Risolvere i problemi comuni del forwarder Linux

Supportato in:

Questo documento ti aiuta a riconoscere e risolvere i problemi più comuni che potresti riscontrare durante l'utilizzo del forwarding di Google Security Operations Linux.

Il forwarder non si avvia

Il forwarder non si avvia ed è in un loop di riavvio continuo con il seguente errore nei log:

F0510 06:17:39.013603 202 main_linux.go:153] open /opt/chronicle/external/*.conf: no such file or directory

Possibile causa 1: mappatura errata nel file di configurazione

Per risolvere questo problema, assicurati di trasmettere il percorso corretto alla di configurazione del deployment e mappandolo a una cartella esterna.

Possibile causa 2: SELinux è abilitato

  1. Controlla il file di configurazione accedendo al contenitore senza avviare il forwarder ed esegui il seguente comando:

    docker run --name cfps --log-opt max-size=100m --log-opt   max-file=10 --net=host -v ~/configuration:/opt/chronicle/external --entrypoint=/bin/bash \
-it gcr.io/chronicle-container/cf_production_

    Questo comando ti reindirizzerà a una shell all'interno del container.

  2. Esegui questo comando:

    ls -lrt /opt.chronicle/external/

    Se ricevi un errore di autorizzazione negata, significa che il forwarder non è in grado di aprire il file di configurazione e quindi non può essere avviato.

Per risolvere il problema:

  1. Controlla lo stato di SELinux eseguendo il seguente comando:

      sestatus

  2. Se lo stato SELinux è abilitato nell'output, esegui questo comando per disattivarla:

      setenforce 0

I log non raggiungono il tenant Google Security Operations

Possibile causa 1: risoluzione DNS

Verifica se l'host non è in grado di risolvere gli indirizzi o di raggiungere Google Security Operations eseguendo il seguente comando:

  nslookup malachiteingestion-pa.googleapis.com

Se il comando non va a buon fine, contatta il team di networking per la risoluzione del problema.

Possibile causa 2: firewall

Verifica se il firewall locale blocca la comunicazione tra Google Security Operations e il server di inoltro eseguendo questo comando:

  firewall-cmd --state

Se il firewall è abilitato, disabilitalo eseguendo questo comando:

  systemctl stop firewalld

Possibile causa 3: dimensione del buffer

Verifica se si tratta di un problema relativo alle dimensioni del buffer cercando il seguente errore nei log:

Memory ceiling (1073741824) reached, freeing a batch from the backlog

Per risolvere il problema:

  1. Attiva la compressione nel file di configurazione del server di inoltro.

  2. Aumenta la dimensione del buffer aggiornando i max_memory_buffer_bytes e max_file_buffer_bytes nel file di configurazione. Questi parametri indicano il buffer dei batch in coda archiviati nella memoria o sul disco.

L'inoltrare e l'host non ricevono i log

Se l'host e il forwarder non ricevono log, controlla lo stato della porta eseguendo il seguente comando per ogni porta:

  netstat -a | grep PORT

Sostituisci PORT con l'ID porta che vuoi controllare.

Se il comando non genera alcun output, significa che l'host non è in ascolto su quella porta e devi consultare l'amministratore di rete.

Se l'output del comando indica che l'host è in ascolto su una porta e il server di inoltro continua a non ricevere log, procedi nel seguente modo:

  1. Arresta Docker eseguendo questo comando:

    ​​docker stop cfps

  2. Esegui uno dei seguenti comandi in base alla configurazione della tua rete.

    Per TCP:

    nc -l PORT

    Per UDP:

    nc -l -u PORT

    Sostituisci PORT con l'ID porta di cui vuoi risolvere i problemi.

  3. Riavvia il servizio esterno e controlla se il problema è stato risolto. Se il problema persiste, [contatta l'assistenza di Google Security Operations.

Il forwarder non riceve i log, ma l'host li riceve

Se l'host riceve i log, ma il forwarder no, significa che il forwarder non è in ascolto sulla porta specificata nel file di configurazione.

Per risolvere il problema:

  1. Apri due finestre del terminale sul sistema, una per configurare il servizio di inoltro e una per inviare un messaggio di prova all'host.

