Zum Inhalt

NDR-Fehlerbehebung

Beheben von NDR-Problemen.

NDR-Statusmeldungen

In Sophos Central werden drei verschiedene Statusangaben angezeigt: Rot, gelb und grün. Ein roter Status bedeutet, dass die Integration nicht funktioniert. Ein gelber Status bedeutet, dass die Integration funktioniert, aber Fehler aufweist. Ein grüner Status bedeutet, dass die Integration gesund ist und ohne Probleme funktioniert.

Status Rot

NDR-Container nicht bereit, <spezifische Containernamen>.

NDR wird nicht ausgeführt, weil mindestens eine Anwendung nicht bereit ist. Diese Meldung wird häufig angezeigt, wenn der dragonfly-Container in einer Neustartschleife feststeckt, weil die erforderlichen CPU-Befehlssätze fehlen.

Für weitere Informationen können Sie mit dem sudo kubectl describe pod <pod name>-Befehl in der CLI nach Fehlermeldungen am Ende der Ausgabe suchen. Wenden Sie sich an den Sophos Support und teilen Sie die gesammelten Informationen mit.

Hochladen in s3 fehlgeschlagen. Anfrage wurde empfangen, aber ein Fehlercode wurde zurückgegeben. Fehlercode: <S3-Upload-Fehler>

Die NDR-Daten konnten nicht mit einer vorsignierten URL in einen S3-Bucket hochgeladen werden. Dieses Problem tritt in der Regel auf, wenn Sie Ihre Firewall oder Ihren Web-Proxy nicht so konfiguriert haben, dass ausgehender Datenverkehr zum Internet zugelassen wird, sodass dieser Datenverkehr blockiert wird. Wenn das Problem durch Ändern der Firewall- oder Web-Proxy-Einstellungen nicht behoben werden kann, wenden Sie sich an den Sophos Support.

spanX: Unsicherer Span

Die Netzwerk-Appliance eines Drittanbieters, die Netzwerk-SPAN-Datenverkehr an die NDR-Appliance sendet, ist nicht ordnungsgemäß konfiguriert. Sie können den Link „Probleme mit Port-Spiegelung/SPAN“ oben auf der Seite verwenden, um dieses Problem zu beheben.

Gelber Status

spanX: Pakete werden verworfen

Über 10 % der Netzwerkpakete werden verworfen und die NDR-Appliance benötigt mehr Systemressourcen, um ordnungsgemäß funktionieren zu können. Die Aufnahme und Verarbeitung von Netzwerkpaketen ist CPU-intensiv und wenn NDR nicht in der Lage ist, genügend CPU-Kerne zuzuweisen, um dies zu unterstützen, werden Netzwerkpakete verworfen. Wenn Sie NDR auf einer virtuellen Maschine (VM) ausführen, müssen Sie der VM mehr CPU-Kerne zuweisen und prüfen, ob die Probleme dadurch behoben werden. Wenn Sie NDR auf zertifizierter Hardware ausführen, können Sie eine andere Hardware-Appliance einrichten und den Netzwerkverkehr zwischen den beiden aufteilen.

Die Integration von Protokollsammlern von Drittanbietern ist auch CPU-intensiv, wenn hohe Mengen an Syslog-Meldungen erfasst werden. Wenn auf Ihrer Appliance mehrere Integrationstypen ausgeführt werden, sollten Sie diese auf mehrere Appliances verteilen, um sicherzustellen, dass die richtigen Ressourcen für jede Integration vorhanden sind.

Güner Status

Die NDR-Integration empfängt SPAN-Datenverkehr und verarbeitet die Netzwerkpaketdaten problemlos.

Derzeit wird ein funktionsfähiger SPAN-Port definiert, dass mindestens 1 % der Netzwerkpakete Unicast sind.