Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=ndr-troubleshooting

Risoluzione dei problemi di NDR

Risoluzione dei problemi di NDR.

Messaggi di stato di NDR

Sophos Central mostrerà tre stati diversi: rosso, giallo e verde. Uno stato rosso indica che l’integrazione non funziona. Uno stato giallo indica che l’integrazione funziona ma presenta errori. Uno stato verde significa che l’integrazione è integra e funziona senza problemi.

Stato di RED

NDR containers not ready, <specific container names>.

NDR non è in esecuzione perché una o più applicazioni non sono pronte. Di solito questo messaggio viene visualizzato quando il container dragonfly è bloccato in un loop di riavvio perché mancano dei set di istruzioni necessari per la CPU.

Per maggiori informazioni, è possibile utilizzare il comando sudo kubectl describe pod <pod name> nell’interfaccia della riga di comando (CLI) e cercare messaggi di errore alla fine dell’output. Contattare il Supporto Sophos e condividere le informazioni raccolte.

Upload to s3 failed. Request was received but an error code was returned. Error code: <S3 upload error>

Non è stato possibile caricare i dati di NDR in un bucket S3 utilizzando un URL pre-firmato. Normalmente questo problema si verifica quando non è stato configurato il firewall o il proxy web in modo da autorizzare il traffico in uscita su Internet; di conseguenza questo traffico viene bloccato. Se la modifica delle impostazioni del firewall o del proxy web non dovesse risolvere il problema, contattare il Supporto Sophos.

spanX: unhealthy span

L’appliance di rete di terze parti che invia il traffico SPAN di rete all’appliance NDR non è configurata correttamente. Per risolvere questo problema, è possibile utilizzare il link relativo ai problemi di mirroring delle porte/SPAN situato nella parte alta della pagina.

Stato giallo

spanX: packets being dropped

Oltre il 10% dei pacchetti di rete viene eliminato e l’appliance NDR ha bisogno di più risorse di sistema per funzionare correttamente. L’inserimento dei dati e l’elaborazione dei pacchetti di rete richiedono un uso intensivo della CPU e, se NDR non è in grado di assegnare un numero sufficiente di core della CPU, i pacchetti di rete vengono eliminati. Se si esegue NDR su una virtual machine (VM), occorre assegnare più core CPU alla VM e verificare se questo accorgimento risolve i problemi. Se si esegue NDR su hardware certificato, è possibile configurare un’altra appliance hardware e dividere il traffico SPAN di rete tra le due.

Anche le integrazioni di tipo agente di raccolta log di terze parti prevedono un uso intensivo della CPU quando si acquisiscono quantità elevate di messaggi syslog. Se l’appliance esegue più tipi di integrazioni, è consigliabile distribuirle tra più appliance, per garantire di avere le giuste risorse per ciascuna integrazione.

Stato verde

L’integrazione NDR riceve il traffico SPAN ed elabora i dati dei pacchetti di rete senza problemi.

Attualmente, la definizione di una porta SPAN integra è che almeno l’1% dei pacchetti di rete è unicast.