Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cortex XDR - Linux カーネル モジュールが繰り返しの異常シャットダウンを検出しました - Knowledge Base - Palo Alto Networks

Cortex XDR - Linux カーネル モジュールが繰り返しの異常シャットダウンを検出しました

4529
Created On 07/19/22 19:44 PM - Last Modified 01/03/25 15:54 PM


Symptom


  • Cortex XDRエージェントの動作ステータスが部分的に保護されていると表示される
  • In the trapsd.log, the operational status is showing 20003 on multiple modules. 
    • Current agent operational status {
"antiLpeStatus": 20003,
"antiexploitStatus": 0,
"antimalwareStatus": 20003,
"dseStatus": 20003,
"edrStatus": 20003,
"generalStatus": 0,
"memoryStatus": 0
}
  • 動作ステータスデータは、 Linuxカーネルモジュールが繰り返して異常なシャットダウンを検出したことを示しています。
Operational Status showing kernel module detected repeated ungraceful shutdowns
  • エンドポイントは 1 時間に複数回シャットダウンされました

Environment


  • Cortex XDR エージェント 6.x
  • Cortex XDR エージェント 7.x
  • Cortex XDR エージェント 8.x
  • Linux OS

Cause


Cortex XDR エージェントには、マシンが 1 時間に複数回異常シャットダウンした場合に作動する保護メカニズムがあります。この状態が発生すると、Kernam モジュール (KM) がアンロードされ、エージェント保護が非同期で実行されます。

  • Cortex XDR 7.1 より前のバージョンでは、保護メカニズムによって、1 回の異常シャットダウン後に KM が無効になります。
  • Cortex XDR 7.1 以降では、過去 1 時間以内に 2 回以上のクラッシュが発生すると保護メカニズムが作動します。
  • .load_lock ファイルに複数のエントリがあると、KM がロードされなくなるため、KM を再起動するにはエントリを削除する必要があります。

Resolution


オプション1:

  1. Cortex XDR エージェントのアップグレード (メジャーまたはマイナー アップグレード) を実行します。
  2. アップグレードにより、.load_lock ファイルが再作成され、Cortex XDR コアの異常シャットダウン保護が解除されます。


オプション2: ロードロックファイルを手動で削除する

  1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"): 
     /opt/traps/bin/cytool status
  2. Disable the Cortex XDR Agent with cytool commands: 
    /opt/traps/bin/cytool runtime stop
  3. Remove the load_lock file if it didn't automatically clear: 
    rm "/etc/traps/km/.load_lock"
  4. Enable the Cortex XDR Agent with cytool commands: 
    /opt/traps/bin/cytool runtime start
  5. Check the Agent's Operational Status again to ensure correct status: 
    /opt/traps/bin/cytool status
  • エージェント サービスが起動すると、ロードロック ファイルが再作成されます。これは正常であり、同じ時間に複数回 (少なくとも 2 回) の異常なシャットダウンが検出されない限り、Cortex XDR コア (カーネル モジュール) を起動できるはずです。
  • エージェントが動作ステータス: 機能していることを示す場合でも、XDR テナントで保護が適切に反映されるまでに最大 15 分かかる場合があることに注意してください。
  • この問題が頻繁に発生する場合は、サーバー管理者と協力して、複数の異常なシャットダウンに対処し、これらの発生を最小限に抑える/防止する必要があります。

オプション 3: Cortex XDR エージェントをアンインストールして再インストールします。

Additional Information


非同期保護に関するドキュメント
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,940
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqdACAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language