O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Instalação do agente de segurança de carga de trabalho

10/14/2025 Colaboradores

PDFs

O Workload Security (anteriormente Cloud Secure) coleta dados de atividade do usuário usando um ou mais agentes. Os agentes se conectam aos dispositivos do seu locatário e coletam dados que são enviados à camada SaaS de segurança de carga de trabalho para análise. Ver"Requisitos do agente" para configurar uma VM de agente.

Antes de começar

O privilégio sudo é necessário para instalação, execução de scripts e desinstalação.
Ao instalar o agente, um usuário local cssys e um grupo local cssys são criados na máquina. Se as configurações de permissão não permitirem a criação de um usuário local e, em vez disso, exigirem o Active Directory, um usuário com o nome de usuário cssys deverá ser criado no servidor Active Directory.
Você pode ler sobre a segurança do Data Infrastructure Insights"aqui" .

Mudanças globais podem ter um impacto potencial em seus sistemas ONTAP . É altamente recomendável fazer alterações que afetem um grande número de coletores de dados fora dos horários de pico.

Etapas para instalar o agente

Efetue login como Administrador ou Proprietário da conta no seu ambiente de segurança de carga de trabalho.
Selecione Colecionadores > Agentes > +Agente

O sistema exibe a página Adicionar um Agente:
Verifique se o servidor do agente atende aos requisitos mínimos do sistema.
Para verificar se o servidor do agente está executando uma versão compatível do Linux, clique em Versões compatíveis (i).
Se sua rede estiver usando um servidor proxy, defina os detalhes do servidor proxy seguindo as instruções na seção Proxy.
Clique no ícone Copiar para a área de transferência para copiar o comando de instalação.
Execute o comando de instalação em uma janela de terminal.
O sistema exibe a seguinte mensagem quando a instalação é concluída com sucesso:

Depois que você terminar

Você precisa configurar um"Coletor de diretório de usuário" .
Você precisa configurar um ou mais coletores de dados.

Configuração de rede

Execute os seguintes comandos no sistema local para abrir portas que serão usadas pelo Workload Security. Se houver uma preocupação de segurança em relação ao intervalo de portas, você pode usar um intervalo de portas menor, por exemplo, 35000:35100. Cada SVM usa duas portas.

Passos

sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
sudo firewall-cmd --reload

Siga os próximos passos de acordo com sua plataforma:

CentOS 7.x / RHEL 7.x:

sudo iptables-save | grep 35000

Saída de exemplo:

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
*CentOS 8.x / RHEL 8.x*:

sudo firewall-cmd --zone=public --list-ports | grep 35000(para CentOS 8)

Saída de exemplo:

35000-55000/tcp

"Fixando" um Agente na versão atual

Por padrão, o Data Infrastructure Insights Workload Security atualiza os agentes automaticamente. Alguns clientes podem querer pausar a atualização automática, o que deixa um Agente em sua versão atual até que ocorra uma das seguintes situações:

O cliente retoma as atualizações automáticas do Agente.
30 dias se passaram. Observe que os 30 dias começam no dia da atualização mais recente do Agente, não no dia em que o Agente é pausado.

Em cada um desses casos, o agente será atualizado na próxima atualização do Workload Security.

Para pausar ou retomar atualizações automáticas do agente, use as APIs cloudsecure_config.agents:

APIs de agentes do CloudSecure para fixar e desafixar agentes

Observe que pode levar até cinco minutos para que a ação de pausa ou retomada entre em vigor.

Você pode visualizar as versões atuais do seu agente na página Segurança da carga de trabalho > Coletores, na guia Agentes.

Versões do agente WS mostradas na tabela de agentes

Solução de problemas de erros do agente

Problemas conhecidos e suas soluções são descritos na tabela a seguir.

Problema: Resolução:

Problema:	Resolução:
A instalação do agente falha ao criar a pasta /opt/netapp/cloudsecure/agent/logs/agent.log e o arquivo install.log não fornece informações relevantes.	Este erro ocorre durante a inicialização do agente. O erro não é registrado nos arquivos de log porque ocorre antes do logger ser inicializado. O erro é redirecionado para a saída padrão e fica visível no log de serviço usando o `journalctl -u cloudsecure-agent.service` comando. Este comando pode ser usado para solucionar o problema posteriormente.
A instalação do agente falha com 'Esta distribuição Linux não é suportada. Saindo da instalação'.	Este erro aparece quando você tenta instalar o Agente em um sistema não suportado. Ver "Requisitos do agente" .
A instalação do agente falhou com o erro: "-bash: unzip: comando não encontrado"	Instale, descompacte e execute o comando de instalação novamente. Se o Yum estiver instalado na máquina, tente “yum install unzip” para instalar o software de descompactação. Depois disso, copie novamente o comando da interface de instalação do agente e cole-o na CLI para executar a instalação novamente.
O agente foi instalado e estava em execução. No entanto, o agente parou de repente.	SSH para a máquina do agente. Verifique o status do serviço do agente através de `sudo systemctl status cloudsecure-agent.service` . 1. Verifique se os logs mostram a mensagem “Falha ao iniciar o serviço daemon do Workload Security”. 2. Verifique se o usuário cssys existe na máquina do agente ou não. Execute os seguintes comandos um por um com permissão de root e verifique se o usuário e o grupo cssys existem. `sudo id cssys` `sudo groups cssys` 3. Se não houver nenhuma, uma política de monitoramento centralizada pode ter excluído o usuário cssys. 4. Crie o usuário e o grupo cssys manualmente executando os seguintes comandos. `sudo useradd cssys` `sudo groupadd cssys` 5. Reinicie o serviço do agente depois disso executando o seguinte comando: `sudo systemctl restart cloudsecure-agent.service` 6. Se ainda não estiver funcionando, verifique as outras opções de solução de problemas.
Não é possível adicionar mais de 50 coletores de dados a um agente.	Apenas 50 coletores de dados podem ser adicionados a um agente. Isso pode ser uma combinação de todos os tipos de coletores, por exemplo, Active Directory, SVM e outros coletores.
A interface do usuário mostra que o agente está no estado NOT_CONNECTED.	Etapas para reiniciar o Agente. 1. SSH para a máquina do agente. 2. Reinicie o serviço do agente depois disso executando o seguinte comando: `sudo systemctl restart cloudsecure-agent.service` 3. Verifique o status do serviço do agente através de `sudo systemctl status cloudsecure-agent.service` . 4. O agente deve ir para o estado CONECTADO.
A VM do agente está atrás do proxy Zscaler e a instalação do agente está falhando. Devido à inspeção SSL do proxy Zscaler, os certificados de segurança da carga de trabalho são apresentados como assinados pela CA do Zscaler, portanto, o agente não confia na comunicação.	Desabilite a inspeção SSL no proxy Zscaler para a URL *.cloudinsights.netapp.com. Se o Zscaler fizer a inspeção SSL e substituir os certificados, o Workload Security não funcionará.
Ao instalar o agente, a instalação trava após a descompactação.	O comando “chmod 755 -Rf” está falhando. O comando falha quando o comando de instalação do agente está sendo executado por um usuário sudo não root que tem arquivos no diretório de trabalho pertencentes a outro usuário, e as permissões desses arquivos não podem ser alteradas. Devido à falha do comando chmod, o restante da instalação não é executado. 1. Crie um novo diretório chamado “cloudsecure”. 2. Vá até esse diretório. 3. Copie e cole o comando de instalação completo “token=…… … ./cloudsecure-agent-install.sh” e pressione Enter. 4. A instalação deve poder prosseguir.
Se o agente ainda não conseguir se conectar ao SaaS, abra um caso com o Suporte da NetApp . Forneça o número de série do Data Infrastructure Insights para abrir um caso e anexe logs ao caso, conforme observado.	Para anexar logs ao caso: 1. Execute o seguinte script com permissão de root e compartilhe o arquivo de saída (cloudsecure-agent-symptoms.zip). a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. Execute os seguintes comandos um por um com permissão de root e compartilhe a saída. a. id cssys b. groups cssys c. cat /etc/os-release
O script cloudsecure-agent-symptom-collector.sh falha com o seguinte erro. [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh Coletando log de serviço Coletando logs de aplicativo Coletando configurações de agente Tirando instantâneo de status de serviço Tirando instantâneo da estrutura de diretório do agente …………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh: linha 52: zip: comando não encontrado ERRO: Falha ao criar /tmp/cloudsecure-agent-symptoms.zip	A ferramenta Zip não está instalada. Instale a ferramenta zip executando o comando “yum install zip”. Em seguida, execute o cloudsecure-agent-symptom-collector.sh novamente.
A instalação do agente falha com useradd: não é possível criar o diretório /home/cssys	Este erro pode ocorrer se o diretório de login do usuário não puder ser criado em /home, devido à falta de permissões. A solução alternativa seria criar um usuário cssys e adicionar seu diretório de login manualmente usando o seguinte comando: sudo useradd user_name -m -d HOME_DIR -m :Cria o diretório inicial do usuário se ele não existir. -d: O novo usuário é criado usando HOME_DIR como valor para o diretório de login do usuário. Por exemplo, sudo useradd cssys -m -d /cssys, adiciona um usuário cssys e cria seu diretório de login como root.
O agente não está em execução após a instalação. Systemctl status cloudsecure-agent.service mostra o seguinte: [root@demo ~]# systemctl status cloudsecure-agent.service agent.service – Serviço Daemon do Agente de Segurança de Carga de Trabalho Carregado: carregado (/usr/lib/systemd/system/cloudsecure-agent.service; habilitado; predefinição do fornecedor: desabilitada) Ativo: ativando (reinicialização automática) (Resultado: código de saída) desde ter 2021-08-03 21:12:26 PDT; 2s atrás Processo: 25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent (código=exited status=126) PID principal: 25889 (código=exited, status=126), 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service: processo principal saiu, código=exited, status=126/n/a 03 de agosto 21:12:26 demo systemd[1]: Unidade cloudsecure-agent.service entrou em estado de falha. 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service falhou.	Isso pode estar falhando porque o usuário cssys pode não ter permissão para instalar. Se /opt/netapp for uma montagem NFS e se o usuário cssys não tiver acesso a esta pasta, a instalação falhará. cssys é um usuário local criado pelo instalador do Workload Security que pode não ter permissão para acessar o compartilhamento montado. Você pode verificar isso tentando acessar /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent usando o usuário cssys. Se retornar “Permissão negada”, a permissão de instalação não está presente. Em vez de uma pasta montada, instale em um diretório local da máquina.
O agente foi conectado inicialmente por meio de um servidor proxy e o proxy foi definido durante a instalação do agente. Agora o servidor proxy mudou. Como a configuração de proxy do Agente pode ser alterada?	Você pode editar o agent.properties para adicionar os detalhes do proxy. Siga estes passos: 1. Mude para a pasta que contém o arquivo de propriedades: cd /opt/netapp/cloudsecure/conf 2. Usando seu editor de texto favorito, abra o arquivo agent.properties para edição. 3. Adicione ou modifique as seguintes linhas: AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4. Salve o arquivo. 5. Reinicie o agente: sudo systemctl restart cloudsecure-agent.service

