Giới thiệu về cảnh báo

Rule ID: Anomaly_Detection_SIEM_StatusLog_Active_to_Inactive
Category: Anomaly_Detection
Sub category: N/A
Event: Cảnh báo Agent mất log
Detail: The status of the log source <logsource x > on host <host> has changed from Active to Inactive
Nguy cơ: Server bị mất log của CyMAgent
Nguyên nhân có thể xảy ra cảnh báo:

• Agent mất log do bị offline
• Agent online nhưng mất log 

Xử lý trường hợp CyMAgent offline

1. Chạy tool

Download tool tại: CyMTroubleshoot_1.0.0.zip (Password liên hệ đầu mối CSKH-Hotline: 0971360360)
Đối với Linux server

1.  Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)

2.  Cấp quyền chạy cho tool:  chmod +x CyMTroubleshoot

3. Chạy kịch bản Agent offline bằng lệnh: ./CyMTroubleshoot -agentoffline

4. File output sau khi chạy tool lưu tại : /usr/local/bin/CyMAgent/debug/ với định dạng hh_mm_ss-DD_MM_YYYY.zip
5. Tại màn hình output có log chạy của CyMTroubleShoot. Thông tin cụ thể như sau

Đối với Windows server

1.  Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)
2. Mở Powershell lên tại vị trí chứa tool CyMTroubleshoot

3. Thực hiện chạy lệnh sau để chạy tool với kịch bản  Agent bị offline: .\CyMTroubleshoot.exe -agentoffline

   Ảnh minh họa
   

4. Kết quả sẽ được lưu vào folder: C:\Program Files\CyMAgent\debug với format hh_mm_ss-DD_MM_YYYY.zip

Các trạng thái sau khi chạy tool tương tự như môi trường Linux

2. Kiểm tra kết nối
Nếu kết quả chạy tool dòng thứ 3 trả về FALSE, khách hàng cần kiểm tra và mở lại kết nối từ agent về server SIEM và kết thúc. 
Nếu kết quả dòng thứ 3 trả về TRUE, thực hiện tiếp bước 3,4

3. Khôi phục dịch vụ
Đối với Linux server
Chạy các lệnh sau với quyền root:

1. SSH server cài agent CyM
2.  Chạy lệnh systemctl restart CyMSvc 

Đối với Windows server

1. Remote server cài agent 
2. Mở cmd> chạy lệnh net stop CyMSvc
3. Chạy lệnh net start CyMSvc

4. Gửi lại log
Khách hàng gửi file log thu được sau khi chạy tool về cho VCS theo đầu mối:

• Email: support_vcs@viettel.com.vn
• Hotline: 0971360360

Xử lý trường hợp CyMAgent online nhưng không đẩy log

1. Chạy tool
Link download tool: https://datasec.viettelcybersecurity.com/s/BnTQy9jMG3XKvuB/cymtroubleshoot-1-0-0-zip
Đối với Linux server

1.  Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)

2.  Cấp quyền chạy cho tool: chmod +x CyMTroubleshoot

3. Chạy kịch bản Agent offline bằng lệnh: ./CyMTroubleshoot -nolog

4. File output sau khi chạy tool lưu tại : /usr/local/bin/CyMAgent/debug/ với định dạng hh_mm_ss-DD_MM_YYYY.zip
5. Log kết quả chạy tool

Đối với Windows server

1. Đưa tool CyMTroubleshoot xuống dưới server Agent (Có thể đưa xuống trực tiếp hoặc thông qua kênh backup Agent)
2. Mở Powershell lên tại vị trí chứa tool CyMTroubleshoot

3. Thực hiện chạy lệnh sau để chạy tool với kịch bản  Agent mất log:  .\CyMTroubleshoot.exe -nolog

4. Kết quả sẽ được lưu vào folder: C:\Program Files\CyMAgent\debug với định dạng hh_mm_ss-DD_MM_YYYY.zip

Log kết quả chạy tool tương tự với Linux server

2. Kiểm tra kết nối
Nếu kết quả chạy tool dòng thứ 1 trả về FALSE, khách hàng cần kiểm tra và mở lại kết nối từ agent về server SIEM và kết thúc. 
Nếu kết quả dòng thứ 1 trả về TRUE, thực hiện tiếp bước 3,4

3. Khôi phục dịch vụ
Đối với Linux server
Chạy các lệnh sau với quyền root:

1. SSH server cài agent CyM
2.  Chạy lệnh systemctl restart CyMSvc 

Đối với Windows server

1. Remote server cài agent 
2. Mở cmd> chạy lệnh net stop CyMSvc
3. Chạy lệnh net start CyMSvc

4. Gửi lại log
Khách hàng gửi file log thu được sau khi chạy tool về cho VCS theo đầu mối:

• Email: support_vcs@viettel.com.vn
• Hotline: 0971360360