QRadar EDR (旧 ReaQta)： Linux カーネルのメジャー・バージョンの変更後に Linux エージェント(Keeperx サービスのロード)が失敗する事象について

Troubleshooting

Problem

カーネルが新しいメジャー・バージョンに更新された Linux エンドポイント上で Keeperx サービスがロードに失敗する可能性があります。

Symptom

Linux エンドポイントは QRadar EDR ダッシュボード上に正常に登録されますが、古いバージョン( Outdated version )の警告が表示されます。keeperx サービスのロードに失敗し、エラー・メッセージが表示されます。

Cause

カーネルが新しいメジャー・バージョンに更新されると、keeperx サービスを実行する falco ドライバが破損する可能性があります。

Diagnosing The Problem

以下のコマンドで journalctl ログを確認することができます：

journalctl –xu keeperx

以下のエラーが見つかるかどうか確認してください：

* Trying to compile the eBPF probe (falco_ubuntu-generic_6.2.0-34-generic_34.o)
warning: the compiler differs from the one used to build the kernel
The kernel was built by: x86_64-linux-gnu-gcc-11 (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0
You are using:           gcc-11 (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0
In file included from /usr/src/falco-3.0.1+driver/bpf/probe.c:23:
/usr/src/falco-3.0.1+driver/bpf/fillers.h:855:49: error: member reference base type 'struct percpu_counter[4]' is not a structure or union
bpf_probe_read(&val, sizeof(val), &mm->rss_stat.count[member]);
make[2]: *** [/usr/src/falco-3.0.1+driver/bpf/Makefile:53: /usr/src/falco-3.0.1+driver/bpf/probe.o] Error 1
make[1]: *** [Makefile:2026: /usr/src/falco-3.0.1+driver/bpf] Error 2
make: *** [Makefile:38: all] Error 2
mv: cannot stat '/usr/src/falco-3.0.1+driver/bpf/probe.o': No such file or directory
Unable to load the falco eBPF probe
Please consider upgrading your target system or using keeperx legacy mode.
keeperx.service: Main process exited, code=exited, status=7/NOTRUNNING

注: このエラーは、使用している Linux ディストリビューションや依存関係のためにロードに失敗するドライバによって異なる可能性があります。

Resolving The Problem

エージェントはカーネルの変更に大きく依存し、カーネルのメジャー・アップグレードが行われると、カーネル・ヘッダがすでに存在しているものと仮定して、ドライバは自動的に再コンパイルされます。しかし、依存関係が欠落していると、ドライバが破損する可能性があります。

カーネルのメジャー・バージョンのアップグレードは、アーキテクチャの変更や新機能があることを意味します。マイナー・バージョンのアップグレードは、より小さな更新、バグの修正、潜在的な機能改善を意味します。

Linux カーネルのバージョン番号は X.Y.Z という形式になっています：

X: メジャー・リリース番号
Y: マイナー・リビジョン番号
Z: パッチ番号

そのため、Linux 用 QRadar EDR エージェントをインストールする場合は、Linux のベース・カーネルのバージョンを使用することを推奨いたします。Linux エージェント障害の根本原因を特定できない場合は、QRadar EDR サポートチームへお問い合わせください。

Related Information

翻訳元 (英語) : QRadar EDR (formerly ReaQta) : Linux agent can fail after a major ve…

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSZAA2","label":"Agent-\u003EInstallation-\u003ELinux"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Product Synonym

ReaQta

Was this topic helpful?

Document Information

Modified date:
01 November 2023

UID

ibm17060764

Tips