什么是Agent？

Agent是部署到用戶服務器操作系統中的輕量化進程，主要功能是根據用戶配置的安全策略，上報服務器存在的安全風險和新增的安全事件數據，同時響應用戶和安全衛士防護中心的指令，實現對服務器上的安全威脅清除和惡意攻擊攔截。

安裝Agent會不會對自身的業務穩定性產生影響？

不會。Agent是純應用層的，不會給系統裝任何的驅動；Agent的帶寬和資源占用很小；Agent已經通過各種業務場景長時間運行測試，不會影響系統的穩定性。

如何安裝Agent?

開通服務器安全衛士后，在左側導航中選擇“資產管理 > 服務器列表” ，查看服務器列表中的“Agent狀態”。

• 若狀態為“在線”，則本臺服務器已安裝Agent并自動激活，Agent服務正常。

• 若狀態為“離線”，則需要為服務器重新安裝Agent。

  • Linux系統安裝命令

    

  • Windows系統安裝命令

    

如何卸載Agent

支持一鍵卸載和本地手動卸載兩種方式。

• 方式一：通過控制臺卸載Agent時，云主機的Agent狀態應處于“在線”狀態。

  1. 點擊左上角控制中心進入服務器安全衛士（原生版）界面。

  2. 進入“資產管理 > 服務器列表”，找到需卸載的云主機Agent，點擊“操作”列的“卸載Agent”按鈕，并在彈出的卸載Agent對話框中，點擊“確認”按鈕。

  3. 卸載成功后，Agent狀態應顯示為“離線”狀態，點擊右側刷新按鈕可更新狀態（由于緩存原因，Agent狀態更新需等待約10分鐘）。

• 方式二：云主機本地卸載Agent

  • 卸載Linux版本Agent：

    1. 以root用戶登錄到Linux云主機。

    2. 任意目錄下執行以下命令即可卸載Agent，執行無明顯報錯信息則卸載成功。

       執行命令卸載 ：bash /var/ctcss/active-response/bin/uninstall.sh

  • 卸載Windows版本Agent：

    1. 登錄到Windows云主機。

    2. 在“控制面板 > 程序和功能”中找到“CTCSS Agent”或“CTCSSAgent”，右鍵點擊，選擇卸載，按照提示卸載。

Agent安裝失敗如何處理？

Agent安裝失敗的可能原因有多種，可按以下方法解決：

1. 確認安裝命令是否正確

   點擊”安裝Agent“按鈕，即可獲取到Linux和Windows系統安裝指令。

   

2. 確認是否以root或管理員權限執行安裝命令

   Agent安裝需要root或管理員權限。

3. 卸載Agent后再次嘗試安裝

   若再次安裝仍然失敗，提工單聯系技術支持。

4. 確認是否第三方安全軟件原因導致

   第三方安全軟件，可能會導致Agent無法正常安裝，建議您先關閉或卸載安全軟件后再安裝Agent。

Agent狀態異常如何處理？

若安裝Agent后，在服務器安全衛士界面無法找到安裝Agent的云主機，或者Agent狀態仍然為“離線”狀態，則可能Agent與服務端無法正常通信，狀態異常。可按以下方法排查解決：

1. Agent安裝后，需在控制臺右上角點擊“同步資產”按鈕，等待5~10s待同步完成后（按鈕旁的資產更新日期會刷新），安裝Agent的云主機會顯示在界面中。

2. 查詢Agent是否支持該云主機操作系統，參見服務器安全衛士支持的系統。

3. 查看主機網絡連通，命令行執行telnet 169.254.169.254 5661看是否能正常連通服務端。

   若不能，執行route -n (Windows 為 route print）查看主機是否具備到169.254.169.254的路由，若缺失該路由，請提工單添加該路由。

   

4. Agent服務異常，需重啟Agent服務。

   • Linux系統

     以root用戶在命令行執行 systemctl restart ctcss（CentOS6 執行 service ctcss restart）。

   • Windows系統

     以管理員權限，打開“任務”頁簽，選中“ctcss-agentd”，右鍵單擊，選擇“重新啟動”，完成Agent重啟。

5. 重啟Agent服務后等待幾分鐘，刷新頁面后若仍然為“離線”狀態，請卸載Agent，并重新安裝。

6. 如果您的服務器上已安裝第三方防病毒軟件，可能會禁止Agent插件訪問網絡造成離線，請關閉并重新安裝Agent。

如何查看未防護的主機？

您可以登錄服務器安全衛士（原生版）控制臺，在左側導航中選擇“資產管理 > 服務器列表”，篩選防護狀態為“未防護”的服務器。請您在未防護的主機中安裝部署Agent，并正常開啟主機防護功能。

