Pourquoi a cessé EDR de travailler sur un Linux pris en charge et pris en charge la version OS Kernel après qu’il a été arrêté?
7191
Created On 10/12/20 11:53 AM - Last Modified 02/02/25 16:33 PM
Question
Pourquoi a cessé EDR de travailler sur un Linux pris en charge et pris en charge la version OS Kernel après qu’il a été arrêté?
Environment
Cortex XDR versions 6.0.x, 6.1.x et 7.0.x.
Answer
Cortex XDR L’agent a un mécanisme de protection que nous utilisons, ce mécanisme entre en jeu lorsque la machine est arrêtée sans grâce.
Si le point final a été désactivé par le vCenter au lieu d’utiliser la commande appropriée à partir d’un shell, Cortex XDR l’agent détecte un arrêt anormal de la machine et ne chargera pas le module Kernel (nécessaire pour EDR fonctionner) jusqu’à ce qu’il soit manuellement chargé de le faire.
Additional Information
Pour identifier c’est le scénario qui explique pourquoi le module de noyau nécessaire pour EDR n’a pas été chargé, vous pouvez utiliser la prochaine commande :
/etc/init.d/traps_core démarrer
Dans ce scénario Il conduira au prochain résultat: Noyau de chargement ... noyau détecté une erreur du système et
Traps
Traps s’est empêché de charger!
Pour être sûr que ce n’est pas dû à un accident, vous pouvez valider que le répertoire crash est vide dans les Cortex XDR journaux d’agent.
Pour contourner ce problème, vous devez arrêter l’agent, forcer le puis KM re-charger l’agent:
/opt/ traps /bin/cytool runtime stop all # stop the Agent
/etc/init.d/traps_core force-start # force-start the KM
/opt/ traps /bin/cytool runtime stop all # start the Agent »