Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=ndr-troubleshooting

NDR-Fehlerbehebung

Beheben von NDR-Problemen.

NDR-Statusmeldungen

In Sophos Central werden drei verschiedene Statusangaben angezeigt: Rot, gelb und grün. Ein roter Status bedeutet, dass die Integration nicht funktioniert. Ein gelber Status bedeutet, dass die Integration funktioniert, aber Fehler aufweist. Ein grüner Status bedeutet, dass die Integration gesund ist und ohne Probleme funktioniert.

Status Rot

NDR-Container nicht bereit, <spezifische Containernamen>.

NDR wird nicht ausgeführt, weil mindestens eine Anwendung nicht bereit ist. Diese Meldung wird häufig angezeigt, wenn der dragonfly-Container in einer Neustartschleife feststeckt, weil die erforderlichen CPU-Befehlssätze fehlen.

Für weitere Informationen können Sie mit dem sudo kubectl describe pod <pod name>-Befehl in der CLI nach Fehlermeldungen am Ende der Ausgabe suchen. Wenden Sie sich an den Sophos Support und teilen Sie die gesammelten Informationen mit.

Hochladen in s3 fehlgeschlagen. Anfrage wurde empfangen, aber ein Fehlercode wurde zurückgegeben. Fehlercode: <S3-Upload-Fehler>

Die NDR-Daten konnten nicht mit einer vorsignierten URL in einen S3-Bucket hochgeladen werden. Dieses Problem tritt in der Regel auf, wenn Sie Ihre Firewall oder Ihren Web-Proxy nicht so konfiguriert haben, dass ausgehender Datenverkehr zum Internet zugelassen wird, sodass dieser Datenverkehr blockiert wird. Wenn das Problem durch Ändern der Firewall- oder Web-Proxy-Einstellungen nicht behoben werden kann, wenden Sie sich an den Sophos Support.

spanX: Unsicherer Span

Die Netzwerk-Appliance eines Drittanbieters, die Netzwerk-SPAN-Datenverkehr an die NDR-Appliance sendet, ist nicht ordnungsgemäß konfiguriert. Sophos Support kontaktieren.

Gelber Status

spanX: Pakete werden verworfen

Über 10 % der Netzwerkpakete werden verworfen und die NDR-Appliance benötigt mehr Systemressourcen, um ordnungsgemäß funktionieren zu können. Die Aufnahme und Verarbeitung von Netzwerkpaketen ist CPU-intensiv und wenn NDR nicht in der Lage ist, genügend CPU-Kerne zuzuweisen, um dies zu unterstützen, werden Netzwerkpakete verworfen. Wenn Sie NDR auf einer virtuellen Maschine (VM) ausführen, müssen Sie der VM mehr CPU-Kerne zuweisen und prüfen, ob die Probleme dadurch behoben werden. Wenn Sie NDR auf zertifizierter Hardware ausführen, können Sie eine andere Hardware-Appliance einrichten und den Netzwerkverkehr zwischen den beiden aufteilen.

Die Integration von Protokollsammlern von Drittanbietern ist auch CPU-intensiv, wenn hohe Mengen an Syslog-Meldungen erfasst werden. Wenn auf Ihrer Appliance mehrere Integrationstypen ausgeführt werden, sollten Sie diese auf mehrere Appliances verteilen, um sicherzustellen, dass die richtigen Ressourcen für jede Integration vorhanden sind.

Güner Status

Die NDR-Integration empfängt SPAN-Datenverkehr und verarbeitet die Netzwerkpaketdaten problemlos.

Derzeit wird ein funktionsfähiger SPAN-Port definiert, dass mindestens 1 % der Netzwerkpakete Unicast sind.

Allgemeine NDR-Fehlerbehebung

Keine Erkennung durch Sophos NDR generiert

Einige Switches können VLAN-Tags nicht richtig verarbeiten, was dazu führt, dass keine Erkennung generiert wird.

Gehen Sie wie folgt vor, um das Problem zu beheben und sicherzustellen, dass die Erkennung generiert wird:

Generieren Sie eine Test-Erkennung. Siehe Erkennungen generieren (NDR)

Führen Sie die folgende Abfrage auf Ihrem NDR-Gerät aus:

SELECT SrcIp,DestIp,Hostname,ClientToServerBytes,ServerToClientBytes,Vlan,ClusterId FROM dragonfly WHERE DestPort=2222 LIMIT 100;

Informationen zum Ausführen von Abfragen finden Sie unter NDR-Abfrage.

Wenn das ausgewählte VLAN UND VLAN0 angezeigt werden, müssen Sie VLAN-Strip aktivieren. Siehe Globale NDR-Einstellungen.