为什么在 EDR 支持Linux OS 和支持的内核版本关闭后停止工作?
7207
Created On 10/12/20 11:53 AM - Last Modified 02/02/25 16:33 PM
Question
为什么在 EDR 支持Linux OS 和支持的内核版本关闭后停止工作?
Environment
Cortex XDR 版本 6.0.x、 6.1.x 和 7.0.x.
Answer
代理 Cortex XDR 有我们正在使用的保护机制,当机器不礼貌地关闭时,该机制就会启动。
如果端点通过 vCenter 关闭,而不是使用来自外壳的相应命令, Cortex XDR 代理会检测到异常的机器关闭,并且在手动指示之前不会加载内核模块(需要 EDR 运行)。
Additional Information
要确定这一点,可以解释为什么没有加载所需的内核模块, EDR 您可以使用下
一个命令:/etc/init.d/traps_core启动
在这种情况下,它将导致下
Traps
Traps 一个
结果:加载核心。。。要确保它不是由于崩溃,您可以验证崩溃目录是空的 Cortex XDR 代理日志。
要解决此问题,您应该停止代理,强制启动 KM 代理,然后重新加载代理:/
选择 traps //bin/细胞运行时间停止所有 • 停止代理
/等/init.d/traps_core强制启动 # 强制启动KM
/选择 traps //bin/细胞运行时间停止所有 # 启动代理"