    1. Sul primo terminale (forwarder), avvia Docker senza avviare il eseguendo il comando seguente:

      docker run \
--name cfps \
--log-opt max-size=100m \
--log-opt max-file=10 \
--net=host \
-v ~/config:/opt/chronicle/external \
--entrypoint=/bin/bash \
-it gcr.io/chronicle-container/cf_production_stable

    2. Specifica la porta su cui il forwarding deve rimanere in ascolto:

      nc -l PORT

      Sostituisci PORT con l'ID porta di cui vuoi risolvere i problemi.

  2. Sul secondo terminale (host), invia il messaggio di test sulla porta eseguendo il seguente comando:

    echo "test message" | nc localhost PORT

    Sostituisci PORT con l'ID porta che vuoi risolvere i problemi.

  3. Esegui di nuovo il comando docker. Specifica il flag -p con le porte su cui il inoltro deve rimanere in ascolto eseguendo questo comando:

    docker run \
--detach \
–name cfps \
--restart=always \
--log-opt max-size=100m \
--log-opt max-file=10 --net=host \
—v /root/config:/opt/chronicle/external \
-p 11500:11800 \
gcr.io/chronicle-container/cf_production_stable

Errori comuni nel file di log del forwarder

Puoi visualizzare i log del forwarder eseguendo il seguente comando:

  sudo docker logs cfps

La richiesta contiene un argomento non valido

Il file di log del server di inoltro mostra il seguente messaggio di errore:

  I0912 18:04:15.187321 333 uploader.go:181] Sent batch error: rpc error: code = InvalidArgument desc = Request contains an invalid argument.
  E0912 18:04:15.410572 333 batcher.go:345] [2_syslog_CISCO_FIREWALL-tid-0] Error exporting batch: rpc error: code = InvalidArgument desc = Request contains an invalid argument.
  I0912 18:04:15.964923 333 uploader.go:181] Sent batch error: rpc error: code = InvalidArgument desc = Request contains an invalid argument.

Risoluzione:

Questo errore può verificarsi quando viene aggiunto un tipo di log non valido. Assicurati che vengano applicate vengono aggiunti tipi di log validi. Nel messaggio di errore di esempio, CISCO\_FIREWALL non è un tipo di log valido. Per un elenco dei tipi di log validi, consulta Tipi di log supportati e parser predefiniti.

Impossibile trovare il server

Il file di log del forwarder mostra il seguente messaggio di errore:

{"log":"Failure: Unable to find the server at accounts.google.com.\n","stream":"stderr","time":"2019-06-12T18:26:53.858804303Z"}`

{"log":"+ [[ 1 -ne 0 ]]\n","stream":"stderr","time":"2019-06-12T18:26:53.919837669Z"}

{"log":"+ err 'ERROR: Problem accessing the Chronicle bundle.'\n","stream":"stderr","time":"2019-06-12T18:26:53.919877852Z"}

Risoluzione:

Contatta il team di rete per assicurarti che la rete funzioni.

Firma JWT non valida

Il file di log del forwarder mostra il seguente messaggio di errore:

    E0330 17:05:28.728021 162 stats_manager.go:85] send(): rpc error: code = Unauthenticated desc = transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response: {"error":"invalid_grant","error_description":"Invalid JWT Signature."}
    E0404 17:05:28.729012 474 memory.go:483] [1_syslog_FORTINET_FIREWAL-tid-0] Error exporting batch: rpc error: code = Unauthenticated desc = transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response: {"error":"invalid_grant","error_description":"Invalid JWT Signature."}

Risoluzione:

Questo errore può verificarsi quando la chiave segreta di un file di configurazione del forwarding è errata i dettagli. Contatta l'assistenza Google Security Operations per aiutarti a risolvere il problema.

