Risolvere i problemi comuni del forwarder Linux

Supportato in:

Questo documento ti aiuta a riconoscere e risolvere i problemi comuni che potresti riscontrare durante l'utilizzo del forwarder Linux di Google Security Operations.

Il forwarder non si avvia

Il forwarder non si avvia ed è in un loop di riavvio continuo con il seguente errore nei log:

F0510 06:17:39.013603 202 main_linux.go:153] open /opt/chronicle/external/*.conf: no such file or directory

Possibile causa 1: mappatura errata nel file di configurazione

Per risolvere il problema, assicurati di passare il percorso corretto al file di configurazione e di mapparlo a una cartella esterna.

Possibile causa 2: SELinux è abilitato

  1. Controlla il file di configurazione accedendo al contenitore senza avviare il forwarder ed esegui il seguente comando:

    docker run --name cfps --log-opt max-size=100m --log-opt   max-file=10 --net=host -v ~/configuration:/opt/chronicle/external --entrypoint=/bin/bash \
-it gcr.io/chronicle-container/cf_production_

    Questo comando ti reindirizzerà a una shell all'interno del contenitore.

  2. Esegui questo comando:

    ls -lrt /opt.chronicle/external/

    Se ricevi un errore di autorizzazione negata, significa che il forwarder non è in grado di aprire il file di configurazione e quindi non può essere avviato.

Per risolvere il problema:

  1. Controlla lo stato di SELinux eseguendo il seguente comando:

      sestatus

  2. Se lo stato SELinux è abilitato nell'output, esegui il seguente comando per disattivarlo:

      setenforce 0

I log non raggiungono il tenant Google Security Operations

Possibile causa 1: risoluzione DNS

Controlla se l'host non è in grado di risolvere gli indirizzi o di raggiungere Google Security Operations eseguendo il seguente comando:

  nslookup malachiteingestion-pa.googleapis.com

Se il comando non va a buon fine, contatta il team di networking per la risoluzione del problema.

Possibile causa 2: firewall

Controlla se il firewall locale blocca la comunicazione tra le operazioni di sicurezza di Google e il forwarder eseguendo il seguente comando:

  firewall-cmd --state

Se il firewall è abilitato, disattivalo eseguendo il seguente comando:

  systemctl stop firewalld

Possibile causa 3: dimensione del buffer

Controlla se si tratta di un problema di dimensioni del buffer cercando il seguente errore nei log:

Memory ceiling (1073741824) reached, freeing a batch from the backlog

Per risolvere il problema:

  1. Attiva la compressione nel file di configurazione del forwarder.

  2. Aumenta le dimensioni del buffer aggiornando i parametri max_memory_buffer_bytes e max_file_buffer_bytes nel file di configurazione. Questi parametri indicano il buffer dei batch in coda archiviati nella memoria o sul disco.

L'inoltrare e l'host non ricevono i log

Se l'host e il forwarder non ricevono log, controlla lo stato della porta eseguendo il seguente comando per ogni porta:

  netstat -a | grep PORT

Sostituisci PORT con l'ID porta che vuoi controllare.

Se il comando non genera alcun output, significa che l'host non è in ascolto su quella porta e devi consultare l'amministratore di rete.

Se l'output del comando indica che l'host è in ascolto su una porta e il forwarder continua a non ricevere log, procedi nel seguente modo:

  1. Interrompi Docker eseguendo il seguente comando:

    ​​docker stop cfps

  2. Esegui uno dei seguenti comandi in base alla configurazione della rete.

    Per TCP:

    nc -l PORT

    Per UDP:

    nc -l -u PORT

    Sostituisci PORT con l'ID porta di cui vuoi risolvere i problemi.

  3. Riavvia il servizio esterno e controlla se il problema è stato risolto. Se il problema persiste, contatta l'assistenza di Google Security Operations.

Il forwarder non riceve i log, ma l'host li riceve

Se l'host riceve i log, ma il forwarder no, significa che il forwarder non è in ascolto sulla porta specificata nel file di configurazione.

