합니다.
Agent 설치 단계
-
워크로드 보안 환경에 관리자 또는 계정 소유자로 로그인합니다.
-
Collector > Agents > + Agent * 를 선택합니다
Agent 추가 페이지가 표시됩니다.
-
에이전트 서버가 최소 시스템 요구 사항을 충족하는지 확인합니다.
-
에이전트 서버가 지원되는 Linux 버전을 실행 중인지 확인하려면 _VERSION SUPPORTED (I) _ 을(를) 클릭합니다.
-
네트워크에서 프록시 서버를 사용하는 경우 프록시 섹션의 지침에 따라 프록시 서버 세부 정보를 설정하십시오.
-
클립보드로 복사 아이콘을 클릭하여 설치 명령을 복사합니다.
-
터미널 창에서 설치 명령을 실행합니다.
-
설치가 성공적으로 완료되면 다음과 같은 메시지가 표시됩니다.
-
를 구성해야 합니다 "사용자 디렉토리 수집기".
-
하나 이상의 Data Collector를 구성해야 합니다.
네트워크 구성
로컬 시스템에서 다음 명령을 실행하여 워크로드 보안에서 사용할 포트를 엽니다. 포트 범위에 대한 보안 문제가 있는 경우, 보다 낮은 포트 범위를 사용할 수 있습니다(예: 35000:35100). 각 SVM은 포트 2개를 사용합니다.
-
'SUDO firewall-cmd—permanent—zone=public—add-port=35000-55000/tcp'로 설정합니다
-
'SUDO firewall-cmd — reload
플랫폼에 따라 다음 단계를 따르십시오.
-
CentOS 7.x/RHEL 7.x *:
-
'SUDO iptables - save | grep 35000'
-
샘플 출력:
-A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT * CentOS 8.x/RHEL 8.x *:
-
SUDO firewall-cmd—zone=public—list-ports|grep 35000'(CentOS 8의 경우)
샘플 출력:
35000-55000/tcp
상담원 오류 문제 해결
알려진 문제와 해결 방법은 다음 표에 설명되어 있습니다.
문제: | 해상도: |
---|---|
Agent 설치가 /opt/netapp/cloudsecure/agent/logs/agent.log 폴더를 생성하지 못하고 install.log 파일은 관련 정보를 제공하지 않습니다. |
이 오류는 에이전트의 부트스트래핑 중에 발생합니다. 로그 파일이 로거가 초기화되기 전에 발생하므로 이 오류는 로그 파일에 기록되지 않습니다. 이 오류는 표준 출력으로 리디렉션되고 서비스 로그에서 '저널 - u cloudsecure-agent.service` 명령을 사용하여 확인할 수 있습니다. 이 명령을 사용하여 문제를 더 자세히 해결할 수 있습니다. |
에이전트 설치가 '이 Linux 배포는 지원되지 않습니다. 설치를 종료하는 중입니다. |
이 오류는 지원되지 않는 시스템에 Agent를 설치하려고 할 때 나타납니다. 을 참조하십시오 "상담원 요구 사항". |
"-bash:unzip:command not found" 오류와 함께 에이전트 설치가 실패했습니다. |
압축을 푼 다음 설치 명령을 다시 실행합니다. 시스템에 Yum이 설치되어 있는 경우 "yum install unzip"을 시도하여 unzip 소프트웨어를 설치합니다. 그런 다음 Agent 설치 UI에서 명령을 다시 복사하여 CLI에 붙여 넣어 설치를 다시 실행합니다. |
에이전트가 설치되어 실행 중입니다. 하지만 상담원이 갑자기 중지되었습니다. |
Agent 시스템에 SSH를 연결합니다. 를 통해 상담원 서비스의 상태를 확인합니다 |
Agent에 50개 이상의 데이터 수집기를 추가할 수 없습니다. |
데이터 수집기는 50개만 에이전트에 추가할 수 있습니다. Active Directory, SVM 및 기타 수집기와 같은 모든 수집기 유형의 조합이 될 수 있습니다. |
UI에 Agent가 NOT_Connected 상태임 이 표시됩니다. |
Agent를 다시 시작하는 단계입니다. Agent 시스템에 SSH를 연결합니다. 다음 명령을 실행하여 에이전트 서비스를 다시 시작합니다. sudo systemctl restart cloudsecure-agent.service` 3. 'SUDO systemctl status cloudsecure-agent.service` 를 통해 상담원 서비스의 상태를 확인합니다. 4.상담원은 연결된 상태로 이동해야 합니다. |
에이전트 VM이 Zscaler 프록시 뒤에 있으며 에이전트 설치가 실패합니다. Zscaler 프록시의 SSL 검사로 인해 워크로드 보안 인증서는 Zscaler CA에 의해 서명된 것으로 표시되므로 에이전트가 통신을 신뢰하지 않습니다. |
.cloudinsights.netapp.com URL의 Zscaler 프록시에서 SSL 검사를 비활성화합니다. Zscaler가 SSL 검사를 수행하고 인증서를 대체하는 경우 Workload Security가 작동하지 않습니다. |
에이전트를 설치하는 동안 압축 해제 후 설치가 중단됩니다. |
"chmod 755-rf" 명령이 실패했습니다. 작업 디렉토리에 파일이 있고 다른 사용자에게 속해 있으며 해당 파일의 사용 권한을 변경할 수 없는 루트가 아닌 sudo 사용자가 에이전트 설치 명령을 실행하는 경우 명령이 실패합니다. chmod 명령이 실패하여 나머지 설치가 실행되지 않습니다. "cloudsecure"라는 새 디렉토리를 생성합니다. 해당 디렉토리로 이동합니다. 전체 "토큰 =……"을 복사하여 붙여 넣습니다. … / cloudsecure-agent-install.sh" 설치 명령을 입력하고 Enter 키를 누릅니다. 4.설치를 계속할 수 있어야 합니다. |
