Il processo Mue_InUse non risponde sui sistemi Linux/macOS/MLOS, consumando il 100% della CPU
Articoli tecnici ID:
KB95203
Ultima modifica: 2023-07-14 11:29:16 Etc/GMT
Ambiente
Advanced Threat Defense (ATD) 4.x Data Exchange Layer (DXL) 6.x, 5.x Endpoint Security for Linux Threat Prevention 10.7.x, 10.6.x Endpoint Security for Mac Threat Prevention 10.7.x, 10.6.x Threat Intelligence Exchange (TIE) Server 4.x, 3.x, 2.x Trellix Agent 5.x
Sistemi operativi Linux/macOS/MLOS supportati
AMCore v3 content version 4683
Problema
1
Si osserva quanto segue sul proprio sistema Linux:
- Il processo Mue_InUse non risponde.
- Il processo alla fine consuma il 100% della CPU.
Vengono visualizzati gli errori riportati di seguito nel file McScript.log ( /Var/McAfee/agent/logs/):
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
Il processo Mue_InUse non risponde. È necessario terminare il processo per ripristinare la sua funzione. La CPU si sta avvicinando al 100%:
Problema
2
L'aggiornamento del contenuto MEDDAT non riesce sul sistema macOS :
Vengono visualizzati gli errori riportati di seguito nel file McScript.log ( /var/McAfee/agent/logs/):
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section DetectInstalledProductsAndUpdate]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section GetDetectionScripts]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section FindAndExecuteDetectionScripts]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughProductIDList]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughFile]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/amcore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
Problema
3
Mentre il sistema registra l'errore Parse error line 350 column 36: Unexpected empty value, potrebbe anche far sì che McScript.log utilizzi più spazio su disco rispetto a quanto configurato nel criterio dell'agente. Il processo non esegue il comando log rotate e consuma spazio su disco finché il sistema non viene riavviato o il processo Mue_InUse non viene terminato.
Causa
I sintomi derivano dalle modifiche di produzione apportate nel pacchetto di contenuto AMCore, in cui lo script di distribuzione Extra.DAT ( extradat.mcs) viene aggiornato per includere il supporto della piattaforma non Windows.
Anche se i sistemi Linux e macOS non utilizzano il contenuto AMCore, il modo in cui gli aggiornamenti vengono distribuiti mostra che l'agente esegue lo script di aggiornamento del contenuto per AMCORDAT2000 su queste piattaforme. Una differenza di comportamento tra piattaforme Windows e non Windows durante l'analisi dello script genera un errore solo per i sistemi non Windows. Il comportamento del motore di script in questo scenario consiste nel ripetere l'esecuzione dello script. Questo comportamento crea un loop logico che causa il sintomo di consumo elevato della CPU del processo Mue_InUse.
Soluzione
Questo problema è stato risolto nella AMCore versione del contenuto 4684.
IMPORTANTE:
- La versione del contenuto 4684 non termina nessuna Mue_InUse sessione che potrebbe essere ancora in esecuzione.
- La versione del contenuto 4684 interrompe gli errori visualizzati in questo articolo su tutte le attività create con contenuto AMCore selezionato in un'attività di aggiornamento.
NOTA: in base alla progettazione, il processo Mue_InUse ha il comando sigkill codificato e termina automaticamente dopo sei ore. Quindi, potresti decidere di attendere che il processo Mue_InUse venga terminato.
Configurare l'attività di aggiornamento per installare solo il componente MEDDAT e, se utilizzato, Endpoint Security Exploit Prevention Linux Content.
Azioni nella console ePO:
- Accedere alla console di ePO.
- Seleziona il rispettivo gruppo in cui il sistema sta segnalando.
- Fare clic su Attività client assegnatee modificare le attività di aggiornamento del prodotto.
- Deseleziona l'opzione AMCORE per i sistemi con sistemi operativi Linux/macOS/MLOS nel gruppo.
