工作負載安全代理程式安裝
「工作負載安全性」(前身Cloud Secure 為「功能」)會使用一或多個代理程式來收集使用者活動資料。代理程式會連線至租戶上的裝置,並收集傳送至工作負載安全 SaaS 層的資料以供分析。請參閱"代理程式需求"以設定代理程式 VM 。
開始之前
-
安裝、執行指令碼及解除安裝時、都需要使用Sudo權限。
-
安裝代理程式時、會在機器上建立本機使用者_cssy和本機群組_cssy。如果權限設定不允許建立本機使用者、而需要Active Directory、則必須在Active Directory伺服器中建立使用者名稱為_cssy__的使用者。
-
您可以閱讀 Data Infrastructure Insights 安全性"請按這裡"。
安裝代理程式的步驟
-
以系統管理員或帳戶擁有者身分登入工作負載安全環境。
-
選取 * 收集器 > 值機員 > + 值機員 *
系統會顯示「新增代理程式」頁面:
-
確認代理伺服器符合最低系統需求。
-
若要驗證代理伺服器是否執行支援的Linux版本、請按一下_versions Supported(i)_。
-
如果您的網路使用Proxy伺服器、請依照Proxy一節中的指示來設定Proxy伺服器詳細資料。
-
按一下「複製到剪貼簿」圖示以複製安裝命令。
-
在終端機視窗中執行安裝命令。
-
安裝成功完成時、系統會顯示下列訊息:
-
您需要設定"使用者目錄收集器"。
-
您需要設定一或多個資料收集器。
網路組態
在本機系統上執行下列命令、以開啟工作負載安全性所使用的連接埠。如果對連接埠範圍有安全顧慮、您可以使用較小的連接埠範圍、例如_35000:35100_。每個SVM使用兩個連接埠。
-
sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
-
sudo firewall-cmd --reload
依照您的平台執行後續步驟:
-
CentOS 7.x / RHEL 7.x *:
-
sudo iptables-save | grep 35000
-
範例輸出:
-A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT * CentOS 8.x / RHEL 8.x *:
-
sudo firewall-cmd --zone=public --list-ports | grep 35000
(適用於 CentOS 8 )
範例輸出:
35000-55000/tcp
「固定」目前版本的值機員
根據預設、 Data Infrastructure Insights Workload Security 會自動更新代理程式。有些客戶可能想要暫停自動更新、這會讓值機員保持目前版本、直到發生下列其中一種情況:
-
客戶會繼續自動更新值機員。
-
30 天過去了。請注意、 30 天從最新值機員更新的當天開始、而非從值機員暫停的當天開始。
在上述每種情況下、代理程式都會在下次工作負載安全性重新整理時更新。
若要暫停或恢復自動代理程式更新、請使用 cloudsecure_config.agents API :
請注意、暫停或恢復動作可能需要五分鐘才能生效。
您可以在 * 工作負載安全性 > 收集器 * 頁面的 * 代理程式 * 標籤中檢視目前的代理程式版本。
疑難排解代理程式錯誤
下表說明已知問題及其解決方法。
問題: | 解決方法: |
---|---|
代理程式安裝無法建立/opp/NetApp/cloudsec/agent/logs/agent.log資料夾、且install.log檔案未提供相關資訊。 |
此錯誤發生於代理程式的開機期間。錯誤並未記錄在記錄檔中、因為它發生在記錄程式初始化之前。此錯誤會重新導向至標準輸出、並可在服務記錄中使用 `journalctl -u cloudsecure-agent.service`命令查看。此命令可用於進一步疑難排解問題。 EST |
代理程式安裝失敗、無法使用「不支援此Linux套裝作業系統。結束安裝」。 |
當您嘗試在不受支援的系統上安裝代理程式時、就會出現此錯誤。請參閱。 "代理程式需求" |
代理程式安裝失敗、並顯示錯誤:「-bash: unZip:command not found" |
安裝unzip、然後再次執行安裝命令。如果機器上安裝了Yum、請嘗試「yum install unzip」來安裝unzip軟體。之後、從代理程式安裝UI重新複製命令、然後貼到CLI中、以再次執行安裝。 |
代理程式已安裝且正在執行。但代理程式突然停止。 |
SSH到代理機器。透過檢查代理服務的狀態 |
無法將超過50個資料收集器新增至代理程式。 |
只能將50個資料收集器新增至代理程式。這可以是所有收集器類型的組合、例如Active Directory、SVM和其他收集器。 |
UI顯示代理程式處於「未連線」狀態。 |
重新啟動代理程式的步驟。1.SSH到代理機器。2.執行下列命令之後重新啟動代理程式服務: |
代理VM位於Zscaler Proxy之後、代理程式安裝失敗。由於Zscaler Proxy的SSL檢查、工作負載安全性憑證會在Zscaler CA簽署時顯示、因此代理程式不信任通訊。 |
在Zscaler Proxy中停用*.cloudinsights.netapp.com URL的SSL檢查。如果Zscaler執行SSL檢查並取代憑證、則工作負載安全性將無法運作。 |
