Fehlerbehebung

In diesem Abschnitt werden Ressourcen identifiziert, die Sie für das Troubleshooting von Problemen mit der Tanium Client-Verteilung verwenden können.

Grundlegende Tipps

Überprüfen Sie das Tanium Client Installationsprotokoll, um die Fehlerbehebung bei der Installation unter Windows durchzuführen.

Wenn bei Ihrer Installation auf Windows-Endpunkten Probleme auftreten, überprüfen Sie Install.log im Tanium Client-Installationsverzeichnis, um Aktionen zu identifizieren, die während der Installation fehlgeschlagen sind. Auf Windows-Endpunkten generiert das Tanium Client-Installationsprogramm diese Protokolldatei, um die Aktionen, die das Installationsprogramm durchgeführt hat, chronologisch aufzuzeichnen. Jedes Mal, wenn das Installationsprogramm ausgeführt wird (d. h. für jede Installation und jede Aktualisierung), fügt es die Aktionen für diese Ausführung am Ende der vorhandenen Protokolldatei an.

Überprüfen Sie die Tanium Client-Protokolle, um Probleme bei Verbindungen und andere Client-Probleme zu beheben

Überprüfen Sie die Tanium Client-Protokolle, um Probleme mit dem Client zu beheben. Beispielsweise beantwortet ein Client keine Fragen oder erscheint nicht in der Tanium Console (Administration > Management > Client Status), da sich dieser Client nicht mit einer TaaS-Instanz dem Tanium Server oder Zonenserver verbinden kann. In diesem Fall können Sie die Client-Protokolle überprüfen, um festzustellen, ob die Verbindung aufgrund einer ungültigen InstanzServer-IP-Adresse, eines DNS-Auflösungsfehlers, einer fehlenden öffentlichen Tanium-Schlüsseldatei oder einer Firewall-Regel fehlgeschlagen ist.

Der Tanium Client erfasst neue Client-Protokolle in der Datei log0.txt. Standardmäßig beträgt die maximale Größe der Protokolldatei 10 MB. Wenn log0.txt die maximale Größe erreicht hat, benennt der Client log1.txt um und erstellt dann eine neue log0.txt. Wenn log0.txt wieder das Maximum erreicht hat, benennt der Client log1.txt in log2.txt um, benennt log0.txt erneut in log1.txt um und erstellt eine neue log0.txt. Der Prozess der fortlaufenden Protokollierung, wann immer log0.txt die maximale Größe erreicht, wird fortgesetzt, bis 10 Protokolle vorhanden sind: log0.txt bis log9.txt.

Wenn log0.txt danach wieder die maximale Größe erreicht, komprimiert der Client log9.txt zu einer Datei namens log10.zip. Wenn log0.txt erneut 10 MB erreicht, wird log10.zip vom Client in log11.zip umbenannt und log9.txt erneut zu einer Datei namens log10.zip komprimiert. Dieser Vorgang wird so fortgeführt, bis 10 ZIP-Dateien vorhanden sind, log10.zip bis log19.zip. Wenn log0.txt danach wieder 10 MB erreicht, erstellt der Client eine neue log10.zip, ohne log19.zip als neue Datei umzubenennen, wodurch die alten log19.zip-Informationen bei der Umbenennung von log18.zip als neue log19.zip praktisch gelöscht werden.

Der Speicherort für Protokolldateien ist konfigurierbar (siehe LogPath). Der Standardpfad lautet <Tanium Client installation directory (Tanium Client Installationsverzeichnis)>/Logs (Protokolle).

Sie können die Funktion zur Prüfung des Client-Zustands in Client Management verwenden, um sich direkt mit einem Endpunkt zu verbinden und Protokolle abzurufen. Weitere Informationen finden Sie unter Detaillierte Informationen zum Clientzustand für einen Endpunkt anzeigen.

Aktionsprotokolle und zugehörige Dateien zwecks Fehlerbehebung von Aktionen und Paketen überprüfen

Wenn ein Paket nach der Verteilung mithilfe einer Aktion nicht zu funktionieren scheint, überprüfen Sie im Rahmen der Fehlerbehebung die Aktionsprotokolle und die Dateien, die mit der Aktion verknüpft sind. Jedes Mal, wenn der Tanium Client eine Aktionsmeldung mit einem Befehlssatz zum Ausführen empfängt, erstellt der Client eine Aktionsprotokolldatei namens Action_<ID>.log, wobei <ID> die Aktionskennung ist. Das Aktionsprotokoll enthält die CLI-Ausgabe, die dem Aktionsbefehl zugeordnet ist. Der Tanium Client speichert alle Dateien, die für die Ausführung eines Aktionspakets in Action_ID-Verzeichnissen erforderlich sind.

Sowohl Aktionsprotokolle als auch Action_<ID>-Verzeichnisse befinden sich im Verzeichnis <Tanium Client installation directory (Tanium Client-Installationsverzeichnis)>/Downloads. Der Tanium Client löscht Aktionsprotokolle in einem konfigurierbaren Intervall von seinem Host (siehe Aktionsprotokoll und Paketbereinigung).

