Rule ID: ServerMonitor_Application_SIEM_Agent_Offline
Category: ServerMonitor
Sub category: Application
Event: Cảnh báo agent offline
Detail: Server <server x> was disconnected!
Nguy cơ: Server bị mất giám sát ATTT.
Nguyên nhân có thể xảy ra cảnh báo: Agent offline
1. Chạy tool
Download tool tại: CyMTroubleshoot_1.0.0.zip (Password liên hệ đầu mối CSKH-Hotline: 0971360360)
Đối với Linux server
- Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)
Cấp quyền chạy cho tool: chmod +x CyMTroubleshoot
Chạy kịch bản Agent offline bằng lệnh: ./CyMTroubleshoot -agentoffline
- File output sau khi chạy tool lưu tại : /usr/local/bin/CyMAgent/debug/ với định dạng hh_mm_ss-DD_MM_YYYY.zip
- Tại màn hình output có log chạy của CyMTroubleShoot. Thông tin cụ thể như sau
Đối với Windows server
- Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)
- Mở Powershell lên tại vị trí chứa tool CyMTroubleshoot
Thực hiện chạy lệnh sau để chạy tool với kịch bản Agent bị offline: .\CyMTroubleshoot.exe -agentoffline
- Kết quả sẽ được lưu vào folder: C:\Program Files\CyMAgent\debug với format hh_mm_ss-DD_MM_YYYY.zip
Các trạng thái sau khi chạy tool tương tự như môi trường Linux
2. Kiểm tra kết nối
Nếu kết quả chạy tool dòng thứ 3 trả về FALSE, khách hàng cần kiểm tra và mở lại kết nối từ agent về server SIEM và kết thúc.
Nếu kết quả dòng thứ 3 trả về TRUE, thực hiện tiếp bước 3,4
3. Khôi phục dịch vụ
Đối với Linux server
Chạy các lệnh sau với quyền root:
- SSH server cài agent CyM
- Chạy lệnh systemctl restart CyMSvc
Đối với Windows server
- Remote server cài agent
- Mở cmd> chạy lệnh net stop CyMSvc
- Chạy lệnh net start CyMSvc
4. Gửi lại log
Khách hàng gửi file log thu được sau khi chạy tool về cho VCS theo đầu mối: