Resolver problemas comuns

Compatível com:

Este documento oferece uma coleção de dicas e procedimentos para ajudar você a diagnosticar e resolver problemas comuns encontrados durante a implantação e a operação do agente remoto do Google Security Operations.

Problema de incompatibilidade de chaves

Esse problema ocorre quando as chaves privadas no Google Security Operations e no agente remoto não correspondem. Para resolver isso, verifique se a chave nos recursos do agente corresponde à chave no agent_db do Siemplify.

Falha no conector remoto

Se um conector remoto falhar, siga estas etapas:

  1. Verifique se uma instância de integrações foi instalada com sucesso no agente.
  2. Verifique os registros do agente no nível de erro para encontrar falhas no processo de conexão.
  3. Teste a mesma configuração de conector localmente e verifique se há erros.

Falha na implantação do agente do Docker

Se a implantação do Docker falhar, siga estas etapas:

  1. Remova o contêiner do Docker:

    1. Execute o comando a seguir para listar os contêineres em execução:

      docker ps 

    2. Execute o comando a seguir para remover os contêineres com falha:

      docker rm -f container_id_or_name
  2. Remover imagens:

    1. Execute o comando a seguir para listar as imagens:

      docker images 

    2. Execute o comando a seguir para remover a imagem:

      docker rmi image_id_or_name
  3. Remova os volumes:

    1. Execute o comando a seguir para listar os volumes:

      docker volume ls

    2. Execute o comando a seguir para remover os volumes:

      docker volume rm volume_name
  4. Implante o agente novamente. Para mais informações, consulte Criar um agente usando o Docker.

Agente travado no status "Aguardando agente"

Se o agente foi implantado corretamente, mas o status continua "aguardando agente", siga estas etapas para resolver o problema:

  1. Verifique a conectividade do host: teste a conectividade de Internet da máquina host do agente (por exemplo, curl www.google.com ou ping 8.8.8.8). Se isso falhar, o problema é com a conexão de Internet do host.

  2. Verifique a conectividade do contêiner: se o teste do host for aprovado, insira o shell do contêiner usando docker exec -it container_ID bash e verifique a conectividade novamente. Se o contêiner não tiver conectividade, reinicie o serviço do Docker na máquina host (service docker restart).

    1. Execute este comando:

      docker exec -it bash

    2. Verifique a conectividade novamente como fez antes.
    3. Se não houver conectividade, execute o comando a seguir para reiniciar o serviço do Docker na máquina host (não no contêiner):

      service docker restart

    4. Execute o comando a seguir para iniciar o contêiner novamente:

      docker start

  3. Analisar os registros de contêineres em busca de erros

    Se a etapa anterior não ajudar e o status do agente ainda for "aguardando agente" depois de atualizar a página Agente remoto no Google SecOps, faça login novamente no contêiner e extraia os registros.

    1. Encontre os registros no diretório /var/log/SiemplifyAgent/.
    2. Procure erros nos arquivos de registro para identificar a causa raiz.

A imagem do Docker não carrega (o encaminhamento de IP4 está desativado)

Se você encontrar um erro na CLI ao tentar carregar uma imagem (sistema) ou um agente do Docker do Google SecOps, o encaminhamento IP4 pode estar desativado. Siga estas etapas para ativar e reiniciar o agente:

  1. Adicione a seguinte linha ao arquivo /etc/sysctl.conf:

    net.ipv4.ip_forward=1 Use um editor de arquivos, como o nano. Por exemplo: yum install nano -y

  2. Execute o comando a seguir para reiniciar o serviço de rede:

    systemctl restart network

  3. Execute o comando a seguir para reiniciar o serviço do Docker:

    sudo systemctl restart docker

  4. Execute o seguinte comando para verificar se o contêiner está em execução:

    docker ps

  5. Se o contêiner não estiver em execução, execute o seguinte comando para listar todos os contêineres (incluindo os interrompidos):

    docker ps -a

  6. Se o contêiner estiver listado, mas parado, execute o seguinte comando para iniciá-lo:

    docker start container_id_or_name
  7. Se o agente ou o sistema ainda não estiver em execução após a reinicialização do Docker e do contêiner:

    1. Execute o comando a seguir para interromper o contêiner:

      docker stop container_id_or_name

    2. Execute o comando a seguir para excluir o contêiner:

      docker rm container_id_or_name

    3. Execute o comando a seguir para excluir a imagem:

      docker rmi image_name
    4. Carregue a imagem novamente.

Erro após o desligamento ou reinicialização do agente

Execute o seguinte comando para forçar a inicialização do agente do instalador:
systemctl start supervisord

Execute o comando a seguir para forçar a inicialização do agente do Docker:
docker start

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.