收集器故障排除
如果您的InsightIDR Collector有问题,您可以使用下面的一些故障排除步骤来尝试和解决问题:
- 采集器激活密钥不工作
- 收集器显示为非活动状态
- 增加收集器的RAM
- 收集日志位置
- Syslog数据未出现
- 监视不支持的事件源
- 错误:不合格的主机名
- 收集器在写入溢出目录时卡住
- 没有发现与ID有关的凭证
- 墓碑上的错误
- 采集器被防病毒阻止
Linux特有的错误包括:
采集器激活密钥不工作
首先,确保您有正确的激活密钥。它位于安装Collector的目标目录的insightidr/agent_key子目录中的AgentKey.html文件中。
如果密钥是正确的,但仍然不起作用,可能已经失效了。如果您在安装后立即启动收集器或者已重新启动安装收集器的服务器,则可能会发生这种情况。
如果激活密钥已被无效,您将需要删除并重新安装您的收集器.
收集器显示为非活动状态
尝试重新启动Collector服务。如果重新启动不能解决您的问题,请联系Rapid7支持。
- 对于Linux采集器,执行命令
服务收藏家重启从命令行。在某些系统上,此命令可能需要超级用户权限(sudo). - 对于Windows收集器,打开Services应用程序并重新启动'Collector'服务。
采集器激活失败
如果激活失败,很可能是网络或路由配置阻止了您的Collector主机与Insight平台通信。dota2必威联赛请记住以下url应该被允许在防火墙/web代理中:
美国客户
我们地区1
我们地区2
- https://us2.data.insight.rapid7.com
- https://us2.endpoint.ingress.rapid7.com
- https://s3.us-east-2.amazonaws.com.
美国地区3
- https://us3.data.insight.rapid7.com
- https://us3.endpoint.ingress.Rapid7.com.
- https://s3.us-west-2.amazonaws.com
欧洲客户
- https://eu.data.insight.rapid7.com.
- https://eu.endpoint.ingress.rapid7.com
- https://s3.eu-central-1.amazonaws.com.
加拿大客户
- https://ca.data.insight.rapid7.com
- https://ca.endpoint.ingress.rapid7.com
- https://s3-ca-central-1.amazonaws.com
澳大利亚的客户
- https://au.data.insight.rapid7.com.
- https://au.endpoint.ingress.rapid7.com
- https://s3-ap-southeaze-2.amazonaws.com.
日本客户
- https://ap.data.insight.rapid7.com
- https://ap.endpoint.ingress.Rapid7.com.
- https://s3-ap-southeaze-2.amazonaws.com.
将RAM增加到收藏家
您可以在需要大量RAM的环境中增加分配给收集器的RAM量。为此,请将文件放在与名称安装收集器的同一目录中collector.vmoptions其中包含该行:g - xmx #.
其中“#”是收集器应该使用的内存的GB数。
- 对于4GB的机器,您可以通过放置命令告诉收集器使用3GB的内存
-Xmx3g在文件中。 - 对于8GB的机器,您可以通过节省收集器来告诉收集器占用6GB内存。在收集器目录中的Vmoptions文件中添加一行
-XMX6G..
收集日志位置
如果需要查看采集器的日志进行故障处理,可以在以下位置找到:[installation_directory] /收集器/日志
Syslog数据未出现
如果Collector有一个正在运行的本地防火墙,该防火墙可能会阻塞您为事件源配置的端口。检查防火墙设置,确保设备可以通过配置的端口与InsightIDR采集器通信。如果防火墙设置似乎是正确的,请尝试停止当前事件源,并配置一个Rapid7 Generic Syslog事件源来监听同一个端口。如果generic syslog显示为EPM,说明日志格式有问题。联系技术支持以获得进一步的帮助。
监视不支持的事件源
你可以使用Rapid7通用事件源监视某些不支持的事件源。你也可以尝试同样的方法通用的Syslog.
错误:不合格的主机名
错误:主机名[运行收集器的机器的主机名]不是完全限定的。代理可能无法连接到此收集器
要解决此错误,请执行以下操作之一:
在VM上:
- 关闭虚拟机。
- 将机器名称更改为FQDN。
- 启动虚拟机。
适用于Windows:
- 在“控制面板”中,选择“网络和共享中心”改变设置在“计算机名称,域和工作组设置”部分中。
- 右键单击您正在配置和选择的网络适配器属性.
- 选择互联网协议4(TCP / IPv4)然后选择属性.点击先进的然后DNS.
- 添加DNS后缀(或后缀)。
Linux:
- 配置/etc/hosts文件,使第一个条目为
IP别名主机名.例如:
1
IPAddress主机别名
2
127.0.0.1 thishost.mydomain.org thishost
- 重新启动网络以应用更改。
收集器在写入溢出目录时卡住
在与云存在连接问题的情况下,InsightIDR Collector可能会开始不断地将数据写入溢出目录。溢出目录作为一种临时方式来保存数据,直到重新建立到Insight Cloud的连接。
但是,如果Collector重新建立云连接,但不停止向溢出目录写入数据,可能会影响Collector性能。如果你看到这种行为,并且它与高CPU和长时间延迟事件相关,请使用以下指令停止它:
- 运行如下命令停止采集器:
Sudo服务收集器停止 - 如果停止Collector服务的命令超时,可以使用以下命令来终止进程:
kill $(ps aux | grep'[c] oller | awk'{print $ 2}')- 如果您使用的是Windows,则可以通过任务管理器杀死此过程
- 然后,必须移动或删除溢出目录的内容。
- 如果你是Mac用户,目录位于这里:/rapid7//spillover-directory/
- 如果您是Windows用户,则目录位于收集器安装文件夹中。
- 在Windows中通过服务器管理器或运行以下命令启动收集器:
/etc/init.d /收藏家开始 - 检查InsightIDR,确认Collector运行正常,CPU和内存均为绿色。
- 在接下来的24小时内监视Collector日志,以确保上述步骤纠正了问题。
没有发现与ID有关的凭证
错误:No credential found with ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
此错误表明收集器上的事件源级别的连接有问题。要解决此错误,请从InsightIDR中删除事件源,然后重新创建它。
采集器被防病毒阻止
终端安全应用程序(如McAfee威胁情报交换、CylancePROTECT、Carbon Black等)可能会根据您的检测和响应设置标记、阻止或从您的资产中删除收集器。
为了防止这种情况发生,我们建议您为收集器的目录配置一个允许列表规则,以便端点安全软件不会意外地瞄准它。
Linux安装错误
在Linux主机上安装采集器时,可能会出现以下错误:
java
1
打开包装杰瑞...
2
开始安装程序...
3.
java.朗.NoClassDefFoundError:java.AWT..容器
4
在COM..install4j.运行.安装程序.前端.无头.AbstractHeadlessScreenExecutor.初始化(AbstractHeadlessScreenExecutor.java:67)
5
在COM..install4j.运行.安装程序.前端.无头.consololecreenexecutor..初始化(consololecreenexecutor..java:24)
6
在COM..install4j.运行.安装程序.前端.无头.InstallerConsoloScleEnexecutor..初始化(InstallerConsoloScleEnexecutor..java:6)
7
在COM..install4j.运行.安装程序.安装程序.GetScreenexecutor.(安装程序.java:92.)
8
在COM..install4j.运行.安装程序.安装程序.RunInprocess.(安装程序.java:58)
9
在COM..install4j.运行.安装程序.安装程序.主要(安装程序.java:46)
10
在阳光下.反映.NativeMethodAccessorImpl.invoke0(本地的方法)
11
在阳光下.反映.NativeMethodAccessorImpl.调用(未知的来源)
12
在阳光下.反映.DelegatingMethodAccessorImpl.调用(未知的来源)
13
在java.朗.反映.方法.调用(未知的来源)
14
在COM..exe4j.运行.LauncherEngine.发射(LauncherEngine.java:65)
15
在COM..install4j.运行.发射器.Unixlauncher..主要(Unixlauncher..java:57)
要解决此问题,请在控制台模式下运行安装程序,方法是添加- csudo。/ InsightSetup-Linux64.sh - c
找不到Linux激活密钥
如果你找不到Linux安装的激活密钥,你可以在这里找到它:/opt/rapid7/collector/agent-key/agent_key.html.
在Rh Linux上卸载错误
当在RHEL机器上卸载Collector时,如果看到此错误,请完成以下操作:
1
无法显示GUI。该应用程序需要访问X服务器。
2
*******************************************************************
3.
您还可以在控制台模式下运行此应用程序
4
通过传递参数-c来访问X服务器
5
*******************************************************************
- 安装RPM包
redhat-lsb.i686 - 再次运行卸载脚本。
Linux Collector缺少Collector详细信息
查看您的Linux收集器详细信息数据收集>数据收集运行状况>收集器。
如果您的Linux采集器没有显示详细信息,如主机名、IP地址、操作系统版本或CPU和内存使用情况,收集器可能有问题运行代码/ tmp目录中。
一些Linux发行版阻止代码在/ tmp目录的安全原因。要验证这就是问题所在,打开Collector的日志文件,查找类似如下的日志行:
1
java.lang.UnsatisfiedLinkError: / tmp / jna - 3506402 / jna5825717272410834572.tmp: / tmp / jna - 3506402 / jna5825717272410834572.tmp:未能从共享对象映射部分:操作不允许的
要修复此问题,请在/ opt / Rapid7 /收集器目录:
1
-Djava.io. conf . conftmpdir = / tmp / opt / rapid7 /收集器”> collector.vmoptions”
然后,在执行上述命令后重新启动Collector服务以解决问题。
增加Linux上收集器的文件描述符限制
对于某些操作系统,如CentOS和RHEL 6,使用的glibc版本与Collector要求的版本不兼容。通常可以通过查看采集器日志中的以下日志信息来识别:
1
warn cnc-sync-worker-00 com.rapid7.razor.collector.endpoint.cloudproxy.impl.jna.processlimits:101 - 无法链接到C标准库 - 本机方法将被禁用
2
java.lang.UnsatisfiedLinkError: / tmp / jna - 3506402 / jna1776262045738086760.tmp: / lib64 / libc.so。6: version ' GLIBC_2.14' not found (required by /tmp/jna-3506402/jna1776262045738086760.tmp)
要解决此问题,请执行以下操作:
- 编辑
/ opt / rapid7 /收集器/收集器并在初始注释后添加以下行:
壳牌
1
#取消下面一行的注释,以添加额外的虚拟机参数
2
# INSTALL4J_ADD_VM_PARAMS =
3.
4
ulimit接下来的100000
5
ulimit-SN.100000
- 通过运行命令重新启动采集器服务。
1
服务收藏家重启
- 通过查找以下输出,验证限制已更改成功
/opt/rapid7/collector/logs/collector.log.
1
2017-11-20 06:21:01. 01.039 INFOEndpointCloudProxy:119 - numCores: 1, maxFileDescriptors:100000
2
2017-11-20 06:21:01.044信息CNC-Sync-Worker-00 Com.Rapid7.Razor.Collector.Endpoint.Cloudproxy.impl.EndPointCloudProxy:120 - ThrottLemaxConnectionSperseCond:10,MaxPendingTask:1024(128 * 8)