事情是这样的,公司购买了深信服的EDR设备上个月我们做了策略必须安装edr客户端才能上网,不安装的话就把流量重定向到edr的安装界面,最开始还是好好的设备的内存才占用了百分之四十左右,随着受管控终端设备的增加,内存也跟着一路狂飙。上周到了惊人的七十多超过了设备默认设置的阈值;
由于设置的是持续30分钟内存超过百分之七十就告警,在周末我的邮箱收到了一天的邮件,心想周末人都不在公司,受控终端设备都不在线应该内存不会占用那么高的,然后我就联系了供应商,后面供应商找到了厂家人员来处理这个问题,首先看了下登陆了看来设备的设置是否有问题,还查看了设备的系统版本;后面没有发现问题后就直接在设备开启了ssh在底层开始找原因,端口默认的是22345;用ssh工具连接上后我发现设备的底层也是linux修改而来的系统,这个对于我来说还是比较熟悉的。我看着厂家人员操作top 命令,动态查看进程变化,监控linux的系统状况;
top命令
这个登陆进去的话还是admin账号,这个只是一个普通管理员的权限,还不能做全部的操作;如果需要最高管理员的话还需要进行提权:sudo -i ;这时你就能发现admin@localhost变成了root@localhost了,然后厂家人员用了一条命令:mv /sf/edr/manager/lib/libforward_xdr.so /sf/edr/manager/ 后面再重启下服务:/sf/edr/manager/bin/eps_services restart 最后在web端刷新下等服务起来神奇的是内存直接降到了百分之二十以下。至此问题已经解决,我还是不能理解的问了下厂家人员原因,说这个是设备的Bug问题,在后面的版本已经解决由于可以直接修改路径我就没有升级版本了。
sudo提权后
官方说法
系统版本问题
网友评论