Troubleshooting
Problem
カーネルが新しいメジャー・バージョンに更新された Linux エンドポイント上で Keeperx サービスがロードに失敗する可能性があります。
Symptom
Linux エンドポイントは QRadar EDR ダッシュボード上に正常に登録されますが、古いバージョン( Outdated version )の警告が表示されます。keeperx サービスのロードに失敗し、エラー・メッセージが表示されます。
Cause
カーネルが新しいメジャー・バージョンに更新されると、keeperx サービスを実行する falco ドライバが破損する可能性があります。
Diagnosing The Problem
以下のコマンドで journalctl ログを確認することができます:
journalctl –xu keeperx
以下のエラーが見つかるかどうか確認してください:
* Trying to compile the eBPF probe (falco_ubuntu-generic_6.2.0-34-generic_34.o)
warning: the compiler differs from the one used to build the kernel
The kernel was built by: x86_64-linux-gnu-gcc-11 (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0
You are using: gcc-11 (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0
In file included from /usr/src/falco-3.0.1+driver/bpf/probe.c:23:
/usr/src/falco-3.0.1+driver/bpf/fillers.h:855:49: error: member reference base type 'struct percpu_counter[4]' is not a structure or union
bpf_probe_read(&val, sizeof(val), &mm->rss_stat.count[member]);
make[2]: *** [/usr/src/falco-3.0.1+driver/bpf/Makefile:53: /usr/src/falco-3.0.1+driver/bpf/probe.o] Error 1
make[1]: *** [Makefile:2026: /usr/src/falco-3.0.1+driver/bpf] Error 2
make: *** [Makefile:38: all] Error 2
mv: cannot stat '/usr/src/falco-3.0.1+driver/bpf/probe.o': No such file or directory
Unable to load the falco eBPF probe
Please consider upgrading your target system or using keeperx legacy mode.
keeperx.service: Main process exited, code=exited, status=7/NOTRUNNING
注: このエラーは、使用している Linux ディストリビューションや依存関係のためにロードに失敗するドライバによって異なる可能性があります。
Resolving The Problem
エージェントはカーネルの変更に大きく依存し、カーネルのメジャー・アップグレードが行われると、カーネル・ヘッダがすでに存在しているものと仮定して、ドライバは自動的に再コンパイルされます。しかし、依存関係が欠落していると、ドライバが破損する可能性があります。
カーネルのメジャー・バージョンのアップグレードは、アーキテクチャの変更や新機能があることを意味します。マイナー・バージョンのアップグレードは、より小さな更新、バグの修正、潜在的な機能改善を意味します。
Linux カーネルのバージョン番号は X.Y.Z という形式になっています:
- X: メジャー・リリース番号
- Y: マイナー・リビジョン番号
- Z: パッチ番号
そのため、Linux 用 QRadar EDR エージェントをインストールする場合は、Linux のベース・カーネルのバージョンを使用することを推奨いたします。Linux エージェント障害の根本原因を特定できない場合は、QRadar EDR サポートチームへお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSZAA2","label":"Agent-\u003EInstallation-\u003ELinux"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Product Synonym
ReaQta
Was this topic helpful?
Document Information
Modified date:
01 November 2023
UID
ibm17060764