如果agent安装失败,请参考本文排查处理。
通过hss控制台界面安装agent失败
如果您通过“界面安装”安装模式安装agent失败,您可根据hss管理控制台的提示信息,参考表 安装agent失败处理建议提供的建议处理问题。
表1 安装agent失败处理建议
管理控制台提示信息 |
处理建议 |
网络不通,访问超时 |
- linux
请检查网络配置,保证服务器可正常访问网络。
- windows
- 以windows系统管理员身份运行powershell。
- 执行以下命令,查看service信息。
winrm get winrm/config/service
- 重试通过hss控制台界面为windows主机安装agent。
- agent安装成功后,请执行以下命令,修改allowunencrypted的值为“false”。
winrm set winrm/config/service '@{allowunencrypted="false"}'
|
认证错误,口令不正确 |
密码错误,请检查您填写的密码信息。 |
内存空间不足 |
安装agent时,需要保障至少50 mb内存空间可用。请检查并清理内存空间。 |
metadata检查失败 |
metadata获取失败,请参考解决问题。 |
expect安装失败 |
请检查网络是否存在波动,待网络恢复正常后重试安装agent。 如果网络正常仍然安装失败,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。 |
打通vpc网络失败 |
您未将vpcoperatepolicy权限授予hss,hss无法打通不同vpc之间的网络。建议参考以下操作完成授权:
- 登录主机安全服务控制台。
- 在单击管理控制台左上角的,选择区域和项目。
- 在左侧导航栏,选择,进入授权管理页面。
- 单击授权列表左上方“新增授权”,将vpcoperatepolicy权限授予hss。
关于vpcoperatepolicy权限的含义和作用,请参见。 |
绑定的dew密钥状态异常 |
请检查并将您的dew密钥对恢复为“正常”状态。 |
vpcep打通失败 |
您未将vpcepoperatepolicy权限授予hss,hss无法创建终端节点,终端节点用于agent与hss服务端进行通信。建议参考以下操作完成授权:
- 登录主机安全服务控制台。
- 在单击管理控制台左上角的,选择区域和项目。
- 在左侧导航栏,选择,进入授权管理页面。
- 单击授权列表左上方“新增授权”,将vpcepoperatepolicy权限授予hss。
关于vpcepoperatepolicy权限的含义和作用,请参见。 |
密钥登录失败 |
密钥错误,请检查您填写的密钥信息。 |
安装命令无权限执行 |
可能原因:/tmp目录不允许执行脚本,或bash没有执行权限等。 处理建议:
- 建议您检查上述目录或文件是否具有相应权限。
- 如果具备相应权限仍然安装失败,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。
|
下载安装文件失败 |
仅linux主机会出现此类报错,建议参考以下操作排查安全组、dns配置。
- 检查安全组
登录服务器,执行以下命令,确认服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。 curl -kv https://hss-agent.区域代码.myhuaweicloud.com:10180 命令中的区域代码,每个区域不同,各区域代码请参见。
以 “华北-北京一”为例,完整命令示例:curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180
- 已放通:ping命令执行正常,表示已放通100.125.0.0/16网段的10180端口。
- 未放通:ping命令执行后,界面卡住不动,表示未放通100.125.0.0/16网段的10180端口,请参见放通该端口。
- 检查dns配置
登录服务器,执行以下命令,确认服务器dns能否正常解析下载agent的域名。 ping -c 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码,每个区域不同,各区域代码请参见。 以“华北-北京一”为例,完整命令示例:ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com
- 解析成功:界面回显解析出的ip,表示dns解析正常。
- 解析失败:界面回显“name or service not known”或未解析出ip,表示dns解析失败。请参考。
|
磁盘不足 |
请检查以下目录,确保磁盘容量充足:
- linux
- /usr/local:agent默认安装路径,须确保磁盘可用容量大于300 mb。
- /temp:agent安装包下载路径,须确保磁盘可用容量大于100 mb
- windows
- c:\users\xxx\downloads:agent安装包下载路径,须确保磁盘可用容量大于100 mb。
- c:\program files\hostguard:agent默认安装路径,须确保磁盘可用容量大于300 mb。
|
dew未找到托管的私钥 |
请检查并确保您的dew密钥对已托管。 |
安装异常 |
请参考以下操作解决问题:
- 登录主机安全服务控制台。
- 在单击管理控制台左上角的,选择区域和项目。
- 在左侧导航栏,选择,进入授权管理页面。
- 查看授权列表中是否有vpcepoperatepolicy、vpcoperatepolicy权限。
- 是:请您在管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。
- 否:请您单击授权列表左上方“新增授权”,将vpcepoperatepolicy、vpcoperatepolicy权限授予hss后,重试安装agent。
关于上述权限的含义和作用,请参见。
|
网卡路由冲突不支持打通vpc网络 |
您服务器的网卡和执行agent安装的服务器已挂载的弹性网卡存在路由冲突,不支持打通vpc网络,建议通过命令行方式安装agent。 |
通过命令行安装agent失败
如果您通过“命令行”安装模式(即登录服务器执行命令)安装agent失败,可参考本节根据执行命令后的界面回显处理问题。
linux安装失败
- 问题现象:网络不通,访问超时
图1 网络不通,访问超时
处理建议:请检查网络配置,保证服务器可正常访问网络。
- 问题现象:没有权限
图2 没有权限
处理建议:执行命令的用户非root用户,请使用root用户登录服务器后,再执行安装命令。
- 问题现象:域名无法解析
图3 域名无法解析
处理建议:服务器无法访问agent下载地址,需要配置华为云内网dns地址。配置具体操作请参考。
- 问题现象:/tmp磁盘不足100 mb
图4 /tmp磁盘不足100 mb
处理建议:/tmp目录是agent安装包的下载路径,须确保磁盘可用容量大于100 mb。
- 问题现象:/usr/local磁盘不足300 mb
图5 /usr/local磁盘不足300 mb
处理建议:/usr/local目录是agent默认安装路径,须确保磁盘可用容量大于300 mb。
- 问题现象:tls协议不兼容 curl: (35) ssl connect error
处理建议:安装hss agent,要求tls为1.2及以上版本。如果tls版本不满足,请手动将安装命令中的“curl -k -o”替换为“curl --tlsv1.2 -k -o”,重试安装agent。
以下是命令修改示例,请不要直接使用。
- 修改前的安装命令
curl -k -o 'https://hss-agent.xxx.myhuaweicloud.com:10180/package/agent/linux/install/agent_install.sh' && echo 'master_ip=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'slave_ip=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'org_id=' >> hostguard_setup_config.conf && bash agent_install.sh && rm -f agent_install.sh
- 修改后的安装命令
curl --tlsv1.2 -k -o 'https://hss-agent.xxx.myhuaweicloud.com:10180/package/agent/linux/install/agent_install.sh' && echo 'master_ip=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'slave_ip=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'org_id=' >> hostguard_setup_config.conf && bash agent_install.sh && rm -f agent_install.sh
windows安装失败
使用powershell运行脚本后,出现错误提示,请参考以下建议解决问题。
- 错误提示:username and password cannot be empty
处理建议:批量安装agent时,准备的“windows-host-list.xlsx”文件中填写的服务器账号或密码信息不正确,请重新核对并进行修改。
- 错误提示:remote connect failed
处理建议:批量安装agent时,除了执行脚本的服务器,其他服务器需要设置安全组入方向允许执行脚本的服务器ip访问5985端口。请检查是否有服务器安全组入方向未放通5985端口。添加安全组规则请参见。
- 错误提示:download package failed
处理建议:下载安装包失败,服务器无法访问agent下载地址。请检查安全组、dns配置。
- 检查安全组:请检查服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。具体请参考。
- 检查dns配置:请检查服务器dns地址是否为华为云内网dns。具体请参考。
- 错误提示:hostguard install failed
处理建议:请您在管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。
- 错误提示:invoke-command:无法对参数“session”执行参数验证。参数为null或空。请提供一个不为null或空的参数,然后重试该命令。
处理建议:winrm服务默认禁用非加密通讯。请参考如下操作,允许非加密通讯。
- 以windows系统管理员身份运行powershell。
- 执行如下命令,查看基于http的winrm是否开启。
winrm enumerate winrm/config/listener
图6 查看winrm开启情况
- 如果存在报错信息,则表示winrm服务未开启,请执行3。
- 如果不存在报错信息,则表示winrm服务已开启,请执行4。
- 执行如下命令开启winrm,选择y完成设置。
winrm quickconfig
图7 开启winrm
- 配置auth。
- 执行如下命令,查看auth信息。
winrm get winrm/config/service/auth
图8 查看auth信息
- 执行如下命令修改“basic”的值为“true”。
当返回值中“basic”的值为“true”时,无需执行该步骤。
winrm set winrm/config/service/auth '@{basic="true"}'
- 配置加密方式为允许非加密。
- 执行如下命令,查看client信息。
winrm get winrm/config/client
图9 查看client信息
当返回值中“allowunencrypted”为“false”时,请执行5.b。
- 执行如下命令,修改“allowunencrypted”为“true”。
winrm set winrm/config/client '@{allowunencrypted="true"}'
