全部產品
Search
文件中心

Security Center:用戶端離線排查

更新時間:Jun 19, 2024

Security Center控制台顯示用戶端離線時,表示該伺服器已失去Security Center的防護。此時,該伺服器可能存在被駭客入侵的風險。建議您參考本文內容儘快排查離線原因,保障用戶端線上。

背景資訊

Security Center提供用戶端問題一鍵排查功能,如果您探索服務器上的Security Center用戶端處於離線狀態,推薦您使用用戶端問題排查功能。更多資訊,請參見用戶端問題排查

操作步驟

  1. 登入您的伺服器,查看Security Center用戶端相關進程(AliYunDunAliYunDunUpdate)是否正常運行。

    說明

    如果Security Center用戶端相關進程無法運行,建議您重啟伺服器,或重新安裝Security Center用戶端。安裝用戶端的具體操作,請參見安裝用戶端

    • Windows系統

      在工作管理員中,查看相關進程是否正常運行。

      Windows

    • Linux系統

      執行ps aux | grep AliYunDun命令,查看相關進程是否正常運行。

      linux

  2. 首次安裝Security Center用戶端時,如果伺服器完成用戶端安裝後,用戶端保護狀態仍然為關閉,執行以下步驟重新啟動用戶端。

    • Linux系統:執行如下命令。

      killall AliYunDun
      killall AliYunDunUpdate
      /usr/local/aegis/aegis_client/aegis_10_xx/AliYunDun
      說明

      將上述第三行命令中的xx替換為aegis_10_xx檔案末尾最大的兩位元字,最大數字表示用戶端程式的最新版本。您可以在/usr/local/aegis/aegis_client目錄下查看aegis_10_xx檔案。例如目錄中包含aegis_10_70aegis_10_73aegis_10_75,那麼您需要將命令中的xx替換為75

    • Windows系統:在服務項中重新啟動Security Center的兩個服務項Alibaba Security Aegis Detect ServiceAlibaba Security Aegis Update Service,選中對應服務,右鍵選擇重新啟動重啟

  3. 檢查您的伺服器網路連接是否正常。在您的伺服器上Ping以下IP地址後,如果返回您伺服器的IP地址資訊,表示網路連接正常。

    • 伺服器有公網IP地址(如傳統網路、EIP、雲外機器)。

      • Windows系統:執行ping jsrv.aegis.aliyun.com -l 1000命令。

      • Linux系統:執行ping jsrv.aegis.aliyun.com -s 1000命令。

    • 伺服器無公網IP地址(如金融雲、VPC專用網路)。

      • Windows系統:執行ping jsrv2.aegis.aliyun.com -l 1000命令。

      • Linux系統:執行ping jsrv2.aegis.aliyun.com -s 1000命令。

  4. 如果解析不通,請使用以下方法,檢查您的伺服器網路連接狀況。

    1. 確認您的伺服器的DNS服務正常運行。如果DNS服務無法運行,重啟您的伺服器,或者檢查伺服器DNS服務是否有故障。

    2. 檢查伺服器是否設定了防火牆ACL規則或阿里雲安全性群組規則。如果有,請確認已將Security Center的服務端IP加入防火牆白名單(僅出方向需添加,入方向無需配置)以允許網路訪問。有關安全性群組配置的詳細內容,請參見建立安全性群組。有關Cloud Firewall配置的詳細內容,請參見互連網邊界(出入雙向流量)

      說明

      請將100.100、106.11及100.103網段的進、出都允許存取,連接埠號碼不做限制或者允許存取80和443號連接埠。

    3. 如果ping命令執行解析成功,再次嘗試通過Telnet命令串連解析出的網域名稱IP的80連接埠,查看是否連通。如果無法連通,請確認防火牆是否存在相關限制。

  5. 檢查您的伺服器CPU、記憶體是否長期維持較高佔用率(如95%、100%),此情況可能導致Security Center用戶端進程無法正常工作。

  6. 檢查伺服器是否已安裝第三方的防病毒產品。部分第三方防毒軟體可能會禁止Security Center用戶端外掛程式訪問網路。

    如果有,請暫時關閉該產品,並重新安裝Security Center用戶端。