Utilice la información de este tema para depurar problemas asociados con la implementación del servicio de prevención de malware distribuido de NSX, el estado de mantenimiento de las instancias de servicio, las agencias de ESXi y otros problemas.

Comprobar el estado de mantenimiento de ESX Agent Manager

Para comprobar si el estado de mantenimiento de vSphere ESX Agent Manager (EAM) es normal, siga estos pasos:
  1. En vSphere Client, desplácese hasta Administración > Extensiones de vCenter Server. Haga clic en vSphere ESX Agent Manager.
  2. Haga clic en la pestaña Configurar.

    Esta página muestra el estado de mantenimiento de las agencias de ESX en los hosts para la solución de Prevención de malware de NSX y los problemas (si los hubiera) detectados para las agencias.

El servicio ESXi Agency Manager (EAM) debe estar activo y en ejecución. Compruebe si se puede acceder a la siguiente URL.

https://dirección_IP_vCenter_Server/eam/mob

Sustituya dirección_IP_vCenter_Server con la dirección IP de VMware vCenter en su red.

Comprobar la conectividad de los grupos de puertos, las interfaces y el multiplexor de contexto

Siga estos pasos en vSphere Client:
  • Seleccione el nombre de la máquina virtual de servicio y, a continuación, haga clic en la pestaña Redes. Compruebe que aparezca el grupo de puertos vmservice-vhsield-pg.
  • Haga clic con el botón secundario en el nombre de la máquina virtual de servicio y, a continuación, haga clic en Editar configuración. En la página Hardware virtual, compruebe que el adaptador de red 1 y el adaptador de red 2 estén conectados. El adaptador de red 1 conecta la SVM a la red de administración y el adaptador de red 2 conecta la SVM al grupo de puertos vmservice-vshield-pg, que NSX creó automáticamente durante la implementación del servicio. El adaptador de red 2 es la interfaz de control de la SVM que se utiliza para la comunicación entre el multiplexor de contexto (MUX) y la SVM. Para la SVM de Prevención de malware de NSX, la IP de la interfaz de control es 169.254.1.22.

El servicio de multiplexor de contexto debe estar en ejecución en cada host de ESXi. Para comprobar si el servicio nsx-context-mux se está ejecutando en el host, inicie sesión en la CLI de cada host ESXi como usuario root y ejecute el siguiente comando de la CLI:

# /etc/init.d/nsx-context-mux  status

Si el servicio no se está ejecutando, inicie o reinicie el servicio con el siguiente comando de la CLI:

/etc/init.d/nsx-context-mux start

O bien

/etc/init.d/nsx-context-mux restart
Nota: Es seguro reiniciar este servicio durante las horas de producción, ya que el reinicio del servicio no tiene un impacto significativo. El servicio se reinicia en un par de segundos.

Solucionar problemas de ESX Agent Manager

ESX Agent Manager notifica a NSX Manager los detalles del error cuando detecta problemas en las agencias de ESX. Puede hacer clic en Resolver en la interfaz de usuario de NSX Manager para resolver los problemas. La siguiente tabla describe los problemas de ESX Agent Manager.

Problema Categoría Descripción Resolución

No se puede acceder al OVF de agente

Máquina virtual no implementada

Se espera implementar una máquina virtual de agente en un host, pero no es posible hacerlo porque ESXi Agency Manager no puede acceder al paquete OVF del agente. Puede suceder porque el servidor web que proporciona el paquete OVF está inactivo. El servidor web a menudo está integrado en la solución que creó Agency Manager.

El servicio ESXi Agency Manager (EAM) reintenta la operación de descarga de OVF. Haga clic en Resolver.

Versión de host no compatible

Máquina virtual no implementada

Se espera que se implemente una máquina virtual de agente en un host. Sin embargo, debido a problemas de compatibilidad, el agente no se implementó en el host.

Actualice el host o la solución para que el agente sea compatible con el host. Compruebe la compatibilidad de la SVM. Haga clic en Resolver.

Recursos insuficientes

Máquina virtual no implementada

Se espera que se implemente una máquina virtual de agente en un host. Sin embargo, el servicio ESXi Agency Manager (EAM) no implementó la máquina virtual del agente debido a que el host tiene menos recursos de CPU o de memoria.

El servicio ESXi Agency Manager (EAM) intenta volver a implementar la máquina virtual. Asegúrese de que los recursos de CPU y memoria estén disponibles. Compruebe el host y libere recursos. Haga clic en Resolver.

Espacio insuficiente

Máquina virtual no implementada

Se espera que se implemente una máquina virtual de agente en un host. Sin embargo, la máquina virtual del agente no se implementó porque el almacén de datos del agente en el host no tenía suficiente espacio libre.

