防护降级

Agent防护等级说明

Agent处于“运行中”状态时，防护等级分为五个等级：

1. Agent防护等级=1，此时Agent状态正常，所有防护功能正常。
2. Agent防护等级=2，此时Agent关闭了防护等级1的策略，保留了防护等级2和3的策略。防护策略对应的防护等级见表1。
3. Agent防护等级=3，此时Agent关闭了防护等级1和2的策略，保留了防护等级3的策略。防护策略对应的防护等级见表1。
4. Agent空载，此时Agent所有防护功能关闭，仅可通过控制台执行升级、卸载操作，主机防护状态显示为“防护中断”。
5. Agent静默，此时Agent所有防护功能关闭，并且不可通过控制台执行升级、卸载操作，主机防护状态显示为“防护中断”。

表1中所示策略的详细说明请参见策略管理概述。

Agent防护降级原因

Agent防护降级原因如下：

• Agent重启次数超限：Agent运行时占用主机内存超限自动重启或其他原因导致Agent重启，重启的次数过多，导致Agent防护降级。Agent重启次数与防护降级关系如下：
  • 5次≤Agent重启次数≤8次，当天Agent防护等级将从1级降至2级，第二天恢复正常。
  • 9次≤Agent重启次数≤11次，当天Agent防护等级将从2级降至3级，第二天恢复正常。
  • 12次≤Agent重启次数≤16次，当天Agent防护等级将从3级降至空载状态，第二天恢复正常。
  • Agent重启次数≥17次，当天Agent将进入静默状态，第二天恢复正常。
• 主机内存不足：主机内存不足50MB时会导致Agent防护降级。如果主机内存不足，持续大约3分钟左右，Agent会逐渐降级并最终进入静默状态。待主机可用内存充足（大于250MB）时，Agent状态才会恢复正常。

图1 Agent防护降级

Agent防护降级解决方案

如果是主机内存不足导致防护降级，建议您扩容主机内存，保证主机可用内存大于250MB，Agent会自行恢复为正常状态。

如果是Agent重启次数过多导致防护降级，您可以等待Agent次日自行恢复正常，也可以通过如下操作手动将Agent恢复为正常状态。

如果您开启了自保护策略，请先关闭自保护策略再执行以下操作。详细操作参考关闭自保护。

1. 修改Agent安装目录下的conf/framework.conf文件，将run_mode冒号后面的模式改为normal。
2. 执行以下操作，删除记录重启次数的文件。
   • Linux：执行命令rm -f /usr/local/hostguard/run/restart.conf。
   • Windows：找到C:\Program Files\HostGuard\run\restart.conf并删除。
3. 执行以下操作，重启Agent。
   • Linux：执行命令/etc/init.d/hostguard restart。
   • Windows：
     • Agent为4.0.17及以下版本：
       1. 以管理员administrator权限登录主机。
       2. 打开“任务管理器”，选择“服务”页签。
       3. 选中Hostwatch，单击鼠标右键选择“停止”，等待状态改变为“已停止”后执行步骤4。
       4. 选择中Hostguard，单击鼠标右键选择“停止”。
       5. 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。

          启动Hostwatch后会自动拉起Hostguard。

     • Agent为4.0.18及以上版本：
       1. 以管理员administrator权限登录主机。
       2. 打开cmd命令提示符窗口，依次执行以下命令停止服务。

          sc control hostwatch 198

          sc control hostguard 198

          如图 停止服务所示为正常现象，开启自保护的主机上不会生成sp_state.conf文件。

          图2 停止服务
          
       3. 打开“任务管理器”，选择“服务”页签。
       4. 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。

          启动Hostwatch后会自动拉起Hostguard。