일반적인 문제 해결

다음에서 지원:

이 문서에서는 Google Security Operations 원격 에이전트의 배포 및 운영 중에 발생하는 일반적인 문제를 진단하고 해결하는 데 도움이 되는 도움말과 절차를 제공합니다.

키 불일치 문제

이 문제는 Google Security Operations와 원격 에이전트의 비공개 키가 일치하지 않을 때 발생합니다. 이 문제를 해결하려면 에이전트 리소스의 키가 Siemplify agent_db의 키와 일치해야 합니다.

원격 커넥터 오류

원격 커넥터가 실패하면 다음 단계를 따르세요.

  1. 통합 인스턴스가 에이전트에 성공적으로 설치되었는지 확인합니다.
  2. 오류 수준에서 에이전트 로그를 확인하여 연결 프로세스의 실패를 찾습니다.
  3. 동일한 커넥터 구성을 로컬에서 테스트하여 오류가 있는지 확인합니다.

Docker 에이전트 배포 실패

Docker 배포가 실패하면 다음 단계를 따르세요.

  1. Docker 컨테이너를 삭제합니다.

    1. 다음 명령어를 실행하여 실행 중인 컨테이너를 나열합니다.

      docker ps 

    2. 다음 명령어를 실행하여 실패한 컨테이너를 삭제합니다.

      docker rm -f container_id_or_name
  2. 이미지 삭제:

    1. 다음 명령어를 실행하여 이미지를 나열합니다.

      docker images 

    2. 다음 명령어를 실행하여 이미지를 삭제합니다.

      docker rmi image_id_or_name
  3. 볼륨 삭제:

    1. 다음 명령어를 실행하여 볼륨을 나열합니다.

      docker volume ls

    2. 다음 명령어를 실행하여 볼륨을 삭제합니다.

      docker volume rm volume_name
  4. 에이전트를 다시 배포합니다. 자세한 내용은 Docker를 사용하여 에이전트 만들기를 참고하세요.

상담사가 '상담사 대기 중' 상태로 멈춤

에이전트가 성공적으로 배포되었지만 상태가 '에이전트 대기 중'으로 유지되면 다음 단계에 따라 문제를 해결하세요.

  1. 호스트 연결 확인: 에이전트 호스트 머신의 인터넷 연결 (예: curl www.google.com 또는 ping 8.8.8.8)을 테스트합니다. 이 테스트에 실패하면 호스트의 인터넷 연결에 문제가 있는 것입니다.

  2. 컨테이너 연결 확인: 호스트 테스트를 통과하면 docker exec -it container_ID bash를 사용하여 컨테이너 셸을 입력하고 연결을 다시 확인합니다. 컨테이너에 연결이 없으면 호스트 머신에서 Docker 서비스를 다시 시작합니다(service docker restart).

    1. 다음 명령어를 실행합니다.

      docker exec -it bash

    2. 이전과 같이 연결 상태를 다시 확인합니다.
    3. 연결이 없으면 다음 명령어를 실행하여 컨테이너가 아닌 호스트 머신에서 Docker 서비스를 다시 시작합니다.

      service docker restart

    4. 다음 명령어를 실행하여 컨테이너를 다시 시작합니다.

      docker start

  3. 컨테이너 로그에서 오류 검토

    이전 단계가 도움이 되지 않았고 Google SecOps에서 원격 에이전트 페이지를 새로고침한 후에도 에이전트 상태가 '에이전트 대기 중'인 경우 컨테이너에 다시 로그인하고 로그를 가져옵니다.

    1. /var/log/SiemplifyAgent/ 디렉터리에서 로그를 찾습니다.
    2. 로그 파일에서 오류를 찾아 근본 원인을 파악합니다.

Docker 이미지를 로드할 수 없음 (IP4 전달이 사용 중지됨)

Google SecOps Docker 이미지 (시스템) 또는 에이전트를 로드하려고 할 때 CLI에 오류가 표시되면 IP4 전달이 사용 중지되었을 수 있습니다. 다음 단계에 따라 사용 설정하고 에이전트를 다시 시작하세요.

  1. /etc/sysctl.conf 파일에 다음 줄을 추가합니다.

    net.ipv4.ip_forward=1 파일 편집기 (예: nano)를 사용해야 합니다. 다음을 사용하세요. yum install nano -y

  2. 다음 명령어를 실행하여 네트워크 서비스를 다시 시작합니다.

    systemctl restart network

  3. 다음 명령어를 실행하여 Docker 서비스를 다시 시작합니다.

    sudo systemctl restart docker

  4. 다음 명령어를 실행하여 컨테이너가 실행 중인지 확인합니다.

    docker ps

  5. 컨테이너가 실행되고 있지 않으면 다음 명령어를 실행하여 중지된 컨테이너를 포함한 모든 컨테이너를 나열합니다.

    docker ps -a

  6. 컨테이너가 나열되지만 중지된 경우 다음 명령어를 실행하여 시작합니다.

    docker start container_id_or_name
  7. Docker와 컨테이너를 다시 시작한 후에도 에이전트 또는 시스템이 실행되지 않으면 다음 단계를 따르세요.

    1. 다음 명령어를 실행하여 컨테이너를 중지합니다.

      docker stop container_id_or_name

    2. 다음 명령어를 실행하여 컨테이너를 삭제합니다.

      docker rm container_id_or_name

    3. 다음 명령어를 실행하여 이미지를 삭제합니다.

      docker rmi image_name
    4. 이미지를 다시 로드합니다.

에이전트 종료 또는 재부팅 후 오류

다음 명령어를 실행하여 설치 프로그램 에이전트를 강제 시작합니다.
systemctl start supervisord

다음 명령어를 실행하여 Docker 에이전트를 강제 시작합니다.
docker start

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.