Troubleshooting
Problem
EDR Linux エージェント v0.80.1 が、eBPF プローブのロードの問題により、一部のエンドポイントで起動に失敗します。
Symptom
トレース・ログには、以下のような長い eBPF プローブ・ダンプが表示されます:
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: from 1992 to 1993: R0=inv(id=0,umin_value=18446744071562067968,var_off=(0xffffffff80000000; 0x7fffffff)) R6=ctx(id=0,off=0,imm=0) R7=map_value(id=0,off=0,ks=4,vs=197,imm=0) R8=inv(id=0,umin_value=77826,umax_value=4295098342,var_off=(0x0; 0x1ffffffff)) R9=inv(id=0,umin_value=18446744071562067968,var_off=(0xffffffff80000000; 0x7fffffff)) R10=fp0,call_-1 fp-88=map_value fp-96=map_value fp-104=map_value fp-112=ctx
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1993: (bf) r9 = r0
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1994: (67) r9 <<= 32
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1995: (c7) r9 s>>= 32
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1996: (b7) r1 = 2
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1997: (6d) if r1 s> r9 goto pc-1526
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: R0=inv(id=0,umin_value=18446744071562067968,var_off=(0xffffffff80000000; 0x7fffffff)) R1=inv2 R6=ctx(id=0,off=0,imm=0) R7=map_value(id=0,off=0,ks=4,vs=197,imm=0) R8=inv(id=0,umin_value=77826,umax_value=4295098342,var_off=(0x0; 0x1ffffffff)) R9=inv(id=0,umin_value=18446744071562067968,var_off=(0xffffffff80000000; 0x7fffffff)) R10=fp0,call_-1 fp-88=map_value fp-96=map_value fp-104=map_value fp-112=ctx
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1998: (bf) r2 = r8
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 1999: (07) r2 += -1
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 2000: (57) r2 &= 131071
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 2001: (79) r1 = *(u64 *)(r10 -88)
Apr 10 15:33:36 debian10.localdomain keeperx-loader.sh[1736]: 2002: (0f) r1 += r2
Cause
この問題は、QRadar EDR Linux エージェント v0.80.1で使用される Falco eBPF プローブが原因で発生します。このプローブは、Debian 10 のカーネルで既知の問題があります。
Environment
- QRadar EDR Linux エージェント v0.80.1
- 現在、この問題は Debian カーネル 4.19.0-26 および Ubuntu カーネル 5.4.0-1106 で報告されています。
Diagnosing The Problem
次のコマンドでカーネルのバージョンを確認してください:
uname -a
Resolving The Problem
この問題は今後のリリースで修正される予定です。一時的な回避策を以下にご案内します。回避策には 2 つのシナリオがあります:
シナリオ 1: 新規インストールを行う場合
-
インストール・ドキュメントに記載されているとおり、前提条件となるパッケージをインストールします。
sudo apt-get install --no-install-recommends curl dkms gcc linux-headers-$(uname -r) make
-
次のコマンドを使用して、Falco カーネル・モジュールを強制的に使用します。( eBPF プローブをスキップします。)
sudo sh -c "echo FORCE_KMOD=1 >> /etc/reaqtahive.d/keeperx.env"
-
次のコマンドを使用して、カーネルの taint 状態を無視して署名されていない( unsigned )モジュールをロードします。
sudo sh -c "echo KMOD_IGNORE_TAINT=1 >> /etc/reaqtahive.d/keeperx.env"
- エージェント・サービスを再起動します。
sudo systemctl reset-failed keeperx
sudo systemctl restart keeperx
シナリオ 2: 旧バージョンの QRadar EDR エージェントのアップグレードを行う場合
- 追加の前提条件パッケージとして、dkms をインストールします。
sudo apt-get install --no-install-recommends dkms
- 次のコマンドを使用して、Falco カーネル・モジュールを強制的に使用します。( eBPF プローブをスキップします。)
sudo sh -c "echo FORCE_KMOD=1 >> /etc/reaqtahive.d/keeperx.env"
- KMOD_IGNORE_TAINT のフラグが既にインストール済みのエージェントに設定されている場合、アップグレード・コマンドを実行してください。
sudo dpkg -i hive-installer-0.80.1-x86_64.deb
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSOO77","label":"IBM Security QRadar EDR"},"ARM Category":[{"code":"a8m3p000000PCPsAAO","label":"Support"},{"code":"a8m3p0000000rbnAAA","label":"Support-\u003EAdministration Task"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
01 May 2024
UID
ibm17149945