Die Tanium Console zeigt die Action ID (Aktions-ID) auf den Seiten Action (Aktion) > Action History (Aktionsverlauf) und Action Summary (Aktionszusammenfassung) (siehe Benutzerhandbuch für Tanium Console: Aktionen ausführen). Die Seite Action Summary (Aktionszusammenfassung) bietet Optionen für den Zugriff auf Informationen zum Aktionsprotokoll von mehreren Endpunkten: siehe Benutzerhandbuch für Tanium Console: Aktionszusammenfassung und Status anzeigen.

Aktionsverlaufsprotokolle zeigen einen längeren Verlauf von den Aktionen, die ein verwalteter Endpunkt ausgeführt hat, aber ohne die CLI-Ausgabe und andere Details.

Sie können die Funktion zur Prüfung des Client-Zustands in Client Management verwenden, um sich direkt mit einem Endpunkt zu verbinden und Aktionsprotokolle abzurufen. Weitere Informationen finden Sie unter Detaillierte Informationen zum Clientzustand für einen Endpunkt anzeigen.

Action_<ID>-Verzeichnisse

Jedes Action_<ID>-Verzeichnis enthält alle Dateien, die für die Ausführung eines Aktionspakets erforderlich sind. Wenn Sie beispielsweise ein Paket mit fünf Dateien ausführen, platziert der Tanium Client jede Datei nach dem Download im Action_<ID>-Verzeichnis. Nach dem Herunterladen aller fünf Dateien ändert sich der Aktionsstatus von Preparing Files (Dateien werden vorbereitet) zu Running (Wird ausgeführt) auf der Seite Action Summary (Aktionszusammenfassung). Selbst wenn ein ausgeführtes Paket keine zugehörigen Paketdateien besitzt, erstellt der Tanium Client dafür ein leeres Action_<ID>-Verzeichnis. Der Tanium Client löscht Action_<ID>-Verzeichnisse in einem konfigurierbaren Intervall von seinem Host (siehe Aktionsprotokoll und Paketbereinigung).

Aktionsprotokoll-Inhalte

Aktionsprotokolle protokollieren jede Phase einer Aktion:

  • Herunterladen von Dateien

    Während dieser Phase zeigt der Eintrag im Aktionsprotokoll an, dass die Dateien heruntergeladen werden:

    2016-11-28 14:12:30 +0000|[Downloading Files (Dateien werden heruntergeladen)].
    2016-11-28 14:12:30 +0000|[Files Failed Verification (Dateiprüfung fehlgeschlagen)]

    Obwohl es wie eine Fehlermeldung aussieht, bedeutet die Meldung [Files Failed Verification (Dateiprüfung fehlgeschlagen)] lediglich, dass der Client nicht über die notwendigen Dateien in seinem lokalen Cache verfügt. Deshalb fordert er die notwendigen Dateien von seinen Peers an. Das ist völlig normal.

  • Laufend

    Während dieser Phase stellt das Aktionsprotokoll fest, dass die Aktion derzeit ausgeführt wird. Nach diesem Eintrag zeigt das Protokoll alle Informationen aus dem Paket an:

    2016-11-28 14:12:37 +0000|[Files Verified, running action (Dateien Verifiziert, Aktion wird ausgeführt)].

  • Abgeschlossen

    Nach Abschluss der Aktion zeichnet das Protokoll einen Abschlusseintrag unter der standardmäßig erfassten Ausgabe der Aktion auf.

    2016-11-28 14:12:37 +0000|[Command Completed (Befehl abgeschlossen)]

Der Abschluss eines Befehls bedeutet nicht automatisch, dass der Befehl erfolgreich ausgeführt wurde. Beispielsweise kann eine Aktion zum Ausführen eines Befehls auch dann abgeschlossen werden, wenn der Befehl selbst fehlschlägt. Zum Beispiel stimmt die Befehlszeile für das Paket möglicherweise nicht mit dem Namen der ausgeführten Datei überein, oder der Befehl kann eine Datei nicht ausführen. Verwaltete Endpunkte zeigen, dass die Aktion abgeschlossen wurde, obwohl nichts passiert ist. Sie können eine Validierungsanfrage zum Paket hinzufügen, damit der Aktionsstatus angibt, ob ein Befehl erfolgreich ausgeführt wurde oder fehlgeschlagen ist.

Aktionsprotokoll und Paketbereinigung

Der Tanium Client überprüft stündlich oder direkt nach dem Zurücksetzen (alle zwei bis sechs Stunden), ob Action_<ID>.log-Dateien älter als sieben Tage sind, und löscht sie ggf. Der Tanium Client prüft auch stündlich oder direkt nach dem Zurücksetzen, ob entsprechende Action_<ID>-Verzeichnisse abgelaufen sind, und löscht sie ggf. Dieser Prozess stellt sicher, dass der Endpunkt nicht mehr Speicherplatz verbraucht, als für Tanium-Aktionen erforderlich ist. Wenden Sie sich an den Tanium-Support, wenn Sie Aktionsprotokolle oder Aktionsverzeichnisse länger aufbewahren möchten.