如何查看已離線的主機？

您可以登錄服務器安全衛士（原生版）控制臺，在左側導航中選擇“資產管理 > 服務器列表”，篩選Agent狀態為“離線”的服務器。頁面為您展示防護狀態為“已離線”的服務器。

請您確定主機網絡通信是否正常， Agent狀態為“離線”狀態，則可能Agent與服務端無法正常通信，狀態異常，排查步驟詳見常見問題“Agent狀態異常如何處理”。

Agent默認安裝路徑是什么？

在Linux/Windows操作系統的主機中安裝Agent時，安裝過程中不提供安裝路徑的選擇，默認安裝在以下路徑中:

Agent如何升級？

Agent升級正常情況下為自動升級，當Agent發布新版本時，服務端會給Agent下發一次升級命令，Agent收到后自行升級。但服務端下發的指令可能因網絡等原因，Agent未收到，導致仍然為舊版本。用戶可卸載Agent，并重新下載、安裝Agent，確保云主機內運行的Agent為最新版本。

Agent運行過程中占用多少資源？

Agent運行時，內存占用不超過500MB，超過Agent自動重啟；單核CPU占用不超過20%，超過Agent暫時掛起。

Agent安裝以后會訪問哪些地址？

Agent安裝后會訪問的IP、端口如下表所示：

訪問說明：Agent訪問服務器安全衛士服務端，主要是獲取服務端下發的策略/配置/指令，上報安全告警事件及資產指紋。

服務器安全衛士（原生版）和網頁防篡改（原生版）共用Agent？

共用一個Agent，在天翼云控制臺上統一下發管理防護策略，Agent執行監控與處置。

已開通安全衛士，服務器防護狀態顯示未防護，如何解決？

1. 查看Agent是否啟動。

   Windows:

   點擊部署目錄下的 ct_win32ui.exe ，查看ui界面顯示的 agent status 應為 Running，last keepalive 是否更新（與當前系統時間相差應不超過1分鐘）

   

   Linux:

   centos 6 使用 service ctcss status 查看agent服務狀態是否為 Running

   

   其他Linux發行版使用 systemctl status ctcss 查看Agent服務狀態是否為active

   

   查看 /var/ctcss/var/run/eShield-agent.state 文件中 last keepalive 是否更新（與當前系統時間相差應不超過1分鐘）

   

2. Agent未啟動，請按如下方式啟動：

   Windows：

   點擊部署目錄下的ct_win32ui.exe ，在彈出的ui界面中點擊左上角Manage選項，可控制Agent的啟停。

   

   Linux:

   centos 6 使用 service ctcss start/stop 啟停 Agent；

   其他Linux發行版使用 systemctl start/stop ctcss 啟停 Agent。

3. 檢查安全衛士Agent配置。

   若Agent處于running狀態，但 last keepalive時間未更新，則可能為配置文件錯誤。查看Agent配置文件，由于Agent版本差異,配置文件路徑不同:

   Linux路徑為 /var/ctcss/etc/ctcss.conf或 /var/ctcss/etc/ctcss.yml ；

   Windows路徑為 C:\Program Files (x86)\ctcss-agent\ctcss.conf 或C:\Program Files (x86)\ctcss-agent\etc\ctcss.yml 。

   其中服務器IP應為 169.254.169.254 ，端口分別為5661和 16463。（非公有云場景下，服務端IP地址可能有變化，以實際部署信息為準）。

   配置修改完成后需按前述“步驟1”中最后一段描述重新啟動Agent。

   

   

4. 檢查Agent的激活文件中的信息。

   先檢查client.keys中guid與機器真實guid是否一致。

   1. 執行【 cat /var/ctcss/etc/client.keys 】獲取key信息，包含四段數據，第二段為guid，如下圖第一個紅框。

   2. 執行 【 /usr/sbin/dmidecode -s system-uuid | grep -v '#' | tr 'a-z' 'A-Z' 】 獲取當前機器guid，如下圖第二個紅框。

   3. 對比guid是否一致，如果不一致，執行【 rm -f /var/ctcss/var/run/.activation 】刪除.activation文件，之后需按前述“步驟1”中最后一段描述，重新啟動agent。等agent啟動之后，再次驗證guid是否一致，若guid一致等待agent狀態更新即可。