【原创分享挑战】EDR异常重启导致所有终端接入异常

【事件背景】：接到客户反馈，EDR上所有终端显示离线，导致无法下发策略，需要排查原因

跟客户沟通后发现，起因为周末有过一次异常断电，通电后发现该问题

客户的EDR平台为运行在服务器上的一台虚拟机

【处理过程】

1、首先确认终端到EDR平台的TCP443、8083 、 54120端口是否可通，发现终端与EDR平台无法通讯，初步判断为网络问题导致。

2、使用 agent_check.rar 脚本一键检测ipc_proxy和eps_agent等进程是否正常运行，或者进程管理器查看ipc_proxy和eps_agent进程是否正常运行。进程运行正常。

3、排除IP冲突导致，通过核心交换机查询ARP，与平台实际MAC地址一致

4、进入搭载EDR平台的物理服务器，发现可以登录EDR控制台，既同网段是可以通讯的，查看Web控制台的网卡信息，路由信息，没有发现异常，默认路由也存在。考虑有可能路由失效，准备将默认路由删除后重新添加，发现无法添加，也无报错提示。

5、进入后台，通过ip route get +IP，确认设备路由走向，发现下一跳为10.251.251.251默认ip

6、查看网卡配置信息，发现eth1口业务地址的网关没有了，eth0口出现了10.251.251.251的网关。

7、通过vim编辑器，修改eth1口网卡信息，新增网关信息，将eth0口的网关去掉。

8、通过systemctl restart network重启下网络服务后，平台IP正常，查看终端上线情况，已经逐步开始上线

【总结】

1、EDR服务端异常重启，可能会导致网卡信息异常导致出现网络问题。

2、异常重启后，可能出现Web界面的路由信息显示正常，实际上路由信息已经失效。

感谢楼主分享！文章详细介绍了agent终端突然从MGR上离线的排查及解决方案，此类情况可能是因为之前的路由配置是在后台使用命令添加的，没有保存到文件中或者是突然断电导致文件异常，建议此类重要服务器要准备UPS稳定电源，以免出现突然断电导致业务异常，期待楼主带来更多有价值的分享~

感谢楼主分享，努力学习中！！！！

感谢楼主分享，非常详细，学习收藏了！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

感谢楼主分享，非常详细，学习收藏了！

感谢楼主分享，努力学习中！！！！

感谢楼主分享，努力学习中！！！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。