Überprüfung der Aktionsverlaufsprotokolle zur Fehlerbehebung oder Prüfung von Aktionen

Wenn Sie Aktionen an verwalteten Endpunkten prüfen oder dort Fehler beheben, überprüfen Sie die Aktionsverlaufsprotokolle, um zu sehen, welche Aktionen ausgeführt wurden, ihre Start- und Laufzeiten und die zugehörigen Befehle. Obwohl in den Aktionsprotokollen mehr Details aufgezeichnet werden, bewahrt der Tanium Client Aktionsverlaufsprotokolle länger auf (ihre einzelnen Protokolldateien sind kleiner). Daher bieten Aktionsverlaufsprotokolle eine Übersicht über Aktionen, die chronologisch weiter zurückgehen. Der Tanium Client archiviert die ersten 10 MB der Aktionsverlaufsprotokolle als Textdateien. Sobald der Schwellenwert von 10 MB erreicht wurde, archiviert der Client die ältesten Protokolle als ZIP-Dateien, bevor neue Protokolle als Textdateien hinzugefügt werden. Der Protokoll-Rollover erfolgt wie folgt:

Protokolle werden in Textdateien festgehalten

Der Tanium Client erstellt immer dann eine neue action-history0.txt Datei, wenn eine Aktion ausgeführt wird. Wenn diese Datei eine Größe von 1 MB erreicht hat, benennt der Client action-history0.txt in action-history1.txt um und erstellt eine neue action-history0.txt. Wenn action-history0.txt erneut 1 MB erreicht, benennt der Client action-history1.txt in action-history2.txt um und action-history0.txt erneut in action-history1.txt und erstellt eine neue action-history0.txt. Diese Umbenennung, wenn action-history0.txt 1 MB erreicht hat, wird so lange fortgesetzt, bis 10 Protokolle vorhanden sind: action-history0.txt bis action-history9.txt.

ZIP-Protokolldateien

Nachdem 10 MB Aktionsverlaufsprotokolle im Textformat aufgezeichnet wurden, komprimiert Tanium Client action-history9.txt zu einer ZIP-Datei namens action-history10.zip. Wenn action-history0.txt erneut 1 MB erreicht, benennt der Client action-history10.zip in action-history11.zip um und komprimiert action-history9.txt erneut zu einer Datei namens action-history10.zip. Dieser Vorgang wird so fortgeführt, bis 10 ZIP-Dateien vorhanden sind, action-history10.zip bis action-history19.zip. Wenn action-history10.zip danach wieder 1 MB erreicht, erstellt der Client eine neue action-history10.zip, ohne die action-history19.zip als neue Datei abzuspeichern. So werden die Daten aus der alten action-history19.zip gelöscht, sobald action-history18.zip in action-history19.zip umbenannt wird.

Der Tanium Client speichert Aktionsverlaufsprotokolle im Verzeichnis <Tanium Client installation directory (Tanium Client Installationsverzeichnis)>/Logs (Protokolle).

Überprüfung der Sensorverlaufsprotokolle zur Fehlerbehebung oder Prüfung von Sensoraktionen

Wenn Sie die Sensoraktivität an verwalteten Endpunkten überprüfen oder dort Fehler beheben, überprüfen Sie die Sensorverlaufsprotokolle, um die folgenden Informationen zu jedem ausgeführten Sensor anzuzeigen:

  • Sensoridentität, nach Name und Hash-Wert
  • Start- und Laufzeiten
  • Größe in Bytes
  • Parameterwerte (die Protokolle identifizieren parametrisierte Sensoren als temporäre Sensoren)
  • Anzahl der Antwortzeichenfolgen und zugehöriger Hash-Wert

Der Tanium Client archiviert die ersten 10 MB der Sensorverlaufsprotokolle als Textdateien. Sobald der Schwellenwert von 10 MB erreicht wurde, archiviert der Client die ältesten Protokolle als ZIP-Dateien, bevor neue Protokolle als Textdateien hinzugefügt werden. Der Protokoll-Rollover erfolgt wie folgt:

Protokolle werden in Textdateien festgehalten

Der Tanium Client erstellt jedes Mal, wenn ein Sensor ausgeführt wird, eine neue sensor-history0.txt-Datei. Wenn diese Datei eine Größe von 1 MB erreicht hat, benennt der Client sensor-history0.txt in sensor-history1.txt um und erstellt eine neue sensor-history0.txt. Wenn sensor-history0.txt erneut 1 MB erreicht, benennt der Client sensor-history1.txt in sensor-history2.txt um und sensor-history0.txt erneut in sensor-history1.txt und erstellt eine neue sensor-history0.txt. Diese Umbenennung, wenn sensor-history0.txt 1 MB erreicht hat, wird so lange fortgesetzt, bis 10 Protokolle vorhanden sind: sensor-history0.txt bis sensor-history9.txt.

ZIP-Protokolldateien

Nachdem 10 MB Sensorverlaufsprotokolle im Textformat aufgezeichnet wurden, komprimiert Tanium Client sensor-history9.txt zu einer ZIP-Datei namens sensor-history10.zip. Wenn sensor-history0.txt erneut 1 MB erreicht, benennt der Client sensor-history10.zip in sensor-history11.zip um und komprimiert sensor-history9.txt erneut zu einer Datei namens sensor-history10.zip. Dieser Vorgang wird so fortgeführt, bis 10 ZIP-Dateien vorhanden sind, sensor-history10.zip bis sensor-history19.zip. Wenn sensor-history10.zip danach wieder 1 MB erreicht, erstellt der Client eine neue sensor-history10.zip, ohne die sensor-history19.zip als neue Datei abzuspeichern. So werden die Daten aus der alten sensor-history19.zip gelöscht, sobald sensor-history18.zip in sensor-history19.zip umbenannt wird.

