コンテンツにスキップ

Taegis Endpoint Agent for Linux トラブルシューティング🔗

このドキュメントでは、エージェントの問題に関して Secureworksサポート へ支援依頼を行う前に実施できる初期トラブルシューティング手順および収集可能な情報について案内します。

ヒント

追加のTaegisエンドポイントエージェントのトラブルシューティング、チュートリアル、および情報記事は、Secureworksナレッジベースでご覧いただけます。

接続の問題🔗

  • XDRのエンドポイントエージェントサマリーテーブルからエージェントの接続ステータスを確認してください。
  • すべてのファイアウォールでドメインへの通信を許可し、接続要件が満たされていることを確認してください。
  • 登録情報が誤って入力されている可能性があります。登録キーやサーバーに不要な空白が含まれていないか確認してください。
  • 以前に登録されたエンドポイントからクローンされたデバイスですか?その場合、重複とみなされ拒否されることがあります。正しい登録情報でエージェントをアンインストールし、再インストールすることを推奨します。

  • 該当システム上で診断コマンド taegisctl diagnostic を実行し、エージェントサービスのステータスおよびネットワーク接続状況を確認してください。以下の画像は、診断チェックが正常に完了した場合の出力例です。

    Taegis Agent Diagnostics Report

  • サポート支援が必要な場合は、次のディレクトリにある diagnostic_report をご提供ください: /opt/secureworks/taegis-agent/etc/agent_diagnostic_report

インストール🔗

  • rpm または deb パッケージが破損していないことを確認してください。チェックサムが XDR で提供されているものと一致するか検証してください。
  • パッケージのファイル権限が正しいことを確認してください。
  • ユーザーがインストールを実行できることを確認してください。
  • 登録時に受け取る可能性のあるエラーメッセージ例:

接続エラー: 

2022-04-07 17:36:23.167 E [T:3562] 15 17d46:320 Connection unsuccessful
2022-04-07 17:36:23.167 E [T:3562] 15 17d46:178 Registration failed
無効な登録キー: 
2022-05-31 16:58:25.389 E [T:29653] 15 17d46:345 https://reg.d.taegiscloud.com/agent-register/v1/register 400 {"message":"invalid registration_key"}
2022-05-31 16:58:25.408 E [T:29653] 15 17d46:178 Registration failed
SELinux設定: 
[user@localhost ~]$ sudo /opt/secureworks/taegis-agent/bin/taegisctl register
SELinux is in Enforcing mode; exiting.
このような場合は、taegisctl register--allow_enforcing スイッチを付与することを忘れないでください。詳細は SELinux/AppArmorとエージェント を参照してください。

自動アップグレード失敗🔗

  • アップデータのログを提供してください: <install_path>/taegis-agent/log/updater.log
  • taegis-update サービスが稼働しているか確認してください: <install_path>/taegis-agent/bin/taegisctl status
  • ファイアウォールで taegis-agent-prod-builds.s3.us-east-2.amazonaws.com への通信を許可してください。

パフォーマンス問題🔗

CPUやメモリのスパイク、アプリケーションのクラッシュなどのパフォーマンス問題をトラブルシュートするために、Secureworks サポート へ以下の情報およびログをご提供ください。

提供いただく情報🔗

  • 該当システムのホスト名
  • エンドポイントの役割および機能
  • 仮想マシンか物理ハードウェア上で稼働しているか
  • エージェントの稼働バージョン
  • エンドポイント上で稼働しているアプリケーション
  • エンドポイントで発生しているパフォーマンス問題の内容
  • エンドポイントのOSおよびカーネル情報 - コマンド uname -a の出力
  • Irixモードをオフにした状態での top コマンドの出力(top 実行後 Shift + i を押下)
  • コマンド cat /proc/cpuinfo の出力
  • コマンド free -m の出力
  • コマンド service --status-all | more の出力

  • <install_path>/secureworks/taegis-agent/log/ にある agent.log ファイル

    注意

    デフォルトのインストールパス: /opt/secureworks/taegis-agent/

  • 該当システム上で診断レポートを出力し、Taegis Endpoint Agent サービスのステータスおよびネットワーク接続状況を以下の場所から確認してください:

    <install_path>/secureworks/taegis-agent/etc/agent_diagnostic_report

    Taegis Agent Diagnostics Report

  • パフォーマンス問題を再現しながら、該当システムで collect_perf コマンドを実行し、パフォーマンスメトリクスを収集してください。出力は以下のディレクトリに保存されます:

    <install_path>/secureworks/taegis-agent/log/

デバッグログの有効化🔗

デバッグログを有効にすることで、該当システムからさらに詳細な情報を収集できます。

  1. 該当システム上で /etc/scwx_agent.json ファイルを編集し、ログレベルをデバッグモード用に D に設定して保存してください。

Set Debug Logging Level

注意

デフォルトでは、scwx_agent.json ファイルは存在しない場合があります。存在しない場合は、このファイルを作成してください。

デバッグログを有効にすると多くのアクティビティが発生し、稼働中のシステムではエージェントのパフォーマンスに影響を与える可能性があります。ON のままにし続けないでください。

  1. コマンド cat /etc/scwx_agent.json を実行し、ログレベルがデバッグモード(D)に設定されていることを確認してください。

  2. 以下のコマンドで Taegis Endpoint Agent サービスを再起動してください:

sudo /<install_path>/secureworks/taegis-agent/log/bin/taegisctl stop

sudo /<install_path>/secureworks/taegis-agent/log/bin/taegisctl start

  1. パフォーマンス問題を10分間再現してください。この間、以下のコマンドの出力を収集してください:

    top -H -p $(pidof taegis)

  2. 10分経過後、以下のディレクトリからすべてのログファイルを提供してください: /<install_path>/secureworks/taegis-agent/log/

  3. 該当エンドポイントからすべての情報を収集し終えたら、/etc/ ディレクトリから scwx_agent.json ファイルを削除し、Taegis Endpoint Agent サービスを再起動してデバッグモードを解除してください。

  4. 収集したすべての情報を サポートチケット 経由で製品サポートへご提供ください。

サービスが起動しない🔗

  • <install_path>/taegis-agent/bin/taegisctl status を実行し、ドライバーがロードされているか確認してください。例:
sudo /opt/secureworks/taegis-agent/bin/taegisctl status

Agent Service Status    :  running   
Updater Service Status  :  running
Driver Loaded           :  true  
Agent is Registered     :  true     
Sink URL                :  wss://sink.c.taegiscloud.com:8443/ws

  • ドライバーがロードされている場合は、<install_path>/taegis-agent/bin/taegisctl start を再度実行してください。サービスが依然として起動しない場合は、journalctl -xe の出力および <install_path>/taegis-agent/log/agent.log のログを取得してください。

  • ドライバーが利用できない場合は、<install_path>/taegis-agent/bin/taegisctl register [--key <regkey>] [--server <servername>] [--allow_missing_driver] を以前と同じ登録情報で実行してください。末尾の --allow_missing_driver フラグにより、ドライバーがロードできない場合でもサービスの起動が可能となります。エージェントは、デフォルトでドライバーが利用可能かつロードされている場合のみ起動する設計です。

アンインストール🔗

一般的な問題は、アンインストール操作を実行するための十分な権限がユーザーにないことが原因です。アンインストールを実行するために、ユーザーが昇格されたロールを持っていることを確認してください。