Il token deve essere di breve durata

Il file di log del forwarder mostra il seguente messaggio di errore:

      token: 400 Bad Request Response:
      {"error":"invalid_grant","error_description":"Invalid JWT: Token must be a
      short-lived token (60 minutes) and in a reasonable timeframe. Check your iat and exp values in the JWT claim."} I0412 05:14:16.539060 480
      malachite.go:212] Sent batch error: rpc error: code = Unauthenticated desc =
      transport: OAuth 2.0: cannot fetch token: 400 Bad Request Response:
      {"error":"invalid_grant","error_description":"Invalid JWT: Token must be a
      short-lived token (60 minutes)

Risoluzione:

Questo errore può verificarsi quando gli orologi del sistema dell'host e del server non sono sincronizzati. Modifica l'ora sull'host o prova a utilizzare NTP per sincronizzare gli orologi.

Nessun file o directory corrispondente

Il file di log del server di inoltro mostra il seguente messaggio di errore:

    ++ cat '/opt/chronicle/external/*.conf'
    cat: '/opt/chronicle/external/*.conf': No such file or directory

Risoluzione:

Questo errore può verificarsi quando il server di inoltro viene avviato con la mappatura delle unità errata. Utilizza il percorso completo della directory nel file di configurazione (puoi ottenere il percorso eseguendo il comando pwd).

Impossibile recuperare l'ID cliente dal file di configurazione

Il file di log del server di inoltro mostra il seguente messaggio di errore:

    + err 'ERROR: Failed to retrieve customer ID from configuration file.'
    ++ date +%Y-%m-%dT%H:%M:%S%z
    + echo '[2023-06-28T09:53:21+0000]: ERROR: Failed to retrieve customer ID from configuration file.'
    [2023-06-28T09:53:21+0000]: ERROR: Failed to retrieve customer ID from configuration file.
    + err '==> Please contact the Chronicle support team.'

Risoluzione:

Questo errore è causato da una mappatura errata o se il file di configurazione non è presente nella directory. Utilizza il percorso completo della directory nel file di configurazione (puoi ottenere il percorso eseguendo il comando pwd). Assicurati che venga eseguito il comando docker run corretto e che il file di configurazione esista nella seguente posizione:

    gcr.io/chronicle-container/cf_production_stable

Il seguente esempio di codice mostra il comando docker run:

    ​​docker run \
    --detach \
    --name cfps \
    --restart=always \
    --log-opt max-size=100m \
    --log-opt max-file=10 \
    --net=host \
    -v /opt/chronicle/config:/opt/chronicle/external \
    gcr.io/chronicle-container/cf_production_stable

Comandi Docker utili

  • Puoi raccogliere ulteriori informazioni sull'installazione di Docker utilizzando il seguente comando:

    docker info

  • Il servizio Docker potrebbe essere disattivato per impostazione predefinita. Per verificare se è disattivato, esegui il seguente comando:

    systemctl is-enabled docker

  • Per abilitare il servizio Docker e avviarlo immediatamente, esegui una delle seguenti operazioni :

    sudo systemctl enable --now docker

    sudo systemctl enable /usr/lib/systemd/system/docker.service

    Output:

    Created symlink /etc/systemd/system/multi-user.target.wants/docker.service → /lib/systemd/system/docker.service

  • Quando avvii un forwarder, esegui il seguente comando per impostarlo sull'auto-riavvio:

    sudo docker run --restart=always `IMAGE_NAME`

    IMAGE_NAME è il nome dell'immagine di inoltro.

  • Per controllare lo stato e i dettagli del servizio Docker, esegui il seguente comando:

    sudo systemctl status docker

    Output:

     docker.service - Docker Application Container Engine
    Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: enabled)
    Active: active (running) since Sat 2020-07-18 11:14:05 UTC; 15s ago
TriggeredBy:  docker.socket
      Docs: https://docs.docker.com
  Main PID: 263 (dockerd)
      Tasks: 20
    Memory: 100.4M
    CGroup: /system.slice/docker.service
            └─263 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
Jul 18 11:14:05 swarm-kraken dockerd[263]: time="2020-07-18T11:14:05.713787002Z" level=info msg="API listen on /run/docker.sock"
Jul 18 11:14:05 swarm-kraken systemd[1]: Started Docker Application Container Engine

    In caso di problemi con Docker, il team di assistenza di Google SecOps può richiedere di questo comando per facilitare il debug del problema.