Der Tanium Client speichert Sensorverlaufsprotokolle im Verzeichnis <Tanium Client installation directory (Tanium Client Installationsverzeichnis/Protokolle)/>/Logs (Protokolle)

Überprüfen oder Zurücksetzen des öffentlichen Schlüssels zur Behebung von Verbindungsproblemen (nur Tanium Client 7.4)

Sie können den öffentlichen Schlüssel überprüfen oder zurücksetzen, um Verbindungsprobleme zu beheben, die mit einem ungültigen Schlüssel zusammenhängen.

  1. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  2. Geben Sie den folgenden Befehl ein:

    • Windows: TaniumClient pki show
    • Nicht-Windows: ./TaniumClient pki show

    Die Ausgabe zeigt Informationen zum aktuellen öffentlichen Schlüssel an.

  3. (Optional) Setzen Sie den Schlüssel mit einer neuen Datei tanium-init.dat zurück.

    1. Gehen Sie im Hauptmenü in der Tanium Console zu Administration > Shared Services (Geteilte Dienste) > Client Management.
    2. Laden Sie auf der Seite Client Management Overview das Installationspaket für das Betriebssystem des Endpunkts herunter.
    3. Extrahieren Sie die Datei tanium‑init.dat aus dem heruntergeladenen Bundle und kopieren Sie sie in das Tanium Client Installationsverzeichnis.
    4. Gehen Sie im Hauptmenü in der Tanium Console zu Administration > Configuration (Konfiguration) > Tanium Server > Infrastructure Configuration Files (Infrastruktur-Konfigurationsdateien).
    5. Klicken Sie im Abschnitt Clients v7.4+ and Zone Server (Clients v7.4+ und Zonenserver) auf Download (Herunterladen).
    6. Kopieren Sie die heruntergeladene Datei in das Tanium Client Installationsverzeichnis.

    7. Geben Sie in der CLI auf dem Endpunkt den folgenden Befehl ein:

      • Windows: TaniumClient pki reset tanium-init.dat
      • Nicht-Windows: ./TaniumClient pki reset tanium-init.dat

    Achten Sie darauf, dass die Datei tanium-init.dat oder tanium.pub nicht außerhalb Ihrer Organisation verteilt oder gespeichert werden darf, wie z. B. in einem öffentlich zugänglichen Quellcode-Repositorium oder an einem anderen Ort, der aus dem öffentlichen Internet zugänglich ist. Beschränken Sie die Verteilung auf die spezifische Verwendung bei der Verteilung von Tanium Clients.

    Obwohl diese Dateien keine privaten Schlüssel enthalten und nicht zur Kontrolle über eine Tanium-Umgebung verwendet werden können, könnte ein Benutzer mit böswilliger Absicht sie verwenden, um einen nicht genehmigten Client zu verbinden und diesen unbefugten Zugriff zu verwenden, um zu erfahren, wie Ihre Organisation Tanium verwendet.

Überprüfung und Verwaltung von Sensor-Quarantänen zur Fehlerbehebung von Sensoren

Die Durchsetzung von Sensorquarantänen verhindert, dass Sensoren für die aktuelle Frage oder Aktion auf einem Endpunkt ausgeführt werden, wenn diese Sensoren während einer vorherigen Frage oder Aktion die Laufzeitgrenze überschritten haben. Quarantänen sind hilfreich dabei, die Auswirkungen auf Endpunkt-Ressourcen wie CPU-Auslastung zu begrenzen, wenn Fragen und Aktionen übermäßig lang laufende Sensoren verwenden. Der nicht konfigurierbare Zeitablauf ist auf eine Minute eingestellt.

Standardmäßig werden Quarantänen nicht durchgesetzt: Nachdem ein Sensor den Zeitablauf überschreitet und seine Ausführung beendet wird, befindet sich der Sensor im Quarantäne-Status, wird aber für zukünftige Fragen oder Aktionen weiterhin ausgeführt, bis er abgeschlossen ist oder den Zeitablauf überschreitet. In diesem Fall verwendet der Tanium Client den Quarantäne-Status nur, um aufzuzeichnen, dass der Sensor den Zeitablauf überschritten hat.

Unabhängig davon, ob Sie die Durchsetzung aktivieren, stoppt der Tanium Client jeden Sensor in dem Moment, in dem er den Zeitablauf überschreitet. Jeder Client versetzt Sensoren in Quarantäne und erzwingt die Quarantäne unabhängig. Folglich könnte ein Sensor an einigen Endpunkten unter Quarantäne gestellt werden und an anderen nicht.

