当云安全中心客户端出现异常离线、安装或卸载失败、进程CPU占有率高等问题时,您可以使用云安全中心提供的客户端问题排查功能进行排查。本文介绍如何使用客户端问题排查功能。
背景信息
客户端问题排查的结果信息中会为您展示排查发现的问题并提供针对该问题的解决方案,还支持下载诊断日志,对客户端存在的问题进一步做验证分析。
限制条件
客户端问题排查功能支持的服务器的系统版本:
Windows Server 2008及以上版本
Linux 64位系统(CentOS 5及以下版本不支持)
使用场景说明
如果您的服务器资产已接入云安全中心,您可以直接使用资产中心页面的服务器页签下提供的客户端问题排查功能,对目标服务器上客户端的问题进行排查。具体操作,请参见服务器资产已接入云安全中心。
如果您的服务器资产未接入云安全中心,您可以手动执行aegis_checker命令,对目标服务器上客户端的问题进行排查。具体操作,请参见服务器资产未接入云安全中心。
服务器资产已接入云安全中心
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在主机资产页面的服务器页签下的服务器列表中,选中您要排查的服务器,单击列表下方的客户端问题排查。
在客户端问题排查对话框,选择客户端问题排查的问题类型和模式,然后单击开始诊断。
配置项
说明
问题类型
选择客户端存在的问题类型。如果您不确认客户端存在的问题,可选择全面检查。
模式
选择客户端问题排查的模式,可选择的模式有:
常规模式:常规模式将采集与客户端相关日志数据上报至云安全中心进行分析,排查需要1分钟左右。
增强模式:增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,排查需要5分钟左右。
说明客户端问题排查的诊断程序将在该服务器中采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。
在提示对话框中,单击确定,展开任务管理面板,查看所有的客户端问题排查任务。
您也可以在主机资产页面,单击右上角的客户端任务管理展开任务管理面板。
定位到您要查看的客户端排查任务,单击操作列的详情,展开执行日志面板。
执行日志面板上会展示每个服务器的客户端问题的排查详情。
以下为执行日志面板上的执行日志列表中信息的说明:
列表信息
说明
开始时间/结束时间
客户端问题排查任务的开始时间和结束时间。
服务器信息
客户端排查任务中排查的服务器的信息。
状态
客户端排查任务的状态。状态包括:
启动:表示已经下发客户端问题排查命令。
超时:表示下发客户端问题排查命令超过一段时间还没有返回排查结果。
成功:表示客户端问题排查结果已生成。
问题
客户端排查任务中排查发现的问题。
结果
客户端排查任务中排查出问题的解决方案。
操作
客户端排查任务的诊断日志。支持下载诊断日志对客户端问题进行进一步做验证分析。
客户端问题排查发现的问题当中,部分问题会在结果列给出解决方案,请按照给出的解决方案处理即可。如果在结果列没有给出解决方案,请单击操作列的下载诊断日志,将导出的诊断日志和AliUid给到相关人员进一步做验证分析。
服务器资产未接入云安全中心
如果您的服务器资产未接入云安全中心,您可以根据服务器操作系统不同,在服务器上手动执行相关命令,完成客户端问题排查。
登录目标服务器。
说明Windows系统需要用管理员权限登录。
Linux系统需要用root权限登录。
在服务器上执行以下命令。
阿里云ECS和非阿里云服务器按照操作系统的不同,客户端问题排查执行的命令也不同。
服务器
操作系统
模式
命令
阿里云ECS
Linux系统
常规模式
在目标服务器上以root权限执行以下命令:
wget "http://update2.aegis.aliyun.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin
当ECS服务器与云安全中心网络不通时,您需要下载aegis_checker并拷贝到目标服务器后,执行以下命令:
chmod +x aegis_checker.bin ./aegis_checker.bin
说明常规模式将采集与客户端相关日志数据上报至云安全中心进行分析,排查需要1分钟左右。
增强模式
在目标服务器上以root权限执行以下命令:
wget "http://update2.aegis.aliyun.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin -b "ew0KICAgICJ1dWlkIjogIiIsDQogICAgImNtZF9pZHgiOiAiIiwNCiAgICAiaXNzdWUiOiAib3RoZXJfaXNzdWUiLA0KICAgICJtb2RlIjogMywNCiAgICAianNydl9kb21haW4iOiBbXSwNCiAgICAidXBkYXRlX2RvbWFpbiI6IFtdDQp9"
说明增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,排查需要5分钟左右。
Windows系统
常规模式
在目标服务器上可通过以下两种方式排查客户端问题:
下载aegis_checker程序,然后以管理员权限运行。
以管理员权限在cmd窗口中直接执行如下命令:
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://update2.aegis.aliyun.com/download/aegis_client_self_check/win32/aegis_checker.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\aegis_checker.exe'))"; "./aegis_checker.exe"
说明Windows操作系统上暂不支持增强模式。
非阿里云服务器
Linux系统
常规模式
在目标服务器上以root权限执行以下命令:
wget "http://aegis.alicdn.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin
增强模式
在目标服务器上以root权限执行以下命令:
wget "http://aegis.alicdn.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin -b "ew0KICAgICJ1dWlkIjogIiIsDQogICAgImNtZF9pZHgiOiAiIiwNCiAgICAiaXNzdWUiOiAib3RoZXJfaXNzdWUiLA0KICAgICJtb2RlIjogMywNCiAgICAianNydl9kb21haW4iOiBbXSwNCiAgICAidXBkYXRlX2RvbWFpbiI6IFtdDQp9"
Windows系统
常规模式
在目标服务器上可通过以下两种方式排查客户端问题:
下载aegis_checker程序,然后以管理员权限运行。
以管理员权限在cmd窗口中直接执行如下命令:
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/aegis_client_self_check/win32/aegis_checker.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\aegis_checker.exe'))"; "./aegis_checker.exe"
说明Windows操作系统上暂不支持增强模式。
检查完毕后,将生成的log压缩包导出。
服务器的操作系统不同,log压缩包的存储位置不同。
Linux系统
检查结果log的压缩包在/root/miniconda2/aegis_checker/output目录下。
Windows系统
检查结果log的压缩包在当前目录的./miniconda2/aegis_checker/output目录下。
检查结果的log中, 以[root cause]为前缀的就是aegis_checker检测到客户端存在问题,部分问题会给出已处理或者处理方案的提示,请按照提示处理即可。如果aegis_checker没有给出问题的处理方案提示,请将输出的检查结果截图、log压缩包以及AliUid提供给阿里云技术支持进一步做验证分析。