Warum funktionierte die EDR Kernel-Version nach dem Herunterfahren nicht OS mehr?
7203
Created On 10/12/20 11:53 AM - Last Modified 02/02/25 16:33 PM
Question
Warum funktionierte die EDR Kernel-Version nach dem Herunterfahren nicht OS mehr?
Environment
Cortex XDR Versionen 6.0.x, 6.1.x und 7.0.x.
Answer
Der Cortex XDR Agent hat einen Schutzmechanismus, den wir verwenden, dieser Mechanismus tritt ein, wenn die Maschine ungeschickt heruntergefahren wird.
Wenn der Endpunkt über das vCenter deaktiviert wurde, anstatt den entsprechenden Befehl von einer Shell zu verwenden, erkennt der Cortex XDR Agent eine ungewöhnliche Maschinenabschaltung und lädt das Kernelmodul (erforderlich für die Funktion ) erst, wenn er EDR manuell dazu aufgefordert wird.
Additional Information
Um dies zu identifizieren, ist das Szenario, das erklärt, warum das Kernel-Modul, für das EDR nicht geladen wurde, verwendet wurde, können Sie den nächsten Befehl verwenden:
/etc/init.d/traps_core start
In diesem Szenario wird es zum nächsten Ergebnis führen:
Laden Traps
Traps kern... Core erkannte einen Systemfehler und verhinderte sich selbst am Laden!
Um sicher zugehen zu können, dass dies aufgrund eines Absturzes nicht der Fall ist, können Sie überprüfen, ob das Absturzverzeichnis in den Cortex XDR Agentenprotokollen leer ist.
Um dieses Problem zu umgehen, sollten Sie den Agenten beenden, den Agenten erzwingen KM und dann den Agenten neu laden:
/opt/ traps /bin/cytool-Laufzeit stoppen Sie alle - stoppen
Sie den Agenten/etc/init.d/traps_core force-start - force-start the KM
/opt/ traps /bin/cytool runtime stop all ' start the Agent"