A instalação do agente falha ao criar a pasta /opt/netapp/cloudsecure/agent/logs/agent.log e o arquivo install.log não fornece informações relevantes.

Este erro ocorre durante a inicialização do agente. O erro não é registrado nos arquivos de log porque ocorre antes do logger ser inicializado. O erro é redirecionado para a saída padrão e fica visível no log de serviço usando o journalctl -u cloudsecure-agent.service comando. Este comando pode ser usado para solucionar o problema posteriormente.

A instalação do agente falha com 'Esta distribuição Linux não é suportada. Saindo da instalação'.

Este erro aparece quando você tenta instalar o Agente em um sistema não suportado. Ver "Requisitos do agente" .

A instalação do agente falhou com o erro: "-bash: unzip: comando não encontrado"

Instale, descompacte e execute o comando de instalação novamente. Se o Yum estiver instalado na máquina, tente “yum install unzip” para instalar o software de descompactação. Depois disso, copie novamente o comando da interface de instalação do agente e cole-o na CLI para executar a instalação novamente.

O agente foi instalado e estava em execução. No entanto, o agente parou de repente.

SSH para a máquina do agente. Verifique o status do serviço do agente através de sudo systemctl status cloudsecure-agent.service . 1. Verifique se os logs mostram a mensagem “Falha ao iniciar o serviço daemon do Workload Security”. 2. Verifique se o usuário cssys existe na máquina do agente ou não. Execute os seguintes comandos um por um com permissão de root e verifique se o usuário e o grupo cssys existem.
sudo id cssys
sudo groups cssys 3. Se não houver nenhuma, uma política de monitoramento centralizada pode ter excluído o usuário cssys. 4. Crie o usuário e o grupo cssys manualmente executando os seguintes comandos.
sudo useradd cssys
sudo groupadd cssys 5. Reinicie o serviço do agente depois disso executando o seguinte comando:
sudo systemctl restart cloudsecure-agent.service 6. Se ainda não estiver funcionando, verifique as outras opções de solução de problemas.

Não é possível adicionar mais de 50 coletores de dados a um agente.

Apenas 50 coletores de dados podem ser adicionados a um agente. Isso pode ser uma combinação de todos os tipos de coletores, por exemplo, Active Directory, SVM e outros coletores.

A interface do usuário mostra que o agente está no estado NOT_CONNECTED.

Etapas para reiniciar o Agente. 1. SSH para a máquina do agente. 2. Reinicie o serviço do agente depois disso executando o seguinte comando:
sudo systemctl restart cloudsecure-agent.service 3. Verifique o status do serviço do agente através de sudo systemctl status cloudsecure-agent.service . 4. O agente deve ir para o estado CONECTADO.

A VM do agente está atrás do proxy Zscaler e a instalação do agente está falhando. Devido à inspeção SSL do proxy Zscaler, os certificados de segurança da carga de trabalho são apresentados como assinados pela CA do Zscaler, portanto, o agente não confia na comunicação.

