Ниже приведены имена тестов и причины возникновения сбоев в них.
- check_all_bridge_have_one_slave.sh
- check_all_slave_have_ip.sh
- check_block_fact.sh
- check_blockpage.sh
- check_bridge.sh
- check_cert_date.sh
- check_cert.sh
- check_default_options.sh
- check_dns.sh
- check_dropped_packets.sh
- check_hyperthreading.sh
- check_kernel_version.sh
- check_key_in_cert.sh
- check_network_errors.sh
- check_network_manager.sh
- check_own_list_data.sh
- check_own_server.sh
- check_proxy_loop.sh
- check_static_request.sh
- check_tcpdump_dns_mirror.sh
- check_tcpdump_http_mirror.sh
- check_tcpdump_https_mirror.sh
- check_total_packets.sh
- check_url_modify.sh
- check_centos_iptables_rules.sh
- check_coredump.sh
- check_cpu_load.sh
- check_disk_free_space.sh
- check_duplicate_ip.sh
- check_free_inodes.sh
- check_free_memory.sh
- check_iptables_rules_count.sh
- check_johnik_xge_kernel.sh
- check_kdump.sh
- check_kernel_errors.sh
- check_kernel_watchdog.sh
- check_loadaverage.sh
- check_mdstat.sh
- check_on_boot_int.sh
- check_passwd_root.sh
- check_swap.sh
- check_sysconfig_iptables.sh
check_all_bridge_have_one_slave.sh
Необходимо добавить все интерфейсы принимающие зеркало трафика в отдельные бриджи
В противном случае получится петля на локалхосте -> дополнительная нагрузка
Необходимо заново запустить настройку принятия зеркала:
menu -> Reductor. Мастер зеркала трафика
check_all_slave_have_ip.sh
Некоторые интерфейсы внутри бриджей не имеют IP адресов.
Это приводит к тому, что IP-трафик с них не анализируется.
Необходимо убедиться, что все бриджи - нужные, если это нет так:
Заново запустите настройку принятия зеркала:
menu -> Reductor. Мастер зеркала трафика
check_block_fact.sh
Эта ошибка означает, что не происходило ни одного факта блокировки.
Вполне вероятно, что модуль был запущен относительно недавно и это просто не успело произойти.
Однако, уже проверено более 15000000 HTTP-пакетов. Возможно не настроено зеркало трафика
А также возможно что ваши абоненты - замечательные добропорядочные люди и не ходят на запрещённые сайты.
Примечание: ошибка произошла в ночное/утреннее время, раньше в такие моменты она игнорировалась,
так как абоненты мало сидят в интернете, но сейчас есть постоянно проверяющий АС Ревизор.
Поэтому отсутствие срабатываний в течение часа - это очень странно.
Необходимо убедиться, что фильтрация вообще работает для машины, трафик которой попадает в Редуктор.
check_blockpage.sh
Используется страница-заглушка CarbonSoft, нужно настроить собственную страницу заглушку.
Необходимо настроить страницу заглушку на отдельном сервере: http://docs.carbonsoft.ru/68354279
check_bridge.sh
Для работы в режиме съема зеркала трафика с коммутатора необходимо иметь как минимум 1 bridge-интерфейс.
Bridge можно создать автоматически в menu -> Настройка сканирования трафика
check_cert_date.sh
Нужно приобрести новую ЭЦП в Удостоверяющем центре и подложить в Редуктор по статье
check_cert.sh
На сервере отсутствует файл provider.pem, либо он пустой.
Нужно положить туда закрытый ключ экспортированный с USB-токена.
Если у вас уже есть *.pfx-контейнер, положите его в папку $USERDIR
и запустите menu -> Настройки обновления списков с zapret-info... -> Установка сертификата с USB-Token
check_default_options.sh
Для увеличения надежности фильтрации рекомендуем включить стандартные опции в /cfg/config
check_dns.sh
Не настроены DNS
Вывод данной ошибки говорит о том, что в данный момент с Carbon Reductor не доступны dns, которые указаны в сетевых настройках
check_dropped_packets.sh
На одной из сетевых карт имеются ошибки обработки пакетов.
Воспользуйтесь статьёй http://docs.carbonsoft.ru/69926921 для решения проблемы.
check_hyperthreading.sh
Для достижения оптимальной производительности рекомендуется отключить гипертрединг в настройках BIOS/UEFI
check_kernel_version.sh
Ядра кроме 'ванильного' CentOS 6, x86_64 и ядра старее 2.6.32-573 не поддерживаются.
Необходимо выполнить команду:
yum -y update
check_key_in_cert.sh
В используемом сертификате отсутствует закрытый ключ, необходимый для подписи.
check_network_errors.sh
На одной из сетевых карт возникают ошибки приёма/отправки пакетов (см. rx missed)
Воспользуйтесь статьёй http://docs.carbonsoft.ru/69926921 для решения проблемы.
check_network_manager.sh
Вместо NetworkManager рекомендуется использовать /etc/init.d/network.
Сеть нужно вручную или с помощью мастера настройки сети настроить в /etc/sysconfig/network-scripts
check_own_list_data.sh
Один из собственных списков содержит некорректные данные.
check_own_server.sh
Загрузка с собственного сервера не выполняется.
Не указан URL с dump.xml на своем сервере.
Необходимо указать его через меню Reductor -> Настройки выгрузок единого реестра.
check_proxy_loop.sh
Страницы заглушки для blockpage и squid находятся на одном сервере
Происходит зацикливание squid при обращении к DNS
Для нормальной работы необходимо разместить их на отдельных серверах.
check_static_request.sh
Обновление с помощью статичного запроса/подписи не выполняется
Отсутствуют файлы запроса и подписи.
Необходимо подложить их в /app/reductor/var/lib/reductor/rkn/.
check_tcpdump_dns_mirror.sh
В зеркале трафика в течение нескольких часов отсутствовали dns-запросы
Необходимо убедиться, что зеркалируется весь исходящий трафик.
check_tcpdump_http_mirror.sh
В зеркале трафика в течение нескольких часов отсутствовали http-запросы
Необходимо убедиться, что зеркалируется весь исходящий трафик.
check_tcpdump_https_mirror.sh
В зеркале трафика в течение нескольких часов отсутствовали https-запросы
Необходимо убедиться, что зеркалируется весь исходящий трафик.
check_total_packets.sh
Эта ошибка означает, что в модуль Carbon Reductor ни разу не попадал пакет на проверку.
Есть две основные причины которые приводят к этому. Первая - не настроено зеркало трафика (90% вероятности).
Вторая - отсутствие фильтрующего правила в iptables (10% вероятности)
check_url_modify.sh
Возможно у вас указан устаревший URL сервера обновления сигнатур.
Вероятно у вас из-за этого не активируется Carbon Reductor.
В последних версиях URL сервера активации обновляется при старте.
Данная опция в большей степени является опцией для разработчиков.
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_centos_iptables_rules.sh
ALARM Внимание!!! Файл /etc/iptables не пуст, это может нарушить работоспособность системы
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_coredump.sh
Сбились настройки coredump (возможно сломался carbon_sysctl.d или carbon_limits.d, либо не выполнена перезагрузка после обновления).
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_cpu_load.sh
ALARM Высокая нагрузка на CPU
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_disk_free_space.sh
FATAL На одном из разделов мало свободного места
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_duplicate_ip.sh
FATAL Два интерфейса этого сервера подключены к одному маршрутизатору
FATAL В сети имеется компьютер с IP адресом повторяющим адрес этого сервера
Необходимо проверить обе возможности и устранить.
check_free_inodes.sh
ALARM На одном из устройств осталось мало свободных inode.
Возможно какая-то папка забита большим количеством файлов
check_free_memory.sh
ALARM Мало свободной памяти.
Скорее всего в Редуктор установлено мало свободной памяти или одии/несколько из процессов заполнил всю свободную оперативную память.
check_iptables_rules_count.sh
WARNING Слишком большое количество правил iptables
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_johnik_xge_kernel.sh
ALARM Используется устаревшее ядро, требуется перезагрузка на devel или master ядро
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_kdump.sh
WARNING Не запущен kdump. Возможно, нужна перезагрузка сервера.
Если после ребута ошибка сохраняется, воспользуйтесь инструкцией: http://docs.carbonsoft.ru/68845652
В противном случае необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_kernel_errors.sh
ALARM Версия ядра несовместима с версией модулей
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_kernel_watchdog.sh
ALARM Неверно сконфигурирована подсистема watchdog. Возможно нужно перезагрузить сервер.
Если после перезагрузки ошибка сохраняется - необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_loadaverage.sh
ALARM Высокая нагрузка на CPU. $(cat /proc/loadavg) Смотрите файл /app/base/var/log/check_loadaverage.log
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_mdstat.sh
WARNING Выпал раздел из raid-массива!
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_on_boot_int.sh
ALARM Ни один сетевой интерфейс не загрузится после перезагрузки (ONBOOT=no на всех интерфейсах)
Необходимо проверить настройки сетевых скриптов и проставить ONBOOT=yes
check_passwd_root.sh
Используется пароль по-умолчанию, необходимо срочно изменить root-пароль для сервера.
При составлении паролей рекомендуется придерживаться следующих правил:
- Пароль должен содержать не менее шести символов.
- В состав пароля могут входить цифры, латинские буквы, пробелы и специальные символы ('.', ',', '?', '!', '<', '>' и др. ).
- Рекомендуется составлять пароль из смешанного набора цифровых и буквенных (прописных и строчных) символов.
Команда для создания случайного пароля:
#openssl rand -base64 12
Для смены пароля воспользуйтесь инструкцией
check_swap.sh
WARNING Не настроен swap
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.
check_sysconfig_iptables.sh
ALARM Внимание!!! Файл /etc/sysconfig/iptables не пуст, это может нарушить работоспособность системы
Переименовываем его в deleted_iptables, ручные правила для iptables лучше добавлять в hooks
Необходимо создать заявку на портале helpdesk.carbonsoft.ru, если ещё не создана автоматическая заявка.