Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=protect-devices-server-Linux-agent-troubleshooting

Résolution de problèmes dans Sophos Protection for Linux

Cette page explique comment résoudre les problèmes usuels dans Sophos Protection for Linux (SPL).

Erreurs d’installation

Conseil

Si vous avez besoin de plus d’informations sur une erreur, activez le niveau de journalisation Déboguer et exécutez à nouveau le programme d’installation. Voir Déboguer le programme d’installation léger.

./SophosSetup.sh : Autorisation refusée

Vous devez ajouter l’autorisation « execute » à SophosSetup.sh. Exécutez la commande suivante :

chmod +x SophosSetup.sh

Veuillez exécuter ce programme d’installation en tant que root

Vous devez exécuter SophosSetup.sh avec des privilèges root. Utilisez la commande sudo ou passez à l’utilisateur root.

Installation existante de SAV dans /opt/sophos-av/. Ce produit ne peut pas être exécuté avec Sophos Anti-Virus

Veuillez exécuter SophosSetup.sh avec --uninstall-sav pour supprimer Sophos Anti-Virus for Linux pendant l’installation de l’agent Sophos Protection for Linux.

L'installation de SPL va échouer : impossible d’installer 'path>'.

L'installation ne pourra pas être effectuée si vous référencez un lien symbolique. Réexécutez programme d’installation avec la commande --install-dir et utilisez le chemin d'accès au répertoire vers lequel pointe le lien symbolique.

Impossible de se connecter à Sophos Central - vérifiez vos connexions réseau

Votre machine Linux doit pouvoir se connecter à Internet et le trafic vers tous les domaines Sophos Central doit être autorisé avant que vous puissiez installer l’agent Sophos Protection for Linux. Voir Domaines et ports à autoriser.

L’installation de SPL est impossible car une connexion à Sophos Central n’a pas pu être établie

Les vérifications préalables à l’installation effectuées par Sophos seront impossibles si curl n’est pas installé sur l’appareil Linux. Installez curl et réessayez. Vous pouvez également voir les messages suivants :

  • L’installation de SPL est impossible car la connexion au serveur SUS n’a pas pu être établie
  • L’installation de SPL est impossible car une connexion à un serveur CDN n’a pas pu être établie

Échec de connexion au répertoire : erreur :

Vos appareils Linux sont assignés à un package logiciel qui a été retiré du marché. Modifiez votre stratégie de gestion des mises à jour et assignez vos appareils Linux à un package logiciel valide. Voir Stratégie de gestion des mises à jour serveurs.

Composants non exécutés ou dont l’installation a échoué.

Si un produit est manquant, assurez-vous tout d’abord d’avoir la licence le concernant.

Si le produit a été installé mais ne fonctionne pas, vérifiez les journaux des éléments en question. Procédez comme suit :

  • Consultez le journal du composant concerné ici : /opt/sophos-spl/plugins/<plugin name>/log.
  • Vérifiez le journal d'installation du composant concerné ici : /opt/sophos-spl/logs/installation/<component>_install.log.
  • Vérifiez le journal de surveillance pour voir si un composant n'a pas pu démarrer ici : /opt/sophos-spl/logs/base/watchdog.log.

Résolution des problèmes relatifs aux contrôles en temps réel

Le contrôle en temps réel ne fonctionne pas.

Dans Sophos Central, vérifiez les paramètres suivants dans la stratégie de protection contre les menaces de votre serveur :

  • Assurez-vous que la fonction Contrôle en temps réel - Fichiers locaux et partages réseau est activée.
  • Assurez-vous que la fonction Activer le contrôle pour Server Protection for Linux Agent est activée.

Sur votre appareil Linux, vérifiez les éléments suivants :

  • Les valeurs de onRead et de onWrite dans /opt/sophos-spl/base/mcs/policy/CORC_policy.xml sont définies sur true.
  • Les valeurs de onOpen et de onClose dans /opt/sophos-spl/plugins/av/var/on_access_policy.json sont définies sur true.

  • Vérifiez /opt/sophos-spl/plugins/av/log/soapd.log. Si l’un des messages suivants apparaît, le contrôle associé est désactivé :

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled

av.log shows "av > Quarantine failed for threat:"

SPL a détecté une menace mais n’a pas réussi à mettre le fichier en quarantaine. Vérifiez /opt/sophos-spl/plugins/av/log/safestore.log pour la détection. Le message suivant indique que SPL ne peut pas mettre le fichier en quarantaine :

safestore <> File at location: [PATH_TO_DETECTION] is immutable. Will not quarantine.

Les fichiers immuables ont un groupe de drapeaux indiquant que le fichier ne peut pas être modifié, déplacé, supprimé ou remplacé, même pas par l’utilisateur racine.

Résolution des problèmes de détections runtime

Les détections runtime ne fonctionnent pas

Allez dans Mes produits > Server > Stratégies et procédez comme suit :

  • Vérifiez la stratégie de Protection contre les menaces de votre appareil Linux et assurez-vous que la fonction Détections runtime Linux est activée. Voir Protection runtime.
  • Vérifiez la stratégie de détection runtime Linux de votre appareil Linux et assurez-vous que l’option Activer la Détection runtime Linux est activée.

Allez dans Mes produits* > Cloud Native Security > Profils et vérifiez les points suivants :

La Version de contenu dans Sophos Central a un numéro de compilation différent de celui de la version rtd_content_version affichée sur un appareil Linux.

Il est possible que la Version du contenu soit toujours à jour, même si le numéro de compilation est différent. Voir Version de contenu.

Dépannage du plug-in AV

La commande systemctl status sophos-spl retourne /opt/sophos-spl/plugins/av/sbin/sophos_Threat_Detector_Launcher mort avec 64.

SPL affiche également un état d’intégrité rouge dans Sophos Central accompagné du message « Non démarré : Sophos Linux AntiVirus ».

SPL est installé sur une distribution Linux ou un noyau qui ne supporte pas les fonctionnalités ambiantes. Retrouvez plus de renseignements sur la configuration système requise dans les Notes de publication de Sophos Protection pour Linux.

av.log shows "av > Health encountered an error resolving pid for ThreatDetector."

SPL affiche également un état d’intégrité rouge dans Sophos Central accompagné du message « Non démarré : Sophos Linux AntiVirus ».

SPL ne prend pas en charge l’exécution avec hidepid=1 ou hidepid=2 sur Ubuntu 20.04 et Ubuntu 22.04. Modifiez /etc/vfstab et supprimez l’option hidepid de la ligne de montage.

Résolution des problèmes d’isolement de l’appareil

Comment accéder à un appareil Linux isolé ?

Nous vous conseillons d’activer Autoriser les connexions Live Response aux serveurs. Cette option vous permet d’utiliser Live Response pour vous connecter à tous les serveurs pris en charge sur votre réseau. Voir Activer Live Response pour serveurs. Les super administrateurs Sophos Central ou les rôles qui incluent la fonction « Démarrer des sessions Live Response sur les serveurs » peuvent démarrer des sessions Live Response avec des appareils Linux isolés.

Si vous avez besoin d’accéder à un appareil Linux isolé par un moyen autre que Sophos Central, vous devrez utiliser des exclusions pour autoriser les services nécessaires à accéder à l’appareil. Voir Exclusions de l’isolement de l’appareil.