Per risolvere il problema:

  1. Apri due finestre del terminale sul sistema, una per configurare il forwarder e un'altra per inviare un messaggio di prova all'host.

    1. Sul primo terminale (forwarder), avvia Docker senza avviare il forwarder eseguendo il seguente comando:

      docker run \
--name cfps \
--log-opt max-size=100m \
--log-opt max-file=10 \
--net=host \
-v ~/config:/opt/chronicle/external \
--entrypoint=/bin/bash \
-it gcr.io/chronicle-container/cf_production_stable

    2. Specifica la porta su cui il forwarder deve rimanere in ascolto:

      nc -l PORT

      Sostituisci PORT con l'ID porta di cui vuoi risolvere i problemi.

  2. Sul secondo terminale (host), invia il messaggio di test sulla porta eseguendo il seguente comando:

    echo "test message" | nc localhost PORT

    Sostituisci PORT con l'ID porta di cui vuoi risolvere i problemi.

  3. Esegui di nuovo il comando docker. Specifica il flag -p con le porte su cui deve ascoltare il forwarder eseguendo il seguente comando:

    docker run \
--detach \
–name cfps \
--restart=always \
--log-opt max-size=100m \
--log-opt max-file=10 --net=host \
—v /root/config:/opt/chronicle/external \
-p 11500:11800 \
gcr.io/chronicle-container/cf_production_stable

Errori comuni nel file di log del forwarder

Puoi visualizzare i log del forwarder eseguendo il seguente comando:

  sudo docker logs cfps

La richiesta contiene un argomento non valido

Il file di log del forwarder mostra il seguente messaggio di errore:

  I0912 18:04:15.187321 333 uploader.go:181] Sent batch error: rpc error: code = InvalidArgument desc = Request contains an invalid argument.
  E0912 18:04:15.410572 333 batcher.go:345] [2_syslog_CISCO_FIREWALL-tid-0] Error exporting batch: rpc error: code = InvalidArgument desc = Request contains an invalid argument.
  I0912 18:04:15.964923 333 uploader.go:181] Sent batch error: rpc error: code = InvalidArgument desc = Request contains an invalid argument.

Risoluzione:

Questo errore può verificarsi quando viene aggiunto un tipo di log non valido. Assicurati di aggiungere solo tipi di log validi. Nel messaggio di errore di esempio, CISCO\_FIREWALL non è un tipo di log valido. Per un elenco dei tipi di log validi, consulta Tipi di log supportati e parser predefiniti.

Impossibile trovare il server

Il file di log del forwarder mostra il seguente messaggio di errore:

{"log":"Failure: Unable to find the server at accounts.google.com.\n","stream":"stderr","time":"2019-06-12T18:26:53.858804303Z"}`

{"log":"+ [[ 1 -ne 0 ]]\n","stream":"stderr","time":"2019-06-12T18:26:53.919837669Z"}

{"log":"+ err 'ERROR: Problem accessing the Chronicle bundle.'\n","stream":"stderr","time":"2019-06-12T18:26:53.919877852Z"}

Risoluzione:

Contatta il team di rete per assicurarti che la rete funzioni.

Firma JWT non valida

Il file di log del forwarder mostra il seguente messaggio di errore:

    E0330 17:05:28.728021 162 stats_manager.go:85] send(): rpc error: code = Unauthenticated desc = transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response: {"error":"invalid_grant","error_description":"Invalid JWT Signature."}
    E0404 17:05:28.729012 474 memory.go:483] [1_syslog_FORTINET_FIREWAL-tid-0] Error exporting batch: rpc error: code = Unauthenticated desc = transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response: {"error":"invalid_grant","error_description":"Invalid JWT Signature."}

Risoluzione:

Questo errore può verificarsi quando i dettagli della chiave segreta di un file di configurazione del forwarder sono errati. Contatta l'assistenza di Google Security Operations per risolvere il problema.

