Saltar al contenido

Agente Server Protection

Restricción

Si usa Sophos XDR Sensor, esta función no está disponible.

Sophos Protection para Linux tiene un agente llamado Server Protection, que puede utilizar para ejecutar análisis bajo demanda en sus dispositivos Linux. Server Protection es un escáner antivirus (avscanner).

El directorio de instalación de Server Protection es /opt/sophos-spl/plugins/av.

Antes de empezar a utilizar Server Protection, debe comprobar que /usr/local/bin/ está en su ruta.

avscanner es el escáner de archivos completo y lo puede encontrar en /opt/sophos-spl/plugins/av/bin/avscanner.

Puede analizar un archivo, archivo comprimido o directorio.

Puede ejecutar varios escaneados al mismo tiempo utilizando varios terminales.

Opciones de la línea de comandos

Puede añadir opciones cuando ejecute un análisis desde la línea de comandos.

Para ello, introduzca avscanner PATH OPTION.

El comando avscanner admite las siguientes opciones de la línea de comandos:

Ayuda

Imprima la ayuda de avscanner.

  • -h
  • --help

Escanear archivos

Escanee archivos comprimidos.

  • -a
  • --scan-archives

Imágenes de disco

Escanee dentro de imágenes de disco.

  • -i
  • --scan-images

Detectar apps no deseadas

Configure avscanner para que detecte aplicaciones no deseadas (PUA) durante un escaneado. Opción desactivada de forma predeterminada.

  • -p
  • --detect-puas

Excluir apps no deseadas

Excluya detecciones específicas de PUA del informe.

  • --exclude-puas <THREAT>

Argumento final

Lista separada por comas de las detecciones de PUA que desea excluir.

Sugerencia

Puede excluir una detección de PUA por nombre, por ejemplo, "PsExec" o "Cain n Abel". Puede encontrar el nombre de la detección en los registros o en el sitio web de Sophos. Consulte Adware/PUA.

Siga los enlaces simbólicos al escanear.

  • -s
  • --follow-symlinks

Excluir

Excluya ubicaciones del escaneado.

  • -x
  • --exclude <EXCLUSION>

Argumento final

Ruta de la ubicación que quiera excluir. Las exclusiones utilizan la misma sintaxis que las exclusiones de Sophos Central. Consulte Exclusiones de escaneado.

Nota

Las exclusiones de ruta en Sophos Central no se aplican a los escaneados de línea de comandos. Debe utilizar --exclude para excluir manualmente elementos del escaneado. Los archivos permitidos por hash en Sophos Central siguen permitiéndose durante los escaneados de línea de comandos.

Opciones

Envíe la salida a un archivo de registro.

  • -o
  • --output <OUTPUT>

Argumento final

Ruta del archivo en el que desea escribir la salida.

Nivel de registro

Establecezca el nivel de registro. Esto establece el nivel de registro solo para avscanner. No cambia el nivel de registro de los demás componentes de Sophos Protection para Linux.

  • -l
  • --log-level <LOGLEVEL>

Argumento final

El nivel de registro que desea establecer.

Las opciones disponibles son: DEBUG, SUPPORT, INFO, WARN o ERROR.

Caracteres comodín

Es posible utilizar caracteres comodín. Si utiliza caracteres comodín, debe saber lo siguiente:

  • El shell expande los caracteres comodín antes de que avscanner vea las opciones.
  • Si utiliza caracteres comodín con escape o comillas, avscanner los utiliza. Funcionan del mismo modo que los caracteres comodín para las exclusiones de análisis programados. Consulte Exclusiones de escaneado en Linux.

Si intenta ejecutar un análisis bajo demanda mientras uno ya está en ejecución, aparecerá un mensaje de rechazo al análisis en el archivo de registro. Puede encontrarlo en /opt/sophos-sspl/plugins/av/log/av.log. Consulte “Archivos de registro”.

Comandos de ejemplo

Analizar el directorio raíz (de forma recursiva incluyendo archivos .dot o directorios) incluido el contenido de cualquier archivo comprimido:

avscanner / --scan-archives

Analizar el directorio raíz y seguir enlaces simbólicos:

avscanner / --follow-symlinks

Analizar el directorio /usr excluyendo /usr/local:

avscanner /usr --exclude /usr/local/

Analizar el directorio folder pero excluir cualquier nombre de archivo con la extensión de archivo .log:

avscanner folder --exclude '\*.log'

Analizar el archivo foo.exe y redirigir la salida a un archivo de registro denominado scan.log:

avscanner foo.exe -o scan.log

Analizar el directorio raíz con el nivel de registro establecido en info:

avscanner / --log-level info

Códigos de retorno del escaneado en demanda

avscanner devolverá un código diferente según el resultado del escaneado. Puede ver el código introduciendo un comando una vez finalizado el escaneado.

Ejemplo

echo $?

En esta tabla se enumeran los códigos de retorno más habituales de avscanner. Hay otros códigos de retorno que pueden mostrarse y que el servicio de soporte de Sophos utiliza para investigar problemas.

Código de retorno Descripción
0 Escaneado correcto Sin errores ni detecciones.
8

Error superable. El escaneado continuará.

Consulte av.log para obtener más información.

16 Archivo protegido con contraseña encontrado.
24 Archivo malicioso encontrado y no limpiado.
36

Error insuperable. Escaneado anulado.

Consulte av.log para obtener más información.

40 Se interrumpe el escaneado.