-
Salva l'attività.
- Per applicare le modifiche, invia la sveglia a tutti i sistemi.
IMPORTANTE: Disabilita tutte le attività di aggiornamento del contenuto abilitate dalla console ePO. Mantieni queste attività disabilitate fino a quando il contenuto non è stato aggiornato ( AMCore versione 4684) e il problema del processo Mue_InUse non è stato mitigato.
Soluzione alternativa
1
Termina il processo Mue_Inuse sul client.
Azioni sul problema Sistema Linux/macOS/MLOS:
- Connettiti al sistema problematico utilizzando SSH con l'utente root.
- Per determinare i processi in esecuzione sul sistema, eseguire il comando top :
-bash-4.1# top
Output:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3559 root 20 0 538m 411m 9240 R 85.6 5.2 1 17:08.57 Mue_InUse
- Eseguire il comando seguente per terminare il processo Mue_Inuse esistente nello stato di non risposta:
sudo pkill -f Mue_InUse
IMPORTANTE: se il comando pkill non riesce a terminare il processo, digitare quanto segue:
kill -9 <PID number of Mue_Inuse>
Esempio: kill -9 3559
- Se si dispone di più istanze dei processi Mue_InUse, digitare quanto segue:
killall -9 Mue_InUse
NOTA: il comando precedente chiude tutti i processi Mue_InUse in un'unica azione.
Soluzione di script facoltativa:uno script .sh è allegato a questo articolo da utilizzare manualmente con un utente root.
- Scarica il file killMue.zip nella sezione "Allegato" di questo articolo.
- Estrai il contenuto in una cartella.
- Copiare killMue.sh nel sistema problematico.
- Connettiti al sistema tramite SSH.
- Passare alla cartella in cui è stato copiato il file .sh.
Esempio: file copiato in /tmp/
- Digita il comando:
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Uscita:
total 41744
-rwxr-xr-x. 1 root root 90 Jan 19 17:29 killMue.sh
- Per eseguire il file .sh, devi prima assegnare l'autorizzazione al file prima di poterlo eseguire. Se non si assegna il permesso, si ottiene il seguente errore:
[root@SGPRGC109002 ~]# cd /tmp/
[root@SGPRGC109002 tmp]# ./killMue.sh
-bash: ./killMue.sh: Permission denied
NOTA: Per impostazione predefinita, il file non ha i permessi di esecuzione.
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Uscita:
total 41744
-rw-r--r--. 1 root root 90 Jan 19 17:29 killMue.sh
- Assegna le autorizzazioni di esecuzione:
[root@SGPRGC109002 tmp]# chmod +x /tmp/killMue.sh
[root@SGPRGC109002 tmp]# ./killMue.sh
[root@SGPRGC109002 tmp]#
- Per automatizzare questa procedura, utilizzare una terza parte attrezzo.
Soluzione alternativa
2
Se viene trovata una singola istanza del processo Mue_InUse, procedi nel seguente modo:
- Disabilita tutte le attività di aggiornamento del contenuto abilitate dalla console ePO.
- Aggiornamento al nuovo contenuto nell'archivio principale ePO: V2 DAT [10232], MEDDAT [4855] e V3 DAT [4684.0].
- Abilita tutte le attività di aggiornamento del contenuto di Linux.
- Esegui il push delle attività di aggiornamento del prodotto per aggiornare il nuovo contenuto su tutti i sistemi client.
NOTA: in base alla progettazione, il processo Mue_InUse ha il comando sigkill codificato e termina automaticamente dopo sei ore. Quindi, potresti aspettare che il processo Mue_InUse venga terminato.
Soluzione alternativa
3
Se hai più sistemi Linux interessati, lo strumento RemoteKillMue può consentirti di terminare in remoto il processo Mue_InUse da un sistema Windows. Scarica il file RemoteKillMue.zip nella sezione "Allegato" di questo articolo. Seguire le istruzioni nell'allegato Readme.txt file.