Wenn ein Tanium Client einen Sensor in Quarantäne versetzt, zeigt die Tanium Console die folgende Meldung im Raster Question Results (Fragenergebnisse) an: TSE-Error: Sensor evaluation timed out (TSE-Fehler: Zeitüberschreitung bei Sensorauswertung). Wenn Sie eine Frage ausgeben, die einen bereits in Quarantäne versetzten Sensor verwendet, und die Durchsetzung aktiviert ist, zeigt das Raster Question Results (Fragenergebnisse) Folgendes an: TSE-Error: The sensor is quarantined (TSE-Fehler: Der Sensor befindet sich in Quarantäne). Der Tanium Client fügt Einträge zu den Client-Protokollen und Sensor-Verlaufsprotokollen hinzu, wenn er einen Sensor in Quarantäne versetzt oder einen bereits in Quarantäne versetzten Sensor an der Ausführung hindert.

Wenn temporäre Sensoren den einminütigen Zeitablauf überschreiten, versetzt der Tanium Client den Original-Sensor sowie alle aktuellen und zukünftigen temporären Sensoren, die auf dem Original-Sensor basieren, in Quarantäne.

Wenn die Durchsetzung aktiviert ist, werden in Quarantäne versetzte Sensoren nicht ausgeführt, wenn sie für das Anvisieren von Endpunkten verwendet werden, selbst wenn die Sensoren in Computergruppen enthalten sind. Jedoch könnten in Quarantäne versetzte Sensoren den Zielbereich einer Frage verzerren, die eine ungenaue Auswahlbedingung enthält, wie z. B. from all machines with Is Windows not equals true (von allen Maschinen mit Ist Windows ist nicht Wahr). In diesem Fall würden Windows-Endpunkte, auf denen der Sensor Is Windows (Ist Windows) in Quarantäne versetzt wurde, die Bedingung not equals true (ist nicht wahr) erfüllen, weil ihre Antwort auf TSE-Error: The sensor is quarantined (TSE-Fehler: Der Sensor wurde in Quarantäne versetzt) statt auf true (wahr) lauten würde. Zur Vermeidung solcher Ergebnisse sollten Sie die Zielklausel so konkret wie möglich gestalten und keine negativen Vergleichsbedingungen wie not equals true (ist nicht wahr) verwenden.

Sensoren in Quarantäne anzeigen

Wenn der Tanium Client eine Frage nicht beantwortet, können Sie bestimmen, ob die zugehörigen Sensoren unter Quarantäne gestellt werden sollen. Eine Liste aller in Quarantäne befindlichen Sensoren auf allen Endpunkten finden Sie im Benutzerhandbuch zur Tanium Console: Sensorquarantänen verwalten. Führen Sie die folgenden Schritte aus, um alle in Quarantäne befindlichen Sensoren an einem bestimmten Endpunkt aufzulisten:

  1. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  2. Geben Sie den folgenden Befehl ein:

    • Windows: TaniumClient quarantine list
    • Nicht-Windows: ./TaniumClient quarantine list

    Die Ausgabe listet die unter Quarantäne gestellten Sensoren nach Name und zugehörigem Hash-Wert auf.

Alle Sensoren aus der Quarantäne entfernen

Manchmal kann es wichtiger sein, dass der Tanium Client Fragen beantworten kann, die unter Quarantäne gestellte Sensoren verwenden, als die Auswirkungen zu begrenzen, die lange Sensorlaufzeiten auf die Ressourcen eines Endpunkts haben. Beachten Sie: Selbst wenn Sie Sensoren aus der Quarantäne entfernen, wird der Tanium Client die Sensoren anhalten und erneut unter Quarantäne stellen, ohne die Frage zu beantworten, wenn sie den Zeitablauf erneut überschreiten. Informationen zum Entfernen von Sensoren aus der Quarantäne mithilfe der Tanium Console finden Sie im Benutzerhandbuch zur Tanium Console: Sensorquarantänen verwalten. Führen Sie die folgenden Schritte aus, um Sensoren über die CLI des Betriebssystems auf dem Endpunkt aus der Quarantäne zu entfernen:

  1. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  2. Geben Sie den folgenden Befehl ein:

    • Windows: TaniumClient quarantine clear
    • Nicht-Windows: ./TaniumClient quarantine clear

    Die Ausgabe zeigt die Anzahl der Sensoren an, die aus der Quarantäne entfernt wurden.

Einen einzelnen Sensor aus der Quarantäne entfernen

Informationen zum Entfernen eines Sensors aus der Quarantäne mithilfe der Tanium Console finden Sie im Benutzerhandbuch zur Tanium Console: Sensorquarantänen verwalten. Führen Sie die folgenden Schritte aus, um einen Sensor über die CLI des Betriebssystems auf dem Endpunkt aus der Quarantäne zu entfernen:

  1. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  2. Geben Sie den folgenden Befehl ein, um die Hash-Werte der unter Quarantäne befindlichen Sensoren anzuzeigen.

    • Windows: TaniumClient quarantine list
    • Nicht-Windows: ./TaniumClient quarantine list

  3. Geben Sie den folgenden Befehl ein, wobei <sensor_hash> dem Hash-Wert entspricht, der dem Sensor zugeordnet ist, den Sie aus der Quarantäne entfernen möchten:

    • Windows: TaniumClient quarantine remove <sensor_hash>
    • Nicht-Windows: ./TaniumClient quarantine remove <sensor_hash>

Wenn Sie einen Sensor ändern, werden Tanium Clients, die seine neue Definition erhalten, diesen Sensor automatisch aus der Quarantäne entfernen.

