エンドポイントエージェントの問題

Elastic In Your Native Tongue 日本語による質問・議論はこちら
1

"Artifacts.cpp:2850 Failed to download artifact diagnostic-configuration-v1 - Invalid url. "
Elastic CloudのEndpoint SecurityでランサムウエアをONにして評価中。
Fleet機能で2台のAgentを追加。どちらもWin10。1台目は会社内の端末。2台目は自宅の個人PC。
会社内の端末はFleet StatusがUnhealthyでwindows DefenderのままでElastic Securityに置き換わらない。
自宅の個人PCはFleet Statusがhealthyでwindows DefenderからElastic Securityに置き換わる。

会社内の端末Logs eroorのみ

Showing entries from Dec 7, 17:02:42
17:02:42.916
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] Artifacts.cpp:2850 Failed to download artifact diagnostic-configuration-v1 - Invalid url
17:02:42.916
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] Artifacts.cpp:618 Artifact diagnostic-configuration-v1 download or verification failed
17:03:17.337
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] Ransomware.cpp:231 Required user artifacts are missing
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] AgentComms.cpp:823 Unable to make GRPC connection in deadline(60s). Fetching connection info again
17:04:17.397
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] Config.cpp:1825 Initial configuration application failed
elastic_agent.endpoint_security
[elastic_agent.endpoint_security][error] Entry.cpp:364 Failed to apply initial policy from on disk configuration (Initial Policy Application Failed)
17:04:42.202
elastic_agent
[elastic_agent][error] Elastic Agent status changed to: 'error'

会社内のネットワーク設定が影響しているのではないかと推測。

社内からThe Internetにアクセスするには、
社内プロキシサーバの設定と証明書のインストールが必要。

例えば
プロキシサーバ:http://proxygate.xxx.co.jp:8080
証明書 :ZscalerRootCertificate.crt

Windows環境変数には、以下を設定している。
setx /m NODE_EXTRA_CA_CERTS "C:\elastic\ZscalerRootCertificate.crt"
setx /m HTTP_PROXY http://proxygate.xxx.co.jp:8080
setx /m HTTPS_PROXY http://proxygate.xxx.co.jp:8080

elastic-agentやEndpointの起動に伴い、
社内Proxyと社外アクセスする際に必要なクライアントにインストールしている証明書の設定が必要ではないかと推測しています。
何か情報があれば教えてほしいです。
どうぞ、よろしくお願い致します。

2

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.