Problembehebung zu Sophos Protection for Linux
Auf dieser Seite wird die Fehlerbehebung für häufige Fehler in Sophos Protection for Linux (SPL) beschrieben.
Hinweis
Sie können das Sophos Diagnostic Utility (SDU) verwenden, um zusätzliche Einblicke in Ereignisse bei der Fehlerbehebung zu erhalten. Wenn Sie es ausführen, erfasst die SDU alle SPL-Protokolle, Systeminformationen und Systemprotokolle. Damit die SDU die Systemprotokolle erfassen kann, empfehlen wir Ihnen, Ihre Linux-Geräte so zu konfigurieren, dass sie nach einem Neustart beibehalten werden. Auf einigen Plattformen ist dies standardmäßig konfiguriert.
Fehlerbehebung bei der Installation
Tipp
Wenn Sie mehr Einblicke in einen Fehler benötigen, aktivieren Sie die Debug-Protokollierung und führen Sie den Installer erneut aus. Siehe Thin Installer debuggen.
./SophosSetup.sh: Erlaubnis verweigert
Sie müssen die Berechtigung „Execute“ zu SophosSetup.sh hinzufügen. Geben Sie folgendes Kommando ein:
chmod +x SophosSetup.sh
Führen Sie dieses Installationsprogramm als root aus
Sie müssen SophosSetup.sh mit root-Berechtigungen ausführen. Verwenden Sie den sudo
-Befehl oder wechseln Sie zum root-Benutzer.
Es wurde eine vorhandene Installation von SAV in /opt/sophos-av/ gefunden. Dieses Produkt kann nicht zusammen mit Sophos Anti-Virus verwendet werden
Sie müssen Sophos Anti-Virus for Linux entfernen, bevor Sie SPL installieren.
SPL-Installation schlägt fehl, Installation in '<path>' kann nicht durchgeführt werden.
Die Installation schlägt fehl, wenn Sie einen Symlink referenzieren. Sie müssen das Installationsprogramm mit dem --install-dir
-Befehl erneut ausführen und den Pfad zu dem Verzeichnis verwenden, auf das der Symlink verweist.
Verbindung zu Sophos Central kann nicht hergestellt werden – bitte überprüfen Sie Ihre Netzwerkverbindungen
Ihre Linux-Maschine muss in der Lage sein, eine Verbindung zum Internet herzustellen und Datenverkehr zu allen Sophos Central-Domänen muss zugelassen sein, bevor Sie SPL installieren können. Siehe Zuzulassende Domänen und Ports.
SPL-Installation schlägt fehl, da keine Verbindung zu Sophos Central hergestellt werden konnte
Die Überprüfung der Installationsvoraussetzungen von Sophos schlagen fehl, wenn curl
nicht auf dem Linux-Gerät installiert sind. Installieren Sie curl
und versuchen Sie es erneut. Unter Umständen sehen Sie zudem die folgenden Nachrichten:
- Die SPL-Installation schlägt fehl, da keine Verbindung zum SUS-Server hergestellt werden konnte
- Die SPL-Installation schlägt fehl, da keine Verbindung zu einem CDN-Server hergestellt werden konnte
Verbindung zum Repository konnte nicht hergestellt werden: Fehler:
Ihre Linux-Geräte sind einem Softwarepaket zugewiesen, das eingestellt wurde. Ändern Sie Ihre Update-Management-Richtlinie und weisen Sie Ihre Linux-Geräte einem aktuellen Softwarepaket zu. Siehe Server-Update-Management-Richtlinie.
Installation fehlgeschlagen, da setcap nicht installiert ist
Wenn das libcap-Paket auf dem Linux-Server fehlt, kann das Sophos Protection for Linux-Antivirus-Plugin nicht installiert werden und versucht die Installation stündlich erneut. Das Installationsprotokoll zeigt die folgenden Fehler an:
497 [2021-08-31T10:51:09.950] INFO [2080044800] suldownloaderdata <> Installing product: ServerProtectionLinux-Plugin-AV version: 1.0.2.93
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> which: no setcap in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin)
Failed to install as setcap is not installed, please see https://support.sophos.com/support/s/article/KBA-000007609
736 [2021-08-31T10:51:10.189] ERROR [2080044800] suldownloaderdata <> Installation failed
736 [2021-08-31T10:51:10.189] INFO [2080044800] suldownloaderdata <> Downloaded Product line: „ServerProtectionLinux-Plugin-EDR“ ist auf dem neuesten Stand.
740 [2021-08-31T10:51:10.193] WARN [2080044800] suldownloaderdata <> Update failed, with code: 103
740 [2021-08-31T10:51:10.193] INFO [2080044800] suldownloaderdata <> Generating the report file in: /opt/sophos-spl/base/update/var/updatescheduler
Führen Sie einen der folgenden Befehle basierend auf Ihrer Linux-Distribution aus:
- Debian-basiertes Linux:
apt install libcap2-bin
- RHEL, CentOS, Amazon Linux:
yum install libcap
- SLES:
zypper install libcap-progs
Komponenten werden nicht ausgeführt oder können nicht installiert werden.
Wenn ein Produkt fehlt, stellen Sie sicher, dass Sie über die richtige Lizenz für das fehlende Produkt verfügen.
Wenn das Produkt installiert, aber nicht ausgeführt wird, prüfen Sie die Protokolle für die entsprechenden Komponenten. Gehen Sie dazu wie folgt vor:
- Prüfen Sie das Protokoll für die betroffene Komponente unter
/opt/sophos-spl/plugins/<plugin name>/log
. - Prüfen Sie das Installationsprotokoll für die entsprechende Komponente unter
/opt/sophos-spl/logs/installation/<component>_install.log
. - Prüfen Sie das Watchdog-Protokoll, um festzustellen, ob eine Komponente unter
/opt/sophos-spl/logs/base/watchdog.log
nicht gestartet werden konnte.
Hohe CPU-Auslastung nach Installation von SPL
Überprüfen Sie, ob Sie fapolicyd
auf Ihrem Linux-Gerät installiert haben. Die gemeinsame Ausführung von fapolicyd
und SPL wird unterstützt, aber es ist bekannt, dass dies bei nicht ordnungsgemäßer Konfiguration zu hoher CPU-Auslastung und anderen Problemen führt. Gehen Sie wie folgt vor, um eine Regel zu fapolicyd
hinzuzufügen, damit sie mit SPL zusammenarbeiten kann:
- Stoppen Sie den SPL-Agent.
-
Erstellen Sie eine neue Datei unter
/etc/fapolicyd/rules.d/
mit dem Namen22-sophos.rules
.Der Dateiname ist sehr wichtig, da er die Benennungsregeln befolgen muss, damit Regeln
fapolicyd
für systemkritische Aktivitäten umgehen können. Siehe File Access Policy Daemon konfigurieren. -
Fügen Sie der Datei den folgenden Inhalt hinzu:
allow dir=/opt/sophos-spl/ all : ftype=application/x-sharedlib allow dir=/opt/sophos-spl/ all : ftype=application/x-executable allow dir=/opt/sophos-spl/ all : ftype=text/x-python allow perm=execute dir=/opt/sophos-spl/ : all
-
Starten Sie
fapolicyd
neu. - Starten Sie den SPL-Agent.
Die Installation in ein benutzerdefiniertes Verzeichnis schlägt fehl.
Die SPL-Installation schlägt fehl, wenn Sie anhand von --install-dir
das Installationsverzeichnis ändern möchten. Dies geschieht, wenn das /sophos-spl
-Verzeichnis bereits an diesem Speicherort vorhanden ist oder SPL an einem anderen Speicherort auf dem Linux-Gerät installiert ist. Um dieses Problem zu beheben, löschen Sie das /sophos-spl
-Verzeichnis oder deinstallieren Sie SPL. Versuchen Sie es dann erneut.
Wenn Sie SELinux im Durchsetzungsmodus ausführen und SPL in einem anderen benutzerdefinierten Verzeichnis als /opt
installieren, wird möglicherweise der folgende Fehler angezeigt, wenn Sie versuchen, SPL in einem benutzerdefinierten Verzeichnis zu installieren:
sophos-spl.service: Befehl konnte nicht ausgeführt werden: Erlaubnis verweigert
Führen Sie die folgenden Schritte aus, um einen Datensatz des neuen Verzeichnisses zur SELinux-Richtlinie hinzuzufügen, der die gleichen Regeln enthält wie für /opt
:
- Erstellen Sie das Installationsverzeichnis, das Sie verwenden möchten.
- Führen Sie den folgenden Befehl aus und ersetzen
<path_to_new_directory>
durch den Pfad zum neuen Installationsverzeichnis.
semanage fcontext -a -e /opt <path_to_new_directory>
Sophos Central-Fehlerbehebung
Nicht gestartet: Sophos Linux Runtime Detections
Diese Fehlermeldung wird möglicherweise mit einem roten Integritätsstatus auf Ihren Linux-Geräten angezeigt, wenn eines der folgenden Szenarien vorliegt:
- Das RTD-Plug-in (Runtime Detections) wird nicht ausgeführt. Dies kann aus vielen Gründen geschehen, z. B. wenn es auf einem Server installiert ist, auf dem ein älterer oder nicht unterstützter Kernel ausgeführt wird.
- Das RTD-Plug-in hat ein Problem mit einer Regel oder einem Regelsatz festgestellt. In diesem Fall wird das RTD-Plug-in noch ausgeführt und alle anderen Regeln sind aktiv, aber Sophos Central zeigt einen roten Integritätsstatus an, um Sie auf das Problem aufmerksam zu machen, damit Sie es untersuchen können.
Nicht gestartet: Update-Planer
Wenn der SPL-Agent startet, versucht der Update-Planer, die Richtlinie von Sophos Central herunterzuladen. Wenn der SPL-Agent Sophos Central nicht kontaktieren kann oder der Richtlinien-Download fehlschlägt, wird diese Fehlermeldung mit rotem Integritätsstatus in Sophos Central angezeigt.
Live Discover Endpoint-Abfragen geben nur für kurze Zeit Daten zurück
Standardmäßig ermöglicht die Größe der Ereignisprotokolle auf Ihren Geräten die Speicherung von ca. 90 Tagen Aktivität. Wenn Live Discover-Endpoint-Abfragen weniger Daten zurückgeben, müssen Sie möglicherweise die Event Journals auf Ihren Geräten vergrößern. Siehe Event Journals.
Weitere Ressourcen