Einen Sensor zur Quarantäne hinzufügen

Sie können einen Sensor auf einem Endpunkt manuell in Quarantäne versetzen, wenn Sie erwarten, dass die Ausführung des Sensors den Endpunkt negativ beeinträchtigt.

Die Quarantäne eines Sensors ermöglicht nicht automatisch die Durchsetzung der Quarantäne.

  1. Geben Sie im URL-Feld des Browsers, den Sie für den Zugriff auf die Tanium Console verwenden, https://<TaaS instanceTanium Server>/hash/<sensor> ein. Geben Sie für die <TaaS-InstanzTanium Server>, die TaaS Tanium Server FQDN oder IP-Adresse ein. Die Variable <sensor> muss in Bezug auf Groß-/Kleinschreibung und Leerzeichen dem Sensornamen entsprechen, den die Tanium Console anzeigt.

    Der Browser zeigt den Hash-Wert an, der dem Sensor zugeordnet ist.

  2. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  3. Geben Sie den folgenden Befehl ein:

    • Windows: TaniumClient quarantine add <sensor_hash>
    • Nicht-Windows: ./TaniumClient quarantine add <sensor_hash>

Durchsetzung von in Quarantäne gestellten Sensoren aktivieren oder deaktivieren

Nachdem Sie die Quarantäne-Durchsetzung aktiviert haben, beantworten Tanium Clients keine Fragen, die Quarantäne-Sensoren verwenden, und diese Sensoren werden für Aktionen nicht ausgeführt. Nachdem Sie die Durchsetzung deaktiviert haben, sehen Clients die Sensoren immer noch als in Quarantäne an und protokollieren Quarantäne-Ereignisse, verhindern jedoch nicht, dass diese Sensoren ausgeführt werden.

Ihr Benutzerkonto muss über eine Rolle mit der Berechtigung Write Global Settings (Globale Einstellungen schreiben) verfügen, um die Quarantäne-Durchsetzung zu aktivieren oder zu deaktivieren. Benutzer mit der reservierten Administratorrolle verfügen über diese Berechtigung.

Wenn Sie die Durchsetzung zum ersten Mal aktivieren, müssen Sie die Einstellung EnableSensorQuarantine (SensorQuarantäneAktivieren) wie folgt zu den globalen Einstellungen auf dem Tanium Server hinzufügen. Standardmäßig ist die Durchsetzung deaktiviert und die Einstellung wird in der Tanium Console nicht angezeigt. Nachdem Sie die Einstellung hinzugefügt haben, wendet der Tanium Server sie auf alle Tanium Clients an.

  1. Zugang zur Tanium Console.
  2. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen) und klicken Sie auf New Setting (Neue Einstellung).
  3. Geben Sie die folgenden Werte ein, und klicken Sie auf Save (Speichern).
    • Setting Name (Name der Einstellung) = EnableSensorQuarantine (SensorQuarantäneAktivieren)
    • Setting Value (Wert der Einstellung) = 1
    • Affects (Betrifft) = Client
    • Value Type (Werttyp) = Numerisch

Führen Sie die folgenden Schritte durch, wenn Sie die Einstellung zur Durchsetzung ändern möchten, nachdem Sie diese zu den globalen Einstellungen hinzugefügt haben:

  1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
  2. Wählen Sie EnableSensorQuarantine (SensorQuarantäneAktivieren), klicken Sie auf Edit (Bearbeiten), stellen Sie den Wert auf 1 ein, um die Durchsetzung zu aktivieren, oder auf 0, um die Durchsetzung zu deaktivieren, und klicken Sie auf Save (Speichern).

Wenn Sie die Einstellung zur Durchsetzung in bestimmten Clients statt in allen Clients ändern möchten, fügen Sie die Einstellung EnableSensorQuarantine in der lokalen Konfiguration dieser Clients hinzu.

Fügen Sie die Einstellung EnableSensorQuarantine auf den Tanium Clients, für die Sie die Durchsetzung der Quarantäne aktivieren oder deaktivieren möchten, hinzu oder bearbeiten Sie sie.

Fehlerbehebung beim Client Management

Um Informationen zur Fehlerbehebung an Tanium zu senden, erfassen Sie Protokolle und andere relevante Informationen.

Protokolle erfassen

Die Informationen werden als ZIP-Datei gespeichert, die Sie mit Ihrem Browser herunterladen können.

  1. Klicken Sie auf der Homepage von Client Management auf [Help (Hilfe)] , dann auf die Registerkarte Troubleshooting (Fehlerbehebung).
  2. Klicken Sie auf Download Debug Package (Debug-Paket herunterladen).
    Eine tanium-client-management-support.zip-Datei wird in das lokale Download-Verzeichnis heruntergeladen.
  3. Hängen Sie die ZIP-Datei an Ihr Tanium-Support-Formular an oder wenden Sie sie sich an den Tanium-Support.

Tanium Client Management pflegt die Protokolldaten in der Datei client-management.log im \Program Files\Tanium\Tanium Module Server\services\\client-management-files-Verzeichnis.