Il token deve essere di breve durata

Il file di log del forwarder mostra il seguente messaggio di errore:

      token: 400 Bad Request Response:
      {"error":"invalid_grant","error_description":"Invalid JWT: Token must be a
      short-lived token (60 minutes) and in a reasonable timeframe. Check your iat and exp values in the JWT claim."} I0412 05:14:16.539060 480
      malachite.go:212] Sent batch error: rpc error: code = Unauthenticated desc =
      transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response:
      {"error":"invalid_grant","error_description":"Invalid JWT: Token must be a
      short-lived token (60 minutes)

Risoluzione:

Questo errore può verificarsi quando gli orologi di sistema dell'host e del server non sono sincronizzati. Modifica l'ora sull'host o prova a utilizzare NTP per sincronizzare gli orologi.

Nessun file o directory corrispondente

Il file di log del forwarder mostra il seguente messaggio di errore:

    ++ cat '/opt/chronicle/external/*.conf'
    cat: '/opt/chronicle/external/*.conf': No such file or directory

Risoluzione:

Questo errore può verificarsi quando il forwarder viene avviato con la mappatura del drive errata. Utilizza il percorso completo della directory nel file di configurazione (puoi ottenere il percorso eseguendo il comando pwd).

Impossibile recuperare l'ID cliente dal file di configurazione

Il file di log del forwarder mostra il seguente messaggio di errore:

    + err 'ERROR: Failed to retrieve customer ID from configuration file.'
    ++ date +%Y-%m-%dT%H:%M:%S%z
    + echo '[2023-06-28T09:53:21+0000]: ERROR: Failed to retrieve customer ID from configuration file.'
    [2023-06-28T09:53:21+0000]: ERROR: Failed to retrieve customer ID from configuration file.
    + err '==> Please contact the Chronicle support team.'

Risoluzione:

Questo errore è causato da una mappatura errata o se il file di configurazione non è presente nella directory. Utilizza il percorso completo della directory nel file di configurazione (puoi ottenere il percorso eseguendo il comando pwd). Assicurati che venga eseguito il comando docker run corretto e che il file di configurazione esista nella seguente posizione:

    gcr.io/chronicle-container/cf_production_stable

Il seguente esempio di codice mostra il comando docker run:

    ​​docker run \
    --detach \
    --name cfps \
    --restart=always \
    --log-opt max-size=100m \
    --log-opt max-file=10 \
    --net=host \
    -v /opt/chronicle/config:/opt/chronicle/external \
    gcr.io/chronicle-container/cf_production_stable

Comandi Docker utili

  • Puoi raccogliere ulteriori informazioni sull'installazione di Docker utilizzando il seguente comando:

    docker info

  • Il servizio Docker potrebbe essere disattivato per impostazione predefinita. Per verificare se è disabilitato, esegui il seguente comando:

    systemctl is-enabled docker

  • Per attivare il servizio Docker e avviarlo immediatamente, esegui uno dei seguenti comandi:

    sudo systemctl enable --now docker

    sudo systemctl enable /usr/lib/systemd/system/docker.service

    Output:

    Created symlink /etc/systemd/system/multi-user.target.wants/docker.service → /lib/systemd/system/docker.service

  • Quando avvii un forwarder, esegui il seguente comando per impostarlo sull'auto-riavvio:

    sudo docker run --restart=always `IMAGE_NAME`

    IMAGE_NAME è il nome dell'immagine del forwarder.

  • Per controllare lo stato e i dettagli del servizio Docker, esegui il seguente comando:

    sudo systemctl status docker

    Output:

     docker.service - Docker Application Container Engine
    Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: enabled)
    Active: active (running) since Sat 2020-07-18 11:14:05 UTC; 15s ago
TriggeredBy:  docker.socket
      Docs: https://docs.docker.com
  Main PID: 263 (dockerd)
      Tasks: 20
    Memory: 100.4M
    CGroup: /system.slice/docker.service
            └─263 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
Jul 18 11:14:05 swarm-kraken dockerd[263]: time="2020-07-18T11:14:05.713787002Z" level=info msg="API listen on /run/docker.sock"
Jul 18 11:14:05 swarm-kraken systemd[1]: Started Docker Application Container Engine

    In caso di problemi con Docker, il team di assistenza di Google SecOps può richiedere l'output di questo comando per aiutarti a risolvere il problema.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.