安裝代理程式時、解壓縮後安裝會暫停。 |
「chmod 755 -RF」命令失敗。當代理程式安裝命令是由工作目錄中有檔案、屬於其他使用者、且這些檔案的權限無法變更的非root Sudo使用者執行時、命令就會失敗。由於chmod命令失敗、安裝的其餘部分將不會執行。1.建立名為「 cloudsecure 」的新目錄。2.移至該目錄。3.複製並貼上完整的「 token = ……… . /cloudsecure-agent-install.sh 」安裝命令,然後按 Enter 鍵。4.安裝應該能夠繼續進行。 |
如果代理程式仍無法連線至SaaS、請透過NetApp支援開啟案例。提供 Data Infrastructure Insights 序號以開啟案例、並依所述將記錄附加至案例。 |
若要將記錄附加至案例:1.以 root 權限執行下列指令碼,並共用輸出檔案( cloudsecure-agent-appeds.zip )。 a. NetApp /opt/oracle/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2 。以 root 權限逐一執行下列命令,並共用輸出。 a. id cssys b. 群組 cssys c. cat /etc/os-release |
cloudsecure-agent-symptom-collector.sh指令碼失敗、並出現下列錯誤。[root@machine tmp]#/opt/NetApp/cloudecure/agent/bin/cloudsecure-agent-symptom-collector.sh收集服務記錄收集應用程式記錄收集代理程式組態擷取服務狀態快照擷取代理程式目錄結構快照………………………………………………………………… 。……………………………… 。/opt/NetApp/cloudecure/agent/bin/cloudecure-agent-症狀 收集器.sh:第52行:郵遞區號:找不到命令錯誤:無法建立/tmp/cloudsecure-agent-symptoms.zip |
未安裝Zip工具…執行命令「yum install zip」來安裝壓縮工具。然後再次執行cloudsecure-agent-symptom-collector.sh。 |
使用useradd安裝代理程式失敗:無法建立目錄/home/cssys |
如果因為缺乏權限而無法在/home下建立使用者的登入目錄、就可能發生此錯誤。因應措施是建立cssys使用者、然後使用下列命令手動新增其登入目錄:Sudo useradd usern_name -m -d home_DIR-m:如果使用者的主目錄不存在、請建立該使用者的主目錄。d:使用home_DIR建立新使用者、做為使用者登入目錄的值。例如、Sudo useradd cssys -m -d /cssys_會新增使用者_cssys、並在root下建立其登入目錄。 |
代理程式在安裝後未執行。Systemctl 狀態 cloudsecure-agent.service NetApp cloudsecure-agent.service: 顯示下列資訊: [root@demo ~]# systemctl 狀態 cloudsecure-agent.service agent.service cloudsecure-agent.service –工作負載安全代理程式精靈服務已載入( /usr/lib/systemd/system/cloudsecure-agent.service; 已啟用;廠商預設值:已停用)作用:啟動(自動重新啟動)(結果:結束代碼)自星期二 2021-08 月 03 21 日 12:2603 年 8 月 21 日: 12 : 26 示範系統 d[1] : cloudsecure-agent.service 失敗。 |
這可能是因為_cssys_使用者可能沒有安裝權限而失敗。如果/opp/netapp是NFS掛載、而且_cssy使用者無法存取此資料夾、安裝將會失敗。_cssy是由工作負載安全性安裝程式所建立的本機使用者、可能沒有存取掛載共用的權限。您可以嘗試使用_cssys_使用者來存取/opp/NetApp/cloudsec/agent/in/cloudseced-Agent來檢查此問題。如果傳回「權限遭拒」、表示安裝權限不存在。安裝在機器本機的目錄上、而非掛載的資料夾。 |
代理程式一開始是透過Proxy伺服器連線、並在代理程式安裝期間設定代理。現在Proxy伺服器已經變更。如何變更代理程式的Proxy組態? |
您可以編輯agent.properties以新增Proxy詳細資料。請遵循下列步驟:1.變更至內含內容檔案的資料夾:CD /opp/netapp/cloudsec/conf2。使用您最愛的文字編輯器、開啟_agent.properties_檔案進行編輯。3.新增或修改下列行: agent_proxy_host=scspa1950329001.vm.vm.com NetApp agent_proxy_port=80 agent_proxy_user=pXuser agent_proxy_password=pass1234 。儲存檔案。5.重新啟動代理程式: sudo systemctl restart cloudsecure-agent.service |