Prisma Cloud 计算:API错误 (500):文字 true 中的无效字符“i”(应为“r”):未知
8009
Created On 11/20/22 19:52 PM - Last Modified 04/21/23 02:08 AM
Symptom
- Defender 安装正确,但会扫描出类似于以下内容的错误:
ERRO 2022-10-14T15:10:27.685 scanner.go:601 Failed to list containers. Error failed to query the processes of container 57bf765f4fba8f85bd0fd5ae38d.....: API error (500): invalid character 'i' in literal true (expecting 'r'): unknown
- Defender 主机上以下命令的输出:
cat /etc/containers/storage.conf | grep -i "override_kernel_check" is override_kernel_check = "true"
- Defender 扫描的结果不会显示在 Prisma 控制台用户界面上(UI ) 由于扫描的不完整性质
Environment
- 红帽企业 Linux 7 (RHEL7)
- 集装箱卫士
- 红帽企业 Linux 原子主机
- Prisma Cloud 计算 (v22.06.179)
- 码头工人 20.10.18-3.el7
Cause
- 上述错误的原因是具有旧内核的 RHEL7 主机与容器 Defender 之间的交互
- A RHEL7 主机运行旧内核版本: 3.10.0-1160.76.1.el7.x86_6其中包含已弃用的设置: override_kernel_check =“真”
- 这APIerror (500) 是由类似于以下错误的错误引起的:
time="2022-10-13T12:03:57-04:00" level=warning msg="Failed to decode the keys [\"storage.options.override_kernel_check\"] from \"/etc/containers/storage.conf\"."”Defender 在扫描过程中期望在标准输出中显示“true”,但不是弹出“time=...”警告,因为它期望“r”但得到“i”。 这个词按预期以“t”开头,但随后是“i”,Defender 期望“r”为真
Resolution
- 此问题的当前解决方法是立即删除override_kernel_check来自存储配置文件文件存在于相关主机上的 /etc/containers
- 将 HostOS 升级到 RHEL8 也可以解决该问题
Additional Information
- 内部团队已解决此问题,其修复预计将在 Maxwell 发布 Prisma Compute 时上线
- 有用和相关的链接: