排疑解難

在第一次開機過程中，虛擬機 (VM) 透過 ping sophos.com 並等待五秒鐘有無回覆來檢查網際網路連線。此檢查最多重複六次。如果未偵測到網際網路連線，則必須關閉 VM 並解決該問題。

按照「無網際網路連線」的說明操作，然後重新啟動 VM。

VM 需要傳送及接收 HTTP、HTTPS、DNS 和 NTP。如果為其設定了管理網路，則它還需要 DHCP。

請檢查下列項目：

• 如果您的防火牆正在使用網站篩選功能，虛擬機是否可以存取這些網域？

  • sophos.com：用於 Sophos Central 通訊。
  • archive.ubuntu.com：用於基本作業系統更新。
  • ntp.ubuntu.com：用於 NTP 時間同步。
  • baltocdn.com：用於 Helm 套件更新。
  • sophossecops.jfrog.io：用於我們的存放庫伺服器。
  • docker.io：用於 Clickhouse 和 RedisDB 容器。
  • amazon.com、amazonaws.com：用於將資料上傳到 S3 貯體。

• Web Proxy 是否會封鎖網際網路存取？

• Sophos 設備是否能讀取管理和 Syslog 網路介面上標記有 VLAN ID 的網路封包？
• 如果在 Sophos Central 中設定了手動 IP，那麼在 VM 設定過程中指派給 MGMT 的網路之設定是否正確？
• 如果您使用 DHCP，客戶網路環境中是否有任何內容會阻止 VM 從 DHCP 伺服器取得 IP 位址？例如：防火牆、VLAN、Proxy。

如果您懷疑 SPAN 無法正常工作，請移至 NDR 索引標籤。

如果 Span 1 單點傳播或 Span 2 單點傳播顯示小於 100%，則 SPAN 無法正常工作。

檢查 NDR 或整合頁面以查看是否正在從設備上傳資料。

如果正在傳送資料，但未在 Sophos Central 中收到，您可以聯絡 MDR 工程團隊。將有工程師存取整合記錄檔案並解決問題。

如果 Sophos Central 中的設備狀態為已連線，但資料未到達 Data Lake，請在儀表板進階索引標籤中檢查 Dragonfly 服務的狀態。

如果 Dragonfly 服務處於待決狀態，並且您的 VM 處於 Enhanced vMotion Compatibility (EVC) 叢集中，請檢查 EVC 模式是否為 Skylake 或更新版本。

Sophos 設備不支援在 Sandy Bridge 模式下的 EVC 叢集中執行。