Risolvere i problemi comuni

Supportato in:

Questo documento fornisce una raccolta di suggerimenti e procedure per aiutarti a diagnosticare e risolvere i problemi comuni riscontrati durante il deployment e il funzionamento dell'agente remoto di Google Security Operations.

Problema di mancata corrispondenza della chiave

Questo problema si verifica quando le chiavi private in Google Security Operations e nell'agente remoto non corrispondono. Per risolvere il problema, assicurati che la chiave nelle risorse dell'agente corrisponda a quella in Siemplify agent_db.

Errore del connettore remoto

Se un connettore remoto non funziona, segui questi passaggi:

  1. Verifica che un'istanza di integrazioni sia stata installata correttamente sull'agente.
  2. Controlla i log dell'agente a livello di errore per trovare eventuali errori nella procedura di connessione.
  3. Testa la stessa configurazione del connettore localmente e verifica la presenza di errori.

Errore di deployment dell'agente Docker

Se il deployment di Docker non riesce, segui questi passaggi:

  1. Rimuovi il container Docker:

    1. Esegui il comando seguente per elencare i container in esecuzione:

      docker ps 

    2. Esegui questo comando per rimuovere i container non riusciti:

      docker rm -f container_id_or_name
  2. Rimuovi immagini:

    1. Esegui questo comando per elencare le immagini:

      docker images 

    2. Esegui questo comando per rimuovere l'immagine:

      docker rmi image_id_or_name
  3. Rimuovi volumi:

    1. Esegui questo comando per elencare i volumi:

      docker volume ls

    2. Esegui questo comando per rimuovere i volumi:

      docker volume rm volume_name
  4. Esegui di nuovo il deployment dell'agente. Per saperne di più, consulta Creare un agente utilizzando Docker.

L'agente è bloccato nello stato "In attesa dell'agente"

Se l'agente è stato implementato correttamente, ma lo stato rimane "In attesa dell'agente", segui questi passaggi per risolvere il problema:

  1. Controlla la connettività dell'host: testa la connettività a internet della macchina host dell'agente (ad esempio curl www.google.com o ping 8.8.8.8). Se il test non va a buon fine, il problema riguarda la connessione a internet dell'host.

  2. Controlla la connettività del container: se il test dell'host viene superato, inserisci la shell del container utilizzando docker exec -it container_ID bash e controlla di nuovo la connettività. Se il container non ha connettività, riavvia il servizio Docker sulla macchina host (service docker restart).

    1. Esegui questo comando:

      docker exec -it bash

    2. Controlla di nuovo la connettività come hai fatto in precedenza.
    3. Se non è presente connettività, esegui il comando seguente per riavviare il servizio Docker dalla macchina host (non dal container):

      service docker restart

    4. Esegui questo comando per avviare di nuovo il container:

      docker start

  3. Esamina i log dei container per individuare gli errori

    Se il passaggio precedente non ha risolto il problema e lo stato dell'agente è ancora "In attesa dell'agente" dopo aver aggiornato la pagina Agente remoto in Google SecOps, accedi di nuovo al container ed estrai i log.

    1. Trova i log nella directory /var/log/SiemplifyAgent/.
    2. Cerca eventuali errori nei file di log per identificare la causa principale.

Impossibile caricare l'immagine Docker (l'inoltro IP4 è disabilitato)

Se visualizzi un errore nella CLI quando provi a caricare un'immagine Docker (sistema) o un agente Google SecOps, l'inoltro IP4 potrebbe essere disattivato. Segui questi passaggi per attivarlo e riavviare l'agente:

  1. Aggiungi la seguente riga al file /etc/sysctl.conf:

    net.ipv4.ip_forward=1 Tieni presente che dovrai utilizzare un editor di file (ad esempio nano): yum install nano -y

  2. Esegui questo comando per riavviare il servizio di rete:

    systemctl restart network

  3. Esegui questo comando per riavviare il servizio Docker:

    sudo systemctl restart docker

  4. Esegui questo comando per verificare se il container è in esecuzione:

    docker ps

  5. Se il container non è in esecuzione, esegui il seguente comando per elencare tutti i container (inclusi quelli arrestati):

    docker ps -a

  6. Se il container è elencato ma arrestato, esegui questo comando per avviarlo:

    docker start container_id_or_name
  7. Se l'agente o il sistema non è ancora in esecuzione dopo il riavvio di Docker e del container:

    1. Esegui questo comando per arrestare il container:

      docker stop container_id_or_name

    2. Esegui questo comando per eliminare il container:

      docker rm container_id_or_name

    3. Esegui questo comando per eliminare l'immagine:

      docker rmi image_name
    4. Carica di nuovo l'immagine.

Errore dopo l'arresto o il riavvio dell'agente

Esegui questo comando per forzare l'avvio dell'agente di installazione:
systemctl start supervisord

Esegui questo comando per forzare l'avvio dell'agente Docker:
docker start

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.