Informationen zur Verteilung herunterladen

Sie können zwecks Verteilung eine JSON-Datei mit Verteilungseinstellungen und Angaben zum Endpunkt herunterladen.

  1. Klicken Sie im Menü Client Management auf Deployments (Verteilungen).

  2. Klicken Sie in der Spalte Name auf den Namen einer Verteilung.

  3. Um die JSON-Datei herunterzuladen, klicken Sie auf [Download (Herunterladen)]

Probleme bei der Verteilung beheben

Problem: Eine neue Verteilung wechselt sofort in den Status [Completed (Abgeschlossen)], ohne zu versuchen, eine Verteilung am Endpunkt durchzuführen.

Ursache: Der Modulserver hat Probleme beim Herunterladen der Client-Binärdateien.

Lösung: Überprüfen Sie das Tanium Downloader-Protokoll auf Download-Fehler. Wo Sie dieses Protokoll finden, erfahren Sie im Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Tanium Downloader-Protokolle.

Problem:Installationsstatus am Endpunkt = ERROR_CONNECTION_FAIL mit Protokollmeldung „no response (keine Antwort)“ 

Protokollmeldungen für die Verteilung enthalten die folgende Nachricht:

Ergebnis der Verteilung generiert: Alle n Verbindungsversuche führten zu keiner Antwort vom Ziel.

Ursache: Der Tanium-Modulserver kann nicht mit dem Endpunkt kommunizieren oder sich nicht beim Endpunkt authentifizieren.

Lösung: Überprüfen Sie Folgendes:

  • Überprüfen Sie den mit den Zugangsdaten bereitgestellten Benutzernamen. Zugangsdaten müssen aktiv und dürfen nicht deaktiviert sein. Überprüfen Sie, ob die Domäne korrekt hinzugefügt wurde, zum Beispiel: domain\\username für ein Domänenkonto oder username für ein lokales Endpunktkonto.
  • Überprüfen Sie das mit den Zugangsdaten bereitgestellte Passwort, um sicherzustellen, dass es nicht deaktiviert oder abgelaufen ist.
  • Überprüfen Sie sowohl die Firewalls des Zielendpunkts als auch die Firewalls des Netzwerkgeräts. Der Modulserver kann möglicherweise durch eine Firewall daran gehindert werden, eine Verbindung zum Zielendpunkt herzustellen. WMI-Port 135, SMB-Port 445 und SSH-Port 22 müssen offen sein.  Sie können die Ports wie folgt testen: 

  • Wenn der Endpunkt nicht mit einer Domäne verknüpft ist und Sie entweder ein nicht standardmäßiges Administratorkonto verwenden oder das lokale Standard-Administratorkonto mit aktivierter Richtlinie Admin Approval Mode für das integrierte Administratorkonto verwenden, verhindern die UAC-Remote-Einschränkungen den Zugriff auf administrative Freigaben und Remote-Installationen. Diese administrativen Aufgaben sind für die Verteilung des Tanium Clients unter Verwendung von Client Management erforderlich, und Sie müssen die UAC-Remote-Einschränkungen deaktivieren, um diese Verteilung zu ermöglichen. Um die UAC-Remote-Einschränkungen zu deaktivieren, fügen Sie der Windows Registry den folgenden Wert hinzu und starten Sie den Computer neu: 

    Unterschlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Datentyp: REG_DWORD
    Name des Wertes: LocalAccountTokenFilterPolicy
    Daten zum Wert: 1

    Administrative Freigaben sind in Home Editions von Windows-Betriebssystemen nicht verfügbar.

    Nachdem Sie den Tanium Client verteilt haben, entfernen Sie den Registrierungswert LocalAccountTokenFilterPolicy oder setzen Sie ihn auf 0, um die UAC-Remote-Einschränkungen zurückzusetzen. Diese Einschränkungen helfen dabei, nicht berechtigte Benutzer daran zu hindern, per Fernzugriff mit administrativen Rechten auf den Endpunkt zuzugreifen.

Problem:Installationsstatus am Endpunkt = ERROR_CONNECTION_FAIL mit Protokollmeldung SSH-Verbindung

Protokollmeldungen für die Verteilung enthalten die folgende Nachricht:

Befehl führte zu Fehler: Fehler: Verbindung zu 'SSH Client für '192.168.24.11' wurde nicht hergestellt

Ursache: Der Tanium-Modulserver kann bei dem Versuch, eine SSH-Verteilung durchzuführen, nicht mit dem Endpunkt kommunizieren oder sich nicht beim Endpunkt authentifizieren. 

Lösung: Überprüfen Sie Folgendes. 

  • Überprüfen Sie die Clientkonfiguration und Verteilungseinstellungen. Möglicherweise zielen Sie bei der Verteilung auf einen Windows-Endpunkt ab, während Sie SSH nur als Verbindungsmethode verwenden.
  • Überprüfen Sie, ob SSH auf dem angestrebten Linux-Endpunkt aktiviert und auf Port 22 konfiguriert ist.
  • Überprüfen Sie den mit den Zugangsdaten bereitgestellten Benutzernamen. Zugangsdaten müssen aktiv und dürfen nicht deaktiviert sein. Überprüfen Sie, ob die Domäne korrekt hinzugefügt wurde, zum Beispiel: domain\\username für ein Domänenkonto oder username für ein lokales Endpunktkonto.
  • Überprüfen Sie das mit den Zugangsdaten bereitgestellte Passwort, um sicherzustellen, dass es nicht deaktiviert oder abgelaufen ist.