NOTA: lo strumento richiede che tutti i sistemi remoti abbiano SSH abilitato, che sia consentito l'accesso root per SSH e che condividano tutti una password root.
Soluzione alternativa
4
Per determinare se i file McScript.log e i backup associati stanno consumando lo spazio dopo che il processo Mue_InUse è stato terminato, eseguire il comando seguente. Il comando elenca i file di registro dell'agente e le rispettive dimensioni:
ls -lh /var/McAfee/Agent/logs
Se i file sono più grandi di quanto definito nel criterio dell'agente, è possibile rispostare i file e riavviare il servizio dell'agente o riavviare il sistema.
Comando di esempio per rispostare il file McScript.log corrente:
NOTA: è necessario disporre dell'accesso root per eseguire queste azioni. Sui sistemi MLOS (TIE o DXL), l'account del servizio potrebbe non essere in grado di eliminare i file.
Per Linux:
sudo rm -rf /var/McAfee/agent/logs/McScript.log
Per MLOS:
[mcafee@mcafee~]#suPassword: bash-4.1# rm -rf /var/McAfee/agent/logs/McScript.log
NOTA: immettere la password di root quando richiesto.
Vedere i seguenti articoli per i comandi del servizio dell'agente:
Soluzione alternativa
5
Il privilegio root ATDè limitato su ATD. Quindi, per affrontare i sintomi dell'ATD hai due opzioni:
- Applicare un pacchetto installabile.
- Apri una richiesta di servizio e richiedi una sessione remota.
IMPORTANTE: Assicurati di aggiornare l'attività di aggiornamento del prodotto in ePO in base alla sezione "Soluzione", dopo aver completato una delle opzioni precedenti.
Applicazione di un pacchetto installabile:trova un pacchetto nella sezione "Allegato" di questo articolo, che termina il processo rotante Mue_InUse ed elimina i registri.
- Scarica il atdpatch_MueInuse.ziped estrai il file atdpatch_MueInuse.msu.
- Carica atdpatch_MueInuse.msu (in formato .msu ) su ATD utilizzando l'account atdadmin .
- Accedere all'interfaccia della riga di comando utilizzando l'account cliadmin ed eseguire il comando seguente:
install msu atdpatch_MueInuse.msu
- Durante l'esecuzione, potresti visualizzare alcuni errori simili a quelli riportati di seguito.
Error: job pid is not running: 2761
Error: Software Installation failed
Puoi tranquillamente ignorare gli errori. Il file atdpatch_MueInuse.msu ha un formato speciale. A differenza dei normali pacchetti di aggiornamento, in cui l'interfaccia della riga di comando monitora solo l'avanzamento dell'installazione del normale pacchetto di aggiornamento:
NOTA: Finisce entro 30 secondi.
- Vai a Gestisci, Registri, Sistema nell'interfaccia ATD.
- Verificare che le voci di registro seguenti siano presenti. Questi log indicano che il pacchetto è stato applicato correttamente.
Thu Jan 27 14:06:49 IST 2022::Installing software...
Thu Jan 27 14:06:49 IST 2022::Completed software installation, please reboot the system
- Riavviare manualmente l'ATD dall'interfaccia della riga di comando utilizzando il comando reboot .
ATD viene eseguito normalmente dopo il riavvio. Monitora l'utilizzo della CPU e l'avanzamento del processo di scansione nella GUI ATD.
Apertura di una richiesta di assistenza e richiesta di una sessione remota
Un tecnico del supporto tecnico può assumere il controllo di una sessione remota e terminare il processo Mue_InUse incriminato o eliminare i file di registro di grandi dimensioni.
Se riscontri un elevato consumo di CPU o un elevato utilizzo dello spazio su disco, apri una richiesta di servizio. Includere questo numero di articolo e richiedere una sessione remota.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi. Le password e le istruzioni vengono inviate tramite email.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
