防护中断

问题现象

在企业主机安全的“资产管理 > 主机管理”页面，目标服务器的防护状态显示“防护中断”。

图1 防护中断

解决方案

鼠标悬停在“防护中断”状态旁的“？”提示上，查看中断原因。

• 服务器关机、Agent通信异常或Agent已被卸载。
  • 服务器关机

    如果服务器正常关机，在服务器开机后，如果没有其他异常，防护状态会自动恢复为“防护中”。

  • Agent通信异常或Agent已被卸载

    在“Agent状态”列，查看当前Agent所处状态。如果Agent显示“离线”或“未安装”，表示Agent状态异常，请参考Agent状态异常应如何处理？排查处理。

• Agent空载

  如果Agent运行时占用主机内存超限自动重启或其他原因导致Agent重启，在30分钟内重启次数达12次，Agent当天会进入为空载状态，在第二天恢复正常。空载状态下Agent所有防护功能关闭，仅可通过控制台执行升级、卸载操作。Agent占用主机内存的详细说明请参见内存占用峰值。

  如需手动将Agent状态恢复正常请参见将Agent从静默或空载状态恢复为正常状态。

• Agent静默
  Agent进入静默状态的原因有两种：

  • 主机剩余可用内存不足50MB，大约3分钟左右，Agent会进入静默状态，待可用内存充足（大于250MB ）时才会恢复正常。
  • 如果Agent运行时占用主机内存超限自动重启或其他原因导致Agent重启，在1小时内重启次数达17次，Agent当天会进入静默状态，在第二天恢复正常。Agent占用主机内存的详细说明请参见内存占用峰值。

  在静默状态下，Agent所有防护功能关闭，并且不可通过控制台执行升级、卸载操作。

  如需手动将Agent状态恢复正常请参见将Agent从静默或空载状态恢复为正常状态。

将Agent从静默或空载状态恢复为正常状态

如果是主机内存不足导致Agent静默，建议您扩容主机内存，保证主机可用内存大于250MB，Agent会自行恢复为正常状态。

如果是Agent重启次数过多导致Agent空载或静默，您可以等待Agent次日自行恢复正常，也可以通过如下操作手动将Agent恢复为正常状态。

如果您开启了自保护策略，请先关闭自保护策略再执行以下操作。详细操作参考关闭自保护。

1. 修改Agent安装目录下的conf/framework.conf文件，将run_mode冒号后面的模式改为normal。
2. 执行以下操作，删除记录重启次数的文件。
   • Linux：执行命令rm -f /usr/local/hostguard/run/restart.conf。
   • Windows：找到C:\Program Files\HostGuard\run\restart.conf并删除。
3. 执行以下操作，重启Agent。
   • Linux：执行命令/etc/init.d/hostguard restart。
   • Windows：
     • Agent为4.0.17及以下版本：
       1. 以管理员administrator权限登录主机。
       2. 打开“任务管理器”，选择“服务”页签。
       3. 选中Hostwatch，单击鼠标右键选择“停止”，等待状态改变为“已停止”后执行步骤4。
       4. 选择中Hostguard，单击鼠标右键选择“停止”。
       5. 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。

          启动Hostwatch后会自动拉起Hostguard。

     • Agent为4.0.18及以上版本：
       1. 以管理员administrator权限登录主机。
       2. 打开cmd命令提示符窗口，依次执行以下命令停止服务。

          sc control hostwatch 198

          sc control hostguard 198

          如图 停止服务所示为正常现象，开启自保护的主机上不会生成sp_state.conf文件。

          图2 停止服务
          
       3. 打开“任务管理器”，选择“服务”页签。
       4. 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。

          启动Hostwatch后会自动拉起Hostguard。