O processo de Mue_InUse torna-se inrespondendo nos sistemas Linux/macOS/MLOS, consumindo 100% da CPU
Artigos técnicos ID:
KB95203
Última modificação: 01/07/2022
Ambiente
Advanced Threat Defense (ATD) 4.x
Data Exchange Layer (do DXL) 6.x , 5.x
McAfee Agent (MA) 5.x
Endpoint Security for Linux Prevenção contra ameaças (ENSLTP) 10.7.x , 10.6.x
Endpoint Security para Mac (ENSM) Prevenção contra ameaças 10.7.x , 10.6.x
Servidor 3.x Threat Intelligence Exchange (Tie), 2.x
Sistemas operacionais
AMCore de sistemas Linux/MacOS/MLOS compatíveis com o Content versão 4683
Problema
1
Você observa o seguinte no seu sistema de Linux:
- O processo deixa de Mue_InUse responder.
- O processo, eventualmente, consome 100% da CPU.
Os erros a seguir são exibidos no McScript.log arquivo ( /Var/McAfee/agent/logs/ ):
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
Você vê o Mue_InUse processo em um estado de não resposta. Você precisa finalizar o processo para restaurar sua função. A CPU está se aproximando de 100%:
Problema
2
O conteúdo MEDDAT atualização falha em seu sistema macOS:
Os erros a seguir são exibidos no McScript.log arquivo ( /var/McAfee/agent/logs/ ):
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
[Log] [E] [Main thread]->
[SessMgr] [E] [SessionManager::runScript:/var/McAfee/agent/update/UpdateMain.McS]->
[ScrptExe] [E] [Executing section ScriptMain]->
[ScrptExe] [E] [CallIf]->
[ScrptExe] [E] [Executing section StartUpdateProcess]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section DetectInstalledProductsAndUpdate]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section GetDetectionScripts]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section FindAndExecuteDetectionScripts]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughProductIDList]->
[ScrptExe] [E] [LoopIf]->
[ScrptExe] [E] [Executing section EnumerateThroughFile]->
[ScrptExe] [E] [Call]->
[ScrptExe] [E] [Executing section ExecuteDetectionScript]->
[ScrptExe] [E] [Line 626: RunScript dwRet = /var/McAfee/agent/update/Current/AMCORDAT2000/AMCore.mcs, ScriptMain]->
[CmdPrsr] [E] Parse error line 350 column 36: Unexpected empty value
[CmdPrsr] [E] Error trace:
Problema
3
Enquanto o sistema está registrando o Parse error line 350 column 36: Unexpected empty value erro, ele também pode causar McScript.log o consumo de mais espaço em disco do que o configurado na política de McAfee Agent. O processo não executa o log rotate comando e consome espaço em disco até que o sistema seja reinicializado ou quando o Mue_InUse processo é encerrado.
Causa
Os sintomas se originam das alterações de produção feitas no AMCore pacote de conteúdo, onde o script de Extra.DAT distribuição ( extradat.mcs ) foi atualizado para incluir suporte à plataforma não Windows.
Apesar de os sistemas Linux e macOS não usarem AMCore conteúdo, a maneira como as atualizações foram distribuídas significava que o McAfee Agent executaria o conteúdo atualização script para AMCORDAT2000 nessas plataformas. Uma diferença no comportamento entre plataformas Windows e não Windows ao analisar o script levou a um erro apenas para sistemas que não são de Windows. O comportamento do mecanismo de script nesse cenário é repetir a execução da script. Esse comportamento criava uma lógica loop causando o sintoma de alta CPU do Mue_InUse processo.
Solução
Esse problema foi resolvido na versão 4684 do AMCore conteúdo.
IMPORTANTE:
- A versão do conteúdo 4684 não encerra nenhuma Mue_InUse seção que ainda possa estar em execução.
- A versão do conteúdo 4684 interrompe os erros exibidos neste artigo em qualquer tarefa criada que tenha AMCore conteúdo selecionado em uma tarefa de atualização.
Nota: Por design, o Mue_InUse processo tem o sigkill comando codificado e é encerrado após seis horas. Portanto, você pode optar por aguardar até que o processo de Mue_InUse seja encerrado.
Configure a tarefa de atualização para instalar somente o componente e, se usado, Endpoint Security prevenção de MEDDATexploração Linux conteúdo.
Ações no console do ePO:
- Entre no console do ePO.
- Selecione o grupo correspondente em que o sistema está se reportando.
- Clique em tarefas de cliente atribuídase edite as tarefas de atualização de produto .
- Desmarque a AMCORE opção para sistemas com sistemas operacionais Linux/MacOS/MLOS no grupo.
- Salve a tarefa.
- Para aplicar as alterações, envie a chamada de ativação para todos os sistemas.
IMPORTANTE: Desativar todas as tarefas de atualização de conteúdo que estão ativadas no console do ePO. Mantenha essas tarefas desativadas até que o conteúdo tenha sido atualizado ( AMCore versão 4684 ), e o problema de Mue_InUse processo foi atenuado.
Solução alternativa
1
Finalizar o Mue_Inuse processo no cliente.
Ações sobre o problema Linux/sistema macOS/MLOS:
- Conecte-se ao sistema com problema usando o SSH com o usuário raiz.
- Para determinar os processos em execução no sistema, execute o top comando:
-bash-4.1# top
Saída
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3559 root 20 0 538m 411m 9240 R 85.6 5.2 1 17:08.57 Mue_InUse
- Execute o comando a seguir para finalizar o processo existente Mue_Inuse no estado não responsivo:
sudo pkill -f Mue_InUse
importante: se o pkill comando falhar ao finalizar o processo, digite o seguinte:
kill -9 <PID number of Mue_Inuse>
Como kill -9 3559
- Se você tiver várias instâncias dos Mue_InUse processos, digite o seguinte:
killall -9 Mue_InUse
Observação: o comando acima fecha todos os Mue_InUse processos em uma ação.
Solução script opcional:
Um .sh script está anexado a este artigo para uso manual com um usuário raiz.
- Faça o download do arquivo killMue.zip na seção anexo deste artigo.
- Extraia o conteúdo para uma pasta.
- Copie o killMue.sh para o sistema com problema.
- Conecte-se ao sistema por meio de SSH.
- Navegue até a pasta em que você copiou o .sh arquivo.
Exemplo: Arquivo copiado para /tmp/
- Digite o comando:
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Saída:
total 41744
-rwxr-xr-x. 1 root root 90 Jan 19 17:29 killMue.sh
- Para executar o .sh arquivo, primeiro atribua a permissão ao arquivo antes de executá-lo. Se você não atribuir a permissão, a seguinte mensagem será exibida:
[root@SGPRGC109002 ~]# cd /tmp/
[root@SGPRGC109002 tmp]# ./killMue.sh
-bash: ./killMue.sh: Permission denied
Observação: por padrão, o arquivo não tem permissões de execução.
[root@SGPRGC109002 tmp]# ls -ll /tmp/
Saída:
total 41744
-rw-r--r--. 1 root root 90 Jan 19 17:29 killMue.sh
- Atribua as permissões de execução:
[root@SGPRGC109002 tmp]# chmod +x /tmp/killMue.sh
[root@SGPRGC109002 tmp]# ./killMue.sh
[root@SGPRGC109002 tmp]#
- Para automatizar esse procedimento, use uma ferramenta de terceiros .
Solução alternativa
2
Se for encontrada uma única instância do Mue_InUse processo, siga as etapas abaixo:
- Desativar todas as tarefas de atualização de conteúdo que estão ativadas no console do ePO.
- Atualize para o novo conteúdo no repositório principal do ePO: v2 DAT [10232], MEDDAT [4855] e v3 DAT [ 4684.0 ].
- Ativar todas as tarefas de atualização de conteúdo Linux.
- Envie por push as tarefas de atualização do produto para atualização novo conteúdo a todos os sistemas clientes.
Nota: Por design, o Mue_InUse processo tem o sigkill comando codificado e é encerrado após seis horas. Portanto, você pode aguardar até que o Mue_InUse processo seja encerrado.
Solução alternativa
3
Se você tiver vários sistemas Linux afetados, a RemoteKillMue ferramenta poderá permitir que você elimine remotamente o Mue_InUse processo remotamente de um sistema Windows. Faça o download do RemoteKillMue.zip arquivo na seção anexo deste artigo. Siga as instruções contidas na guia incluído Readme.txt .
Nota: A ferramenta requer que todos os sistemas remotos tenham o SSH ativado, que o logon raiz para o SSH seja permitido e que todos compartilhem uma senha raiz.
Solução alternativa
4
Para determinar se McScript.log os arquivos e os backups associados estão consumindo o espaço depois que o Mue_InUse processo foi encerrado, execute o comando a seguir. O comando listo McAfee Agent arquivos de log e seus respectivos tamanhos:
ls -lh /var/McAfee/Agent/logs
Se os arquivos forem maiores do que o que foi definido na política de McAfee Agent, você poderá remover os arquivos e reiniciar o serviço de McAfee Agent ou reiniciar o sistema.
Exemplo de comando para remover a arquivo real McScript.log :
Observação: você deve ter acesso à raiz para executar essas ações. Em sistemas MLOS (TIE ou do DXL), a conta de serviço pode não ser capaz de excluir os arquivos.
Por Linux:
sudo rm -rf /var/McAfee/agent/logs/McScript.log
Por MLOS:
[mcafee@mcafee~]#su
Senha:
bash- 4.1 # rm -rf /var/McAfee/agent/logs/McScript.log
Observação: Insira a senha raiz quando solicitado.
Consulte os artigos a seguir para obter McAfee Agent comandos de serviço:
Solução alternativa
5
Advanced Threat Defense
O privilégio de raiz é restrito em ATD. Portanto, para solucionar os sintomas no ATD, você tem duas opções:
- Aplique um pacote instalável.
- Abra uma solicitação de serviço e solicite uma seção remota.
IMPORTANTE: Certifique-se de atualização tarefa de atualização de produto no ePO por meio da seção solução, depois de concluir qualquer uma das opções acima.
Aplicação de um pacote instalável:
Localize um pacote na seção anexo deste artigo, que finaliza o processo de rotação Mue_InUse e exclua os registros.
- Faça download do atdpatch_MueInuse.zip e extraia o arquivo atdpatch_MueInuse.msu.
- Fazer upload atdpatch_MueInuse.msu (em formato . msu ) para ATD usando a atdadmin conta.
- Entre na interface de linha de comando usando cliadmin a conta do e execute o comando:
install msu atdpatch_MueInuse.msu
- Na execução, você poderá ver alguns erros semelhantes aos descritos abaixo.
Error: job pid is not running: 2761
Error: Software Installation failed
Você pode ignorar os erros com segurança. O arquivo atdpatch_MueInuse.msu tem um formato especial. Diferentemente de pacotes de atualização regulares, em que a interface de linha de comando monitora somente o andamento da instalação do pacote de upgrade regular:
NOTA:Ele termina em 30 segundos.
- Vá para gerenciar, logs, sistema na interface do ATD.
- Confirme se as entradas de registros abaixo estão presentes. Esses registros informam que o pacote foi aplicado com êxito.
Thu Jan 27 14:06:49 IST 2022::Installing software...
Thu Jan 27 14:06:49 IST 2022::Completed software installation, please reboot the system
- Reinicie manualmente o ATD a partir da interface de linha de comando usando o comando de reinicialização .
O ATD é executado normalmente após a reinicialização. Monitore o uso da CPU e o andamento do trabalho de varredura na GUI do ATD.
Abertura de uma solicitação de serviço e solicitação de uma seção remota
Um engenheiro de Suporte técnico pode assumir o controle de uma seção remota e encerrar o processo de Mue_InUse transgressor, ou excluir os arquivos de registro enormes.
Se você tiver um uso alto da CPU ou um alto uso de espaço em disco, abra uma solicitação de serviço. Inclua este número de artigo e solicite uma seção remota.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos. Sua senha e suas instruções são enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