Problem:Installationsstatus am Endpunkt = ERROR_ACQUIRE_LOGS_FAIL mit Protokollmeldung „necessary file missing (notwendige Datei fehlt)“ 

Protokollmeldungen für die Verteilung enthalten die folgende Nachricht:

Ergebnis der Verteilung generiert: Notwendige Dateienfehlen auf der Festplatte: C:\Program Files\Tanium\Tanium Module Server\services\client-management-files\deployment-runner-data\bc6bf6fd-0388-4f2d-9120-860cac75e8d4\tanium.pub

Ursache: Wenn Sie eine ältere Version des Tanium Client verteilen als 7.4, fehlt der öffentliche Schlüssel.

Lösung: Laden Sie die Datei tanium.pub hoch. Siehe (Nur Tanium 7.2.x, 7.3.x) Öffentlichen Schlüssel von Tanium hochladen.

Problem:Installationsstatus am Endpunkt = ERROR_ACQUIRE_LOGS_FAIL mit Protokollmeldung „cli_rpc_pipe_open_noauth“ 

Protokollmeldungen für die Verteilung enthalten die folgende Nachricht:

Fehler beim Erstellen/Starten des Bootstrap-Dienstes für die Installation auf dem Ziel: Fehler: cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe svcctl failed with error NT_STATUS_CONNECTION_DISCONNECTED Could not initialise pipe svcctl. Der Fehler war NT_STATUS_CONNECTION_DISCONNECTED

Ursache: Der Tanium Server konnte keine WMI- oder RPC-Kommunikation mit einem Endpunkt aufbauen.

Lösung: Überprüfen Sie, ob die Firewall WMI-, RPC- und SMB-Datenverkehr zwischen Tanium Servern und Endpunkten zulässt. Weitere Informationen finden Sie unter Netzwerkverbindung, Ports und Firewalls.

Firewalls mit anwendungsbasierter Steuerung erlauben diesen Datenverkehr für Tanium standardmäßig möglicherweise nicht.

Problem:Installationsstatus am Endpunkt = ERROR_ACQUIRE_LOGS_FAIL mit Protokollmeldung „mkdir' command exited“

Protokollmeldungen für die Verteilung enthalten die folgende Nachricht:

SMB 'mkdir' Befehl mit Exit-Code 1 beendet.

Ursache: Ein Tanium Client wurde möglicherweise zuvor auf dem Endpunkt installiert und nicht vollständig entfernt.

Lösung: Überprüfen Sie, ob Sie nicht versuchen, eine Verteilung auf einem Endpunkt auszuführen, auf dem bereits der Tanium Client installiert ist. Auf dem Endpunkt könnte bereits ein Tanium Client installiert sein, der nicht vollständig entfernt wurde oder der auf einen anderen Tanium Server verweist.

Client Management deinstallieren

Wenn Client Management deinstalliert wird, wird auch die Endpunktkonfiguration deinstalliert. Dies wirkt sich auf alle Tanium-Lösungen aus. Kontaktieren Sie den Tanium-Support, bevor Sie Client Management deinstallieren.

  1. Gehen Sie im Hauptmenü zu Administration (Administration) > Configuration (Konfiguration) > Solutions (Lösungen).
  2. Wählen Sie im Abschnitt Content (Inhalt) die Zeile Client Management aus.
  3. Klicken Sie auf [Delete Selected (Auswahl löschen)] . Klicken Sie auf Uninstall (Deinstallieren), um den Prozess abzuschließen.

Wenden Sie sich an den Tanium-Support

Der Tanium-Support ist Ihr erster Ansprechpartner, wenn Sie Hilfe bei der Fehlerbehebung bei der ersten Verteilung und zur Optimierung der Geschwindigkeit und Skalierung Ihrer Verteilung benötigen, wenn die Anzahl der verwalteten Endpunkte wächst. Bei Bedarf kann der Tanium-Support dabei helfen, die Einstellungen für den Tanium Client anzupassen, einschließlich:

  • Tanium Client Registrierungshäufigkeit
  • Verbindungen zwischen Tanium Clients und TaaSTanium Core Platform Servern
  • Client-zu-Client-Verbindungen
  • Bandbreite
  • Zwischenspeichern von Dateien

Wenn Sie weitere Unterstützung vom Tanium-Support benötigen, geben Sie Informationen zur Version des Tanium Client und, falls zutreffend, Tanium Client Management für Tanium Core Platform-Komponenten und, falls zutreffend, Tanium Client Management. Geben Sie auch spezifische Details zu Abhängigkeiten an, wie z. B. die Hardware des Hostsystems und OS-Details. Geben Sie abschließend an, ob Ihre Installation ein nicht standardmäßiges Installationsverzeichnis für den Tanium Client verwendet.

Um den Tanium Support um Hilfe zu bitten, melden Sie sich bei https://support.tanium.com an.