Linux カーネルのバージョンに応じて、Carbon Black Cloud Linux センサーは 2 つのメカニズムのいずれかを使用してイベントを監視します。
- 4.8 未満のカーネル バージョン(CentOS、RHEL 6.x または 7.x、SLE12SP3、Ubuntu16 など)では、カーネル モジュールが使用されます。
- 4.8 以降のカーネル バージョンでは、BPF 機能が使用されます。
また、Linux カーネルのバージョンによっては、異なるバージョンのセンサーが必要になる場合があります。詳細については、「Linux オペレーティング システムとそれぞれのセンサー」を参照してください。
注:
- *-azure または *-aws などのデフォルト以外の OEM カーネルは、「VMware Carbon Black Cloud Linux センサーの動作環境要件」に特に記載されていない限りサポートされません。
- このセクションの Linux コマンドの例は、bash シェルで実行されます。
次のコマンドを実行して、カーネルのバージョンを確認できます。
$ uname -r
カーネル モジュールベースのセンサー
カーネル モジュールが署名されていないため、セキュア ブートはサポートされません。インストールの前に、セキュア ブートを無効にするか、カーネル モジュールに署名してください。そうせずにインストールを試行すると、インストール直後にセンサーがバイパス モードになります。
BPF ベースのセンサー
センサーの基盤となる BPF 実装を機能させるには、次の 1 つ以上が必要です。
- Linux カーネルには、新しいカーネルが提供する BTF 形式のメタデータが含まれており、センサーのバージョンは 2.15.0 以降です。
- Linux カーネルで BPF 機能が有効になっています。
- 実行中のカーネルに関連付けられている Linux カーネル ヘッダーが事前構成されています。
- 実行中のカーネルに関連付けられている Linux カーネル ヘッダーが手動でインストールされました。
センサーの前提条件を満たしているかどうかを判断するには、センサーをインストールすることを強くお勧めします。インストール中に、センサーは BPF 機能をチェックし、BPF が機能していない場合はエラー メッセージを表示します。
センサーが正常にインストールされたら、次のコマンドを実行して、BPF 要件がまだ満たされているかどうかを確認します。
$ /opt/carbonblack/psc/blades/E51C4A7E-2D41-4F57-99BC-6AA907CA3B40/bpf/event_collector -p
Successfully initialized BPF Program メッセージと 0 の終了ステータスは、確認が成功したことを示します。
要件が満たされていない場合は、関連事項の確認と修正手順を実行する必要があります。BPF ベースのセンサー要件の確認とその関連トピックを参照してください。