Agent가 여전히 SaaS에 연결할 수 없는 경우 NetApp Support로 사례를 여십시오. Cloud Insights 일련 번호를 제공하여 케이스를 열고 기록해 둔 대로 케이스에 로그를 첨부합니다. |
케이스에 로그를 첨부하려면 1. 루트 권한으로 다음 스크립트를 실행하고 출력 파일(cloudsecure-agent-symptoms.zip)을 공유합니다. a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. 루트 권한으로 다음 명령을 하나씩 실행하고 출력을 공유합니다. a. ID cssys b. 그룹 cssys c. CAT/etc/OS - 릴리스 |
cloudsecure-agent-symptom-collector.sh 스크립트가 실패하고 다음 오류가 표시됩니다. [root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 서비스 로그 수집 애플리케이션 로그 수집 에이전트 상태 스냅샷 생성 에이전트 디렉토리 구조 스냅샷 생성……………… . ………………………… . /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh:line 52:zip: 명령을 찾을 수 없음 오류: /tmp/cloudsecure-agent-symptoms.zip 생성하지 못했습니다 |
zip 도구가 설치되지 않았습니다. "yum install zip" 명령을 실행하여 zip 툴을 설치합니다. 그런 다음 cloudsecure-agent-symptom-collector.sh 를 다시 실행합니다. |
useradd를 사용하여 에이전트 설치가 실패했습니다. 디렉토리 /home/cssys를 생성할 수 없습니다 |
이 오류는 권한 부족으로 인해 /home 아래에 사용자의 로그인 디렉토리를 만들 수 없는 경우에 발생할 수 있습니다. 해결 방법은 cssys 사용자를 생성하고 다음 명령을 사용하여 로그인 디렉토리를 수동으로 추가하는 것입니다. sudo useradd user_name -m -d home_DIR -m: 사용자의 홈 디렉토리가 없는 경우 생성합니다. d: 사용자의 로그인 디렉토리 값으로 HOME_DIR을 사용하여 새 사용자가 생성됩니다. 예를 들어, _sudo useradd cssys -m -d /cssys_는 user_cssys_를 추가하고 root 아래에 로그인 디렉토리를 만듭니다. |
설치 후 에이전트가 실행되고 있지 않습니다. Systemctl status cloudsecure-agent.service 다음과 같이 표시합니다. [root@demo~]#systemctl status cloudsecure-agent.service agent.service – Workload Security Agent Daemon Service loaded: loaded(/usr/lib/systemd/system/cloudsecure-agent.service; enabled; vendor preset: disabled) Active: 활성화(자동 재시작) (결과: 종료 코드) Tue 2021:12:26 PDT; 228.2s 시작 에이전트 pid=25pid=secure agent.pid/service: 25889(code=Exited, status=126), Aug 03 21:12:26 demo systemd [1]: cloudsecure-agent.service: main process 종료, code=Exited, status=126/n/a Aj8 03 21:12:26 demo systemd [1]: unit cloudsecure-agent.service failed state. 8월 03 21:12:26 데모 시스템[1]: cloudsecure-agent.service 실패. |
cssys_user에 설치 권한이 없을 수 있으므로 이 작업은 실패할 수 있습니다. /opt/netapp가 NFS 마운트이고 _cssys_user가 이 폴더에 대한 액세스 권한이 없는 경우 설치가 실패합니다. _cssys_는 워크로드 보안 설치 관리자가 생성한 로컬 사용자이며 마운트된 공유에 액세스할 권한이 없을 수 있습니다. cssys_user를 사용하여 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent에 액세스하여 이를 확인할 수 있습니다. "사용 권한 거부"를 반환하면 설치 권한이 없는 것입니다. 마운트된 폴더 대신 컴퓨터에 로컬 디렉토리에 설치합니다. |
Agent가 처음에 프록시 서버를 통해 연결되었고 Agent 설치 중에 프록시가 설정되었습니다. 이제 프록시 서버가 변경되었습니다. Agent의 프록시 구성을 변경하려면 어떻게 해야 합니까? |
agent.properties 를 편집하여 프록시 세부 정보를 추가할 수 있습니다. 다음 단계를 따르십시오. 1. 속성 파일이 포함된 폴더로 변경합니다. cd /opt/netapp/cloudsecure/conf 2. 즐겨찾기 텍스트 편집기를 사용하여 편집할 agent.properties 파일을 엽니다. 다음 행을 추가하거나 수정합니다. agent_proxy_host=scspa1950329001.vm.netapp.com agent_proxy_port=80 agent_proxy_user=pxuser agent_proxy_password=pass1234 4. 파일을 저장합니다. 에이전트를 다시 시작합니다. sudo systemctl cloudsecure-agent.service 다시 시작합니다 |