Sophos Protection for Linux のログ
Sophos Protection for Linux (SPL) には、トラブルシューティング時に情報を収集したり、製品の動作を把握したりするために使用できる広範なログがエンドポイントデバイス上に含まれています。
Linux デバイスでは、ライセンス製品のログのみが表示されます。
ログの形式
大半の SPL ログエントリは、次の形式になります。
<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>
次に例を示します。
180688 [2023-09-15T14:17:40.125] INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful
ログレベル
SPL のデフォルトのグローバル ログ レベルは "INFO" です。SPL のログレベルを変更するには、/opt/sophos-spl/base/etc/logger.conf.local を編集し、VERBOSITY の値を変更し ます。有効なログレベルは次のとおりです。
- DEBUG
- SUPPORT
- INFO
- 警告
- エラー
注
SPL の更新または再起動後、ログレベルは "INFO" に戻ります。
ログレベルは、グローバルに変更することも、コンポーネントごとに個別に変更することもできます。
ログレベルをグローバルに変更するには、 [LOG_LEVEL] を目的のログレベルに置き換えて、次のテキストを /opt/sophos-spl/base/etc/logger.conf.local に入力し ます。
[global]
VERBOSITY = [LOG_LEVEL]
個々のコンポーネントのログレベルを変更するには、 [LOG_LEVEL] を目的のログレベルに置き換えて、次のテキストを /opt/sophos-spl/base/etc/logger.conf.local に入力し ます。
[PROCESS]
VERBOSITY = [LOG_LEVEL]
ヒント
大半のソフォスプロセスのキーは、実行可能ファイルの名前を小文字で表しています。たとえば、Updatescheduler のログレベルを変更するには、[updatescheduler] を使用します。この規則の例外は次のとおりです。
- mcsrouter: [mcs_router]
- sophos_managementagent: [managementagent]
変更を保存し、SPL を再起動して変更を有効にします。
ヒント
詳細は、/opt/sophos-spl/base/etc/logger.conf を参照してください。
ログの場所
基本ログファイル
SPL は、基本コンポーネントのログを /opt/sophos-spl/logs に保存し ます。基本コンポーネントには、Watchdog プロセス、アップデート、テレメトリ、MCS、および Sophos Diagnostic Utility (SDU) が含まれます。基本ログファイルは次の通りです。
Watchdog ログ
/opt/sophos-spl/logs/base/watchdog.log: SPL プロセスのステータス。たとえば、終了コードと Watchdog プロセスによって開始されたものなどです。/opt/sophos-spl/logs/base/wdctl.log: SPL プロセスの停止および開始要求の詳細が含まれます。
ログの更新
/opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: ログ更新の詳細。たとえば、更新が開始されたときと終了したときなどです。/opt/sophos-spl/logs/base/suldownloader.log: メインの更新ログ。コンポーネントの更新と障害の詳細が含まれます。/opt/sophos-spl/logs/base/suldownloader_sync.log: エンドポイントにダウンロードされる CDN 接続とパッケージの詳細が含まれています。これには、suldownloader ログにある情報への追加情報が含まれます。この情報を使用して、アップデートの失敗のトラブルシューティングを行うことができます。SPL は、このログを更新するごとに上書きします。
テレメトリログ
/opt/sophos-spl/logs/base/sophosspl/tscheduler.log: 以前に実行したテレメトリと、実行がスケジュールされているタイミングでの詳細情報が含まれます。/opt/sophos-spl/logs/base/sophosspl/telemetry.log: コンポーネントから収集されたテレメトリの詳細が含まれます。障害の詳細も含まれます。
MCS と管理ログ
/opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: エンドポイントと Sophos Central 間の通信の詳細が含まれています。/opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: MCS によって提供されるメッセージの内容。/opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: SPL プラグインに適用される MCS のポリシーとコマンドの詳細が含まれます。
診断ツールログ
/opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: リモートの Sophos Diagnostic Utility (SDU) 要求をログに記録します。/opt/sophos-spl/logs/base/diagnose.log: アーカイブの作成中に SDU が収集するすべての項目。
プラグイン ログ ファイル
SPL はプラグインのログを /opt/sophos-spl/plugins/<PLUGIN>/log に保存し ます。各プラグインは別のディレクトリにあります。
注
Linux デバイスにログまたはディレクトリが存在しない場合は、そのプラグインに適切なライセンスがあることを確認してください。Linux デバイスでは、ライセンス製品のログのみが表示されます。
プラグイン ログは以下です。
AV プラグイン
/opt/sophos-spl/plugins/av/log/av.log: AV プラグインのメインログ。重要な高レベルのイベントの大半を表示しています。/opt/sophos-spl/plugins/av/log/soapd.log: リアルタイムスキャナのステータスの詳細が表示されます。/opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: スケジュール検索が開始されるタイミングの詳細が含まれます。/opt/sophos-spl/plugins/av/log/safestore.log: 隔離される脅威の詳細が含まれます。隔離された脅威に対して実行された再険悪アクティビティも表示されます。たとえば、許可されたアプリケーションに新しいファイルを追加する際に再検索します。/opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: このログには、脅威スキャナプロセスのステータスが表示されます。このプロセスでは、リアルタイム検索、スケジュール検索、コマンドラインスキャナなどの他のプロセスから要求された場合に検索が実行されます。/opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: AV プラグインに関連する低レベルのデバッグ情報が含まれます。たとえば、AV スキャナがファイルを検索できない理由などです。
デバイス隔離のプラグイン
/opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Sophos Central から開始されたデバイス隔離の詳細が含まれます。
EDR プラグイン
/opt/sophos-spl/plugins/edr/log/edr.log: EDR (Live Query) プラグインのメインログ。Live Query ポリシーに関する情報と、osquery およびソフォス拡張機能のステータスが表示されます。/opt/sophos-spl/plugins/edr/log/livequery.log: Sophos Central で開始され、エンドポイントで実行される Live Query の詳細が含まれています。/opt/sophos-spl/plugins/edr/log/scheduledquery.log: スケジュールされたすべてのクエリーとその実行時刻に関する情報が含まれます。/opt/sophos-spl/plugins/edