linux内核故障,Linux内核级故障

Overview

在Red Hat Enterprise Linux(RHEL)8和变体上，当当前运行的内核缺少内核级软件包时，面向终端的AMP Linux连接器将无法监视文件移动或启用设备流关联(网络监视)。在这种情况下，连接器将引发故障ID 11“缺少所需的内核级包”。  对于Ubuntu Linux，当缺少linux报头包时，可能会引发此故障。

从RHEL 8开始，连接器将使用eBPF模块进行实时文件系统和网络监控。eBPF模块取代了在RHEL 6和RHEL 7上运行时使用的Linux内核模块。  对于Ubuntu 20.04及更高版本，eBPF模块是本机的。

为获得最广泛的兼容性，连接器将在系统上加载和运行连接器使用的eBPF模块之前自动编译。此编译要求安装与当前正在运行的内核对应的内核开发头文件。启用实时文件系统和网络监控后，连接器将在每次启动连接器时编译eBPF模块，或在将这些功能作为策略更新的一部分启用时实时编译这些模块。

适用性

通常在安装新连接器后或更新系统内核后引发故障。

操作系统

RHEL/CentOS/Oracle Linux 8/Ubuntu 20.04

连接器版本

Linux 1.13.0及更高版本

RHEL Linux

内核级软件包在/usr/src/kernels目录中安装所需的内核开发头文件，该目录根据内核版本进行组织。

原因

缺少实时文件系统和网络活动监控所需的内核级软件包，并且连接器策略已启用“监控文件副本和移动”或“启用设备流关联”。

分辨率

安装与当前运行的内核匹配的“kernel-devel”软件包。

或者，在极少数不需要实时文件系统和网络监控的情况下，可以通过在策略中禁用“监控文件副本和移动”和“启用设备流关联”来清除此故障。请注意，当禁用这些功能时，连接器将不会提供系统的实时保护。

程序

要安装与当前运行的内核对应的内核级软件包，请运行以下命令。

dnf install -y kernel-devel-$(uname -r)

连接器应在一分钟内恢复并清除故障。如果故障在一分钟内未清除，请手动重新启动连接器。然后，应在重新启动后一分钟内清除故障。

注意：如果上述命令失败并出现错误“参数不匹配”，则可能不再支持当前内核版本，并且操作系统维护程序已从dnf存储库中删除了该包。在这种情况下，可以从供应商的操作系统归档文件手动下载所需的内核级.rpm软件包，然后手动安装，或者可以将内核更新为受支持的版本，然后再次尝试使用上述命令。

对于CentOS，如果无法将内核更新到分发支持的版本，则可以从http://vault.centos.org手动下载CentOS的旧内核级.rpm包。要下载的文件的名称由以下bash命令的输出提供。

echo kernel-devel-$(uname -r).rpm

下载后，可通过在保存下载的.rpm文件的目录中运行以下bash命令来安装内核级软件包。

dnf install -y kernel-devel-$(uname -r).rpm

Ubuntu Linux

linux-headers软件包在/usr/src目录中安装所需的头文件，该目录根据其内核版本进行组织。

原因

缺少实时文件系统和网络活动监控所需的linux报头软件包，并且连接器策略已启用“监控文件副本和移动”或“启用设备流关联”。

分辨率

在Ubuntu上，可使用以下命令安装linux-headers软件包：

sudo apt install linux-headers-$(uname -r)