トラブルシューティング
ここでは、Sophos 仮想アプライアンス (VA) で発生する一般的な問題の解決方法について説明します。
最初に開始したときに VA が起動しない。
仮想マシン (VM) は、初回の起動時に sophos.com
を ping し、5秒間返信を待ってインターネット接続を確認します。このチェックは最高 6回繰り返されます。インターネット接続が検出されない場合は、VM の電源をオフにして問題を解決する必要があります。
以下の「インターネット接続がない」の手順に従った後、VM を再起動してください。
初回の起動の失敗画面の例を以下に示します。
インターネット接続がない。
VM は、HTTP、HTTPS、DNS、および NTP を送受信する必要があります。管理ネットワークが DHCP 用に設定されている場合は、DHCP も必要です。
次の事柄を確認してください。
-
ファイアウォールで Web サイトフィルタリングを使用している場合、仮想マシンは以下のドメインにアクセスできるか?
sophos.com
: Sophos Central 通信に使用されます。archive.ubuntu.com
: ベース OS の更新に使用されます。ntp.ubuntu.com
: NTP 時刻の同期に使用されます。baltocdn.com
: Helm パッケージの更新に使用されます。sophossecops.jfrog.io
: ソフォスのリポジトリサーバーに使用されます。docker.io
: Clickhouse コンテナと RedisDB コンテナに使用されます。amazon.com
、amazonaws.com
: S3 バケットへのデータアップロードに使用されます。
-
Web プロキシがインターネットアクセスをブロックしているか?
- 管理インターフェースおよび syslog ネットワークインターフェース上の VLAN ID でタグ付けされたネットワークパケットを、Sophos VA は読み取ることができるか?
- Sophos Central で手動 IP が設定済みの場合、VM の設定時に MGMT に割り当てられたネットワークの設定は正しいか?
- DHCP を使用している場合、顧客のネットワーク環境で、VM が DHCP サーバーから IP アドレスを取得することを妨げるものはあるか?例: ファイアウォール、VLAN、プロキシ。
SPAN が動作していない
SPAN が動作していないと思われる場合は、「System Stats」に移動します。
ユニキャストパケットの数が非常に少ない状態で、マルチキャストパケットの数が増加している場合は、SPAN が動作していない可能性があることを意味します。
Sophos Central が統合データを受信していない
ヘッダーの「S3 Upload Status」をチェックして、Sophos VA からデータがアップロードされているかどうかを確認します。サードパーティのログコレクタの統合が追加されている場合は、それも確認することができます。
ソフォスでは、Sophos Central にデータを送信しない統合のトラブルシューティングに役立つように、コンソールにデータを追加しています。
このデータの追加が完了するまでの間、データは送信されるが Sophos Central で受信されない場合、NDR エンジニアリングチームにご連絡いただけます。エンジニアは、統合ログファイルにアクセスして問題を解決します。
Sophos Central が統合データを受信していないが、データコレクタが「接続済み」である。
Sophos Central のデータコレクタの状態が「接続済み」であるにもかかわらず、データが Data Lake に到達していない場合は、コンソールで Dragonfly サービスの状態を確認してください。
Dragonfly サービスの状態が「保留中」で、VM が EVC (Enhanced vMotion Compatibility) クラスタにある場合は、EVC が Skylake モード以降であることを確認してください。
Sophos NDR VA は、Sandy Bridge モードの EVC クラスタでの実行には対応していません。