コンテンツにスキップ

Taegis Endpoint Agent for Linux トラブルシューティング🔗

このドキュメントでは、エージェントの問題に関してSecureworksサポートへ支援依頼を行う前に実施できる初期トラブルシューティング手順および収集可能な情報について説明します。

ヒント

追加のTaegisエンドポイントエージェントのトラブルシューティング、チュートリアル、および情報記事は、Secureworksナレッジベースでご覧いただけます。

接続の問題🔗

  • XDRのエンドポイントエージェントの概要テーブルからエージェントの接続ステータスを確認してください。
  • 接続要件を満たしていることを確認し、ファイアウォールを通じてドメインへの通信が許可されていることを確認してください。
  • 登録情報が誤って入力されている可能性があります。登録キーやサーバーに不要な空白が含まれていないか確認してください。
  • 以前に登録されたエンドポイントからクローンされたデバイスですか?その場合、重複とみなされ拒否されることがあります。正しい登録情報でエージェントをアンインストールし、再インストールすることを推奨します。

  • 影響を受けているシステムで診断コマンド taegisctl diagnostic を実行し、エージェントサービスのステータスおよびネットワーク接続を確認してください。以下の画像は、診断チェックが正常に完了した場合の出力例です。

    Taegis Agent 診断レポート

  • サポート支援が必要な場合は、次のディレクトリにある diagnostic_report をご提供ください: /opt/secureworks/taegis-agent/etc/agent_diagnostic_report

インストール🔗

  • rpm または deb パッケージが破損していないことを確認してください。チェックサムが XDR で提供されているものと一致することを確認してください。
  • パッケージのファイル権限が正しいことを確認してください。
  • インストールを実行するユーザーに権限があることを確認してください。
  • 登録時に受け取る可能性のあるエラーメッセージの例:

接続エラー: 

2022-04-07 17:36:23.167 E [T:3562] 15 17d46:320 Connection unsuccessful
2022-04-07 17:36:23.167 E [T:3562] 15 17d46:178 Registration failed
無効な登録キー: 
2022-05-31 16:58:25.389 E [T:29653] 15 17d46:345 https://reg.d.taegiscloud.com/agent-register/v1/register 400 {"message":"invalid registration_key"}
2022-05-31 16:58:25.408 E [T:29653] 15 17d46:178 Registration failed
SELinux設定: 
[user@localhost ~]$ sudo /opt/secureworks/taegis-agent/bin/taegisctl register
SELinux is in Enforcing mode; exiting.
このような場合は、taegisctl register--allow_enforcing スイッチを付与してください。詳細は SELinux/AppArmorとエージェント をご参照ください。

自動アップグレード失敗🔗

  • アップデータログを提供してください: <install_path>/taegis-agent/log/updater.log
  • taegis-update サービスが稼働しているか確認してください: <install_path>/taegis-agent/bin/taegisctl status
  • ファイアウォールで taegis-agent-prod-builds.s3.us-east-2.amazonaws.com への通信を許可してください。

パフォーマンス問題🔗

CPUやメモリのスパイク、アプリケーションのクラッシュなどのパフォーマンス問題をトラブルシューティングするために、Secureworks サポート へ以下の情報およびログをご提供ください。

以下の情報をご提供ください🔗

  • 影響を受けているシステムのホスト名
  • エンドポイントの役割および機能
  • 仮想マシンか物理ハードウェア上で稼働しているか
  • エージェントのバージョン
  • エンドポイント上で稼働しているアプリケーション
  • エンドポイントで発生しているパフォーマンス問題の詳細
  • エンドポイントのOSおよびカーネル情報 - コマンド uname -a の出力
  • Irixモードをオフにした状態での top コマンドの出力(top コマンド実行後 Shift + i を押下)
  • コマンド cat /proc/cpuinfo の出力
  • コマンド free -m の出力
  • コマンド service --status-all | more の出力

  • <install_path>/secureworks/taegis-agent/log/ にある agent.log ファイル

    注意

    デフォルトのインストールパス: /opt/secureworks/taegis-agent/

  • 影響を受けているシステムで診断レポートを出力し、Taegis Endpoint Agent サービスのステータスおよびネットワーク接続を以下の場所からご確認ください:

    <install_path>/secureworks/taegis-agent/etc/agent_diagnostic_report

    Taegis Agent 診断レポート

  • パフォーマンス問題を再現しながら、影響を受けているシステムで collect_perf コマンドを実行し、パフォーマンスメトリクスを収集してください。出力は以下のディレクトリに保存されます:

    <install_path>/secureworks/taegis-agent/log/

デバッグログ🔗

デバッグログを有効にすることで、影響を受けているシステムからさらに詳細な情報を収集できます。

  1. 影響を受けているシステムで /etc/scwx_agent.json 内の scwx_agent.json ファイルを編集し、ログレベルをデバッグモード用に D に設定してください。ファイルを保存します。

デバッグログレベルの設定

注意

デフォルトでは、scwx_agent.json ファイルは存在しない場合があります。存在しない場合は、このファイルを作成してください。

デバッグログを有効にすると多くのアクティビティが発生し、稼働中のシステムではエージェントのパフォーマンスに影響を与える可能性があります。ON のままにし続けないでください。

  1. コマンド cat /etc/scwx_agent.json を実行し、ログレベルがデバッグモード(D)に設定されていることを確認します。

  2. 以下のコマンドを使用して Taegis Endpoint Agent サービスを再起動します:

sudo /<install_path>/secureworks/taegis-agent/log/bin/taegisctl stop

sudo /<install_path>/secureworks/taegis-agent/log/bin/taegisctl start

  1. パフォーマンス問題を10分間再現してください。この間、以下のコマンドの出力を収集します:

    top -H -p $(pidof taegis)

  2. 10分経過後、以下のディレクトリからすべてのログファイルを提供してください: /<install_path>/secureworks/taegis-agent/log/

  3. 影響を受けているエンドポイントからすべての情報を収集し終えたら、/etc/ ディレクトリから scwx_agent.json ファイルを削除し、Taegis Endpoint Agent サービスを再起動してデバッグモードを解除してください。

  4. 影響を受けているシステムから収集したすべての情報をサポートチケット経由で製品サポートへご提供ください。

サービスが起動しない🔗

  • <install_path>/taegis-agent/bin/taegisctl status を実行し、ドライバがロードされているか確認してください。例:
sudo /opt/secureworks/taegis-agent/bin/taegisctl status

Agent Service Status    :  running   
Updater Service Status  :  running
Driver Loaded           :  true  
Agent is Registered     :  true     
Sink URL                :  wss://sink.c.taegiscloud.com:8443/ws

  • ドライバがロードされている場合は、<install_path>/taegis-agent/bin/taegisctl start を再度実行してください。サービスが依然として起動しない場合は、journalctl -xe の出力および <install_path>/taegis-agent/log/agent.log のログを取得してください。

  • ドライバが利用できない場合は、<install_path>/taegis-agent/bin/taegisctl register [--key <regkey>] [--server <servername>] [--allow_missing_driver] を以前と同じ登録情報で実行してください。最後に --allow_missing_driver フラグを付与することで、ドライバがロードできない場合でもサービスを起動できます。エージェントは、デフォルトでドライバが利用可能かつロードされている場合のみ起動するよう設計されています。

アンインストール🔗

一般的な問題は、アンインストール操作を実行するための十分な権限がユーザーにないことが原因です。アンインストールを実行するために、ユーザーに昇格されたロールが付与されていることを確認してください。