Résoudre les problèmes courants

Compatible avec :

Ce document fournit un ensemble de conseils et de procédures pour vous aider à diagnostiquer et à résoudre les problèmes courants rencontrés lors du déploiement et de l'utilisation de l'agent distant Google Security Operations.

Problème de clé non concordante

Ce problème se produit lorsque les clés privées dans Google Security Operations et l'agent à distance ne correspondent pas. Pour résoudre ce problème, assurez-vous que la clé des ressources de l'agent correspond à celle de agent_db Siemplify.

Échec du connecteur à distance

Si un connecteur à distance échoue, procédez comme suit :

  1. Vérifiez qu'une instance d'intégration est correctement installée sur l'agent.
  2. Consultez les journaux de l'agent au niveau des erreurs pour identifier les échecs du processus de connexion.
  3. Testez la même configuration de connecteur en local et vérifiez s'il y a des erreurs.

Échec du déploiement de l'agent Docker

Si le déploiement Docker échoue, procédez comme suit :

  1. Supprimez le conteneur Docker :

    1. Exécutez la commande suivante pour lister les conteneurs en cours d'exécution :

      docker ps 

    2. Exécutez la commande suivante pour supprimer les conteneurs ayant échoué :

      docker rm -f container_id_or_name
  2. Supprimer des images :

    1. Exécutez la commande suivante pour lister les images :

      docker images 

    2. Exécutez la commande suivante pour supprimer l'image :

      docker rmi image_id_or_name
  3. Supprimez les volumes :

    1. Exécutez la commande suivante pour lister les volumes :

      docker volume ls

    2. Exécutez la commande suivante pour supprimer les volumes :

      docker volume rm volume_name
  4. Redéployez l'agent. Pour en savoir plus, consultez Créer un agent à l'aide de Docker.

Agent bloqué à l'état "En attente de l'agent"

Si l'agent a été déployé avec succès, mais que l'état reste "En attente de l'agent", suivez ces étapes pour résoudre le problème :

  1. Vérifier la connectivité de l'hôte : testez la connectivité Internet de la machine hôte de l'agent (par exemple, curl www.google.com ou ping 8.8.8.8). Si ce test échoue, le problème concerne la connexion Internet de l'hôte.

  2. Vérifiez la connectivité du conteneur : si le test de l'hôte réussit, saisissez le shell du conteneur à l'aide de docker exec -it container_ID bash, puis vérifiez à nouveau la connectivité. Si le conteneur n'est pas connecté, redémarrez le service Docker sur la machine hôte (service docker restart).

    1. Exécutez la commande suivante :

      docker exec -it bash

    2. Vérifiez à nouveau la connectivité comme vous l'avez fait précédemment.
    3. S'il n'y a pas de connectivité, exécutez la commande suivante pour redémarrer le service Docker à partir de la machine hôte (et non du conteneur) :

      service docker restart

    4. Exécutez la commande suivante pour redémarrer le conteneur :

      docker start

  3. Rechercher les erreurs dans les journaux de conteneur

    Si l'étape précédente n'a pas résolu le problème et que l'état de l'agent est toujours "En attente d'un agent" après l'actualisation de la page Agent distant dans Google SecOps, reconnectez-vous au conteneur et extrayez les journaux.

    1. Recherchez les journaux dans le répertoire /var/log/SiemplifyAgent/.
    2. Recherchez d'éventuelles erreurs dans les fichiers journaux pour identifier la cause première.

Échec du chargement de l'image Docker (le transfert IP4 est désactivé)

Si une erreur s'affiche dans la CLI lorsque vous essayez de charger une image Docker (système) ou un agent Google SecOps, il est possible que le transfert IP4 soit désactivé. Pour l'activer et redémarrer votre agent, procédez comme suit :

  1. Ajoutez la ligne suivante au fichier /etc/sysctl.conf :

    net.ipv4.ip_forward=1 Notez que vous devrez utiliser un éditeur de fichiers (comme nano, par exemple) : yum install nano -y

  2. Exécutez la commande suivante pour redémarrer le service réseau :

    systemctl restart network

  3. Exécutez la commande suivante pour redémarrer le service Docker :

    sudo systemctl restart docker

  4. Exécutez la commande suivante pour vérifier si le conteneur est en cours d'exécution :

    docker ps

  5. Si le conteneur n'est pas en cours d'exécution, exécutez la commande suivante pour lister tous les conteneurs (y compris ceux qui sont arrêtés) :

    docker ps -a

  6. Si le conteneur est listé, mais arrêté, exécutez la commande suivante pour le démarrer :

    docker start container_id_or_name
  7. Si l'agent ou le système ne fonctionnent toujours pas après le redémarrage de Docker et du conteneur :

    1. Exécutez la commande suivante pour arrêter le conteneur :

      docker stop container_id_or_name

    2. Exécutez la commande suivante pour supprimer le conteneur :

      docker rm container_id_or_name

    3. Exécutez la commande suivante pour supprimer l'image :

      docker rmi image_name
    4. Rechargez l'image.

Erreur après l'arrêt ou le redémarrage de l'agent

Exécutez la commande suivante pour forcer le démarrage de l'agent d'installation :
systemctl start supervisord

Exécutez la commande suivante pour forcer le démarrage de l'agent Docker :
docker start

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.