Desabilite a inspeção SSL no proxy Zscaler para a URL *.cloudinsights.netapp.com. Se o Zscaler fizer a inspeção SSL e substituir os certificados, o Workload Security não funcionará.

Ao instalar o agente, a instalação trava após a descompactação.

O comando “chmod 755 -Rf” está falhando. O comando falha quando o comando de instalação do agente está sendo executado por um usuário sudo não root que tem arquivos no diretório de trabalho pertencentes a outro usuário, e as permissões desses arquivos não podem ser alteradas. Devido à falha do comando chmod, o restante da instalação não é executado. 1. Crie um novo diretório chamado “cloudsecure”. 2. Vá até esse diretório. 3. Copie e cole o comando de instalação completo “token=…… … ./cloudsecure-agent-install.sh” e pressione Enter. 4. A instalação deve poder prosseguir.

Se o agente ainda não conseguir se conectar ao SaaS, abra um caso com o Suporte da NetApp . Forneça o número de série do Data Infrastructure Insights para abrir um caso e anexe logs ao caso, conforme observado.

Para anexar logs ao caso: 1. Execute o seguinte script com permissão de root e compartilhe o arquivo de saída (cloudsecure-agent-symptoms.zip). a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. Execute os seguintes comandos um por um com permissão de root e compartilhe a saída. a. id cssys b. groups cssys c. cat /etc/os-release

O script cloudsecure-agent-symptom-collector.sh falha com o seguinte erro. [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh Coletando log de serviço Coletando logs de aplicativo Coletando configurações de agente Tirando instantâneo de status de serviço Tirando instantâneo da estrutura de diretório do agente …………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh: linha 52: zip: comando não encontrado ERRO: Falha ao criar /tmp/cloudsecure-agent-symptoms.zip

A ferramenta Zip não está instalada. Instale a ferramenta zip executando o comando “yum install zip”. Em seguida, execute o cloudsecure-agent-symptom-collector.sh novamente.

A instalação do agente falha com useradd: não é possível criar o diretório /home/cssys

Este erro pode ocorrer se o diretório de login do usuário não puder ser criado em /home, devido à falta de permissões. A solução alternativa seria criar um usuário cssys e adicionar seu diretório de login manualmente usando o seguinte comando: sudo useradd user_name -m -d HOME_DIR -m :Cria o diretório inicial do usuário se ele não existir. -d: O novo usuário é criado usando HOME_DIR como valor para o diretório de login do usuário. Por exemplo, sudo useradd cssys -m -d /cssys, adiciona um usuário cssys e cria seu diretório de login como root.

O agente não está em execução após a instalação. Systemctl status cloudsecure-agent.service mostra o seguinte: [root@demo ~]# systemctl status cloudsecure-agent.service agent.service – Serviço Daemon do Agente de Segurança de Carga de Trabalho Carregado: carregado (/usr/lib/systemd/system/cloudsecure-agent.service; habilitado; predefinição do fornecedor: desabilitada) Ativo: ativando (reinicialização automática) (Resultado: código de saída) desde ter 2021-08-03 21:12:26 PDT; 2s atrás Processo: 25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent (código=exited status=126) PID principal: 25889 (código=exited, status=126), 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service: processo principal saiu, código=exited, status=126/n/a 03 de agosto 21:12:26 demo systemd[1]: Unidade cloudsecure-agent.service entrou em estado de falha. 03 de agosto 21:12:26 demo systemd[1]: cloudsecure-agent.service falhou.

Isso pode estar falhando porque o usuário cssys pode não ter permissão para instalar. Se /opt/netapp for uma montagem NFS e se o usuário cssys não tiver acesso a esta pasta, a instalação falhará. cssys é um usuário local criado pelo instalador do Workload Security que pode não ter permissão para acessar o compartilhamento montado. Você pode verificar isso tentando acessar /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent usando o usuário cssys. Se retornar “Permissão negada”, a permissão de instalação não está presente. Em vez de uma pasta montada, instale em um diretório local da máquina.

O agente foi conectado inicialmente por meio de um servidor proxy e o proxy foi definido durante a instalação do agente. Agora o servidor proxy mudou. Como a configuração de proxy do Agente pode ser alterada?

Você pode editar o agent.properties para adicionar os detalhes do proxy. Siga estes passos: 1. Mude para a pasta que contém o arquivo de propriedades: cd /opt/netapp/cloudsecure/conf 2. Usando seu editor de texto favorito, abra o arquivo agent.properties para edição. 3. Adicione ou modifique as seguintes linhas: AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4. Salve o arquivo. 5. Reinicie o agente: sudo systemctl restart cloudsecure-agent.service