El servicio ESXi Agency Manager (EAM) intenta volver a implementar la máquina virtual. Libere espacio en el almacén de datos. Haga clic en Resolver.

Red de la máquina virtual de agente faltante

Máquina virtual no implementada

Se espera implementar una máquina virtual de agente en un host, pero no es posible hacerlo porque no se configuró la red de agente en el host.

Agregue una de las redes especificadas en una red de máquina virtual de agente personalizada al host. El problema se resuelve automáticamente una vez que el almacén de datos esté disponible.

Formato no válido de OVF

Máquina virtual no implementada

Se espera aprovisionar una máquina virtual de agente en un host, pero no es posible hacerlo porque ocurre un error en el aprovisionamiento del paquete OVF. Es probable que el aprovisionamiento no funcione hasta que la solución que proporciona el paquete OVF se haya actualizado o revisado a fin de proporcionar un paquete OVF válido para la máquina virtual de agente.

El servicio ESXi Agency Manager (EAM) intenta volver a implementar la SVM. Asegúrese de que se utilice un paquete de OVF válido para la implementación del servicio. Haga clic en Resolver.

Grupo de IP de agente faltante

Máquina virtual desconectada

Se espera que haya una máquina virtual de agente encendida, pero está apagada porque no hay direcciones IP definidas en la red de la máquina virtual del agente.

Defina la dirección IP en la red de la máquina virtual. Haga clic en Resolver.

Almacén de datos de la máquina virtual de agente faltante

Máquina virtual desconectada

Se espera implementar una máquina virtual de agente en un host, pero no es posible hacerlo porque no se configuró el almacén de datos del agente en el host.

Agregue uno de los almacenes de datos especificados en un almacén de datos de máquina virtual de agente personalizado al host. El problema se resuelve automáticamente una vez que el almacén de datos esté disponible.

Red de la máquina virtual de agente personalizado faltante

Red de la máquina virtual de agente faltante

Se espera implementar una máquina virtual de agente en un host, pero no es posible hacerlo porque no se configuró la red de agente en el host.

Agregue el host a una de las redes especificadas en una red de máquina virtual de agente personalizada. El problema se resuelve automáticamente cuando haya una red de máquina virtual personalizada disponible.

Almacén de datos de la máquina virtual de agente personalizado faltante

Almacén de datos de la máquina virtual de agente faltante

Se espera implementar una máquina virtual de agente en un host, pero no es posible hacerlo porque no se configuró el almacén de datos del agente en el host.

Agregue el host a uno de los almacenes de datos especificados en un almacén de datos de máquina virtual de agente personalizado. El problema se resuelve automáticamente.

Conmutador DvFilter huérfano

Problema de host

Existe un conmutador dvFilter en un host, pero ningún agente del host depende de dvFilter. Esto sucede si se desconecta un host cuando se modifica la configuración de una agencia.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta conectar el host antes de que se actualice la configuración de la agencia.

Máquina virtual de agente desconocida

Problema de host

Se encontró una máquina virtual de agente en el inventario de vCenter Server que no corresponde a ninguna agencia en esta instancia del servidor vSphere ESX Agent Manager.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta colocar la máquina virtual en el inventario al que pertenece.

Propiedad de OVF no válida

Problema de máquina virtual

Una máquina virtual de agente debe estar encendida, pero una propiedad de OVF está ausente o tiene un valor no válido.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta reconfigurar la propiedad de OVF correcta.

Máquina virtual dañada

Problema de máquina virtual

Una máquina virtual de agente está dañada.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta reparar la máquina virtual.

Máquina virtual huérfana

Problema de máquina virtual

Existe una máquina virtual del agente en un host, pero el host ya no forma parte del ámbito de la agencia. Esto sucede si se desconecta un host cuando se modifica la configuración de la agencia.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta volver a conectar el host a la configuración de la agencia.

Máquina virtual implementada

Problema de máquina virtual

Se espera quitar una máquina virtual de agente de un host, pero esta no se eliminó. El motivo específico por el que vSphere ESX Agent Manager no pudo eliminar la máquina virtual de agente: por ejemplo, porque el host está en modo de mantenimiento, apagado o en modo de espera.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta eliminar la máquina virtual del agente del host.

Máquina virtual desconectada

Problema de máquina virtual

Se espera que una máquina virtual de agente esté encendida, pero está apagada.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta encender la máquina virtual.

Máquina virtual encendida

Problema de máquina virtual

Se espera que una máquina virtual de agente esté apagada, pero está encendida.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta apagar la máquina virtual.

Máquina virtual suspendida

Problema de máquina virtual

Se espera que una máquina virtual de agente esté encendida, pero está suspendida.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta encender la máquina virtual.

Carpeta incorrecta de máquina virtual

Problema de máquina virtual

Se espera que una máquina virtual de agente esté en una carpeta designada para ella, pero se encuentra en otra carpeta.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta colocar la máquina virtual del agente en la carpeta designada.

Grupo de recursos incorrecto de máquina virtual

Problema de máquina virtual

Se espera que una máquina virtual de agente esté ubicada en un grupo de recursos designado para ella, pero se encuentra en otro grupo de recursos.

Haga clic en Resolver. El servicio ESXi Agency Manager (EAM) intenta colocar la máquina virtual del agente en un grupo de recursos designado.

Máquina virtual no implementada

Problema de agente

Se espera que una máquina virtual de agente esté implementada en un host, pero no se implementó. El motivo específico por el que ESXi Agent Manager no pudo implementar el agente: por ejemplo, porque no se puede acceder al paquete OVF para el agente o porque falta una configuración del host. Este problema también ocurre si la máquina virtual de agente se elimina explícitamente del host.

Haga clic en Resolver para implementar la máquina agente virtual.

Solucionar problema con NSX Manager

Problema
No se pueden asignar direcciones IP estáticas del grupo de direcciones IP.
Descripción
Se agotan las direcciones IP del grupo o no quedan más direcciones IP por asignar.
Resolución
Solucione el problema de grupo de direcciones IP y, a continuación, haga clic en Resolver para solucionar el problema.

Comprobar el estado de mantenimiento de las instancias de servicio

NSX Manager recibe los detalles del estado de mantenimiento de cada instancia de servicio. La última marca de tiempo en la que se recibe el estado de mantenimiento se muestra en la interfaz de usuario de NSX Manager. Es posible que tenga que actualizar la página Instancias de servicio varias veces para recuperar el estado de mantenimiento más reciente.

El estado de una instancia de servicio en un host ESXi depende de los siguientes factores:
Estado de la solución
Estado de la solución de prevención de malware distribuido de NSX que se ejecuta en una SVM. El estado activo indica que la solución del partner se está ejecutando correctamente.
Conectividad entre NSX Guest Introspection Agent y el motor de contexto
El estado es activo cuando NSX Guest Introspection Agent (multiplexor de contexto) está conectado con NSX Ops Agent, que incluye el motor de contexto. El multiplexor de contexto reenvía la información del estado de las SVM al motor de contexto. MUX y NSX Ops Agent también comparten la configuración de máquina virtual-SVM para saber qué máquinas virtuales de carga de trabajo están protegidas por la SVM.
Versión de protocolo de máquina virtual del servicio
La versión del protocolo de transporte que se utiliza internamente para resolver problemas.
Información del agente de NSX Guest Introspection
Representa la compatibilidad de versiones del protocolo entre NSX Guest Introspection Agent y la SVM.
Para ver el estado de mantenimiento de las instancias de servicio, siga estos pasos en NSX Manager:
  1. Desplácese a Sistema > Implementaciones de servicio > Instancias de servicio.
  2. En la columna Estado de mantenimiento, haga clic en el icono junto a Activo o Inactivo.

Ver alarmas en NSX Manager

Las alarmas se muestran en la página Alarmas de la interfaz de usuario de NSX Manager para las siguientes situaciones:
  • La conectividad entre el multiplexor de contexto de NSX y la SVM de Prevención de malware de NSX está inactiva.
  • El multiplexor de contexto de NSX está inactivo o se reinicia.

También puede ver las alarmas en la página Instancias de servicio en Sistema > Implementaciones de servicio > Instancias de servicio.

Para ver alarmas sobre el estado de la función Prevención de malware de NSX, siga estos pasos:

  1. En NSX Manager, vaya a la página Definiciones de alarmas haciendo clic en Inicio > Alarmas > Definiciones de alarmas.
  2. Haga clic en el área de texto Filtrar por nombre, ruta y más y haga clic en Función.
  3. Seleccione la casilla de verificación Estado de prevención de malware.

Para obtener documentación sobre los eventos de estado de Prevención de malware de NSX, consulte el Catálogo de eventos de NSX.

Ver problemas de componentes en el panel de control Información general de seguridad

El widget Prevención de malware del panel de control Información general de seguridad muestra problemas cuando alguno de los componentes del servicio NSX Distributed Malware Prevention está inactivo o no funciona. Para ver este widget en la interfaz de usuario de NSX Manager, desplácese hasta Seguridad > Información general de seguridad > Configuración.

Por ejemplo:
  • El gráfico de barras muestra un problema cuando el hub de seguridad de la máquina virtual de servicio (SVM) de Prevención de malware de NSX está inactivo. Coloque el puntero sobre la barra para ver los siguientes detalles:
    • Número de SVM de Prevención de malware de NSX que se ven afectadas.
    • Número de máquinas virtuales de carga de trabajo en el host que han perdido la protección de seguridad contra malware debido a que el hub de seguridad se está desactivando.
  • El gráfico de anillos muestra los siguientes detalles:
    • Número de máquinas virtuales de carga de trabajo en las que se ejecuta el controlador de introspección de archivos de NSX.
    • Número de máquinas virtuales de carga de trabajo en las que no se ejecuta el controlador de introspección de archivos de NSX.

    Para ambas métricas, solo se tienen en cuenta las máquinas virtuales de carga de trabajo en los clústeres de hosts que están activados para NSX Distributed Malware Prevention.

Asigne un nombre a los pares de claves que facilite su identificación

El acceso SSH al usuario admin de la SVM está basado en claves (par de claves pública-privada). Se necesita una clave pública cuando se implementa el servicio en un clúster de hosts ESXi, y se necesita una clave privada cuando se desea iniciar una sesión SSH en la SVM.

La implementación del servicio de NSX Distributed Malware Prevention se realiza en el nivel de un clúster de hosts. Por lo tanto, un par de claves está vinculado a un clúster de hosts. Puede crear un nuevo par de claves pública-privada para una implementación de servicio en cada clúster, o bien utilizar un solo par de claves para las implementaciones de servicio en todos los clústeres.

Si tiene pensado utilizar un par de claves pública-privada diferente para la implementación de servicios en cada clúster, asegúrese de que los pares de claves tengan un nombre que facilite su identificación.

Una práctica recomendada es identificar cada implementación de servicio con un "identificador de clúster de proceso" y especificar el identificador de clúster en el nombre del par de claves. Por ejemplo, supongamos que el identificador de clúster es "1234-abcd". Para este clúster, puede especificar un nombre para la implementación del servicio como "MPS-1234-abcd" y nombrar el par de claves para acceder a esta implementación de servicio como "id_rsa_1234_abcd.pem". Esta práctica facilita el mantenimiento y la asociación de claves para cada implementación de servicio.

Importante: Almacene la clave privada de forma segura. La pérdida de la clave privada puede provocar una pérdida de acceso con SSH a la SVM de Prevención de malware de NSX.

Si se pierde la clave privada, la SVM seguirá funcionando sin problemas, pero no podrá iniciar sesión en la SVM ni descargar el archivo de registro para solucionar problemas.

Recopilar paquetes de soporte

Para obtener una solución de problemas detallada de los siguientes componentes que contribuyen al servicio de NSX Distributed Malware Prevention, puede recopilar paquetes de soporte para su análisis o enviarlos al soporte de VMware:
  • Dispositivos NSX Manager
  • ESXi hosts
  • VMware Tools en máquinas virtuales de carga de trabajo
  • SVM de Prevención de malware de NSX

Para recopilar un paquete de soporte que contenga archivos de registro para los hosts de ESXi y los dispositivos de NSX Manager, utilice la función de paquete de soporte en NSX. Para obtener instrucciones sobre cómo recopilar un paquete de soporte en NSX, consulte Recopilar paquetes de soporte.

Para recopilar un paquete de soporte que contenga archivos de registro para los componentes y servicios que se ejecutan en VMware vCenter, consulte el documento Configuración de vCenter Server. Por ejemplo, puede recopilar archivos de registro para VMware Tools con el paquete de soporte de VMware vCenter.

(En NSX 4.1.2 o versiones posteriores): para recopilar paquetes de soporte para SVM de Prevención de malware de NSX que se ejecutan en clústeres de hosts de vSphere que están activados para el servicio NSX Distributed Malware Prevention, puede ejecutar comandos de CLI en las SVM. Para obtener más información, consulte Recopilar paquetes de soporte para una máquina virtual de servicio de Prevención de malware de NSX.

(En NSX 4.1.1 o versiones anteriores): los comandos de CLI de NSX no son compatibles con la SVM de Prevención de malware de NSX. Sin embargo, puede iniciar sesión en cada SVM de Prevención de malware de NSX mediante una conexión SSH y copiar el archivo syslog desde el directorio /var/log de la SVM. Por ejemplo, puede utilizar el comando sftp o scp para recopilar el archivo syslog de la SVM en un momento determinado. Si hay varios archivos de Syslog disponibles en esta ubicación, se comprimirán y se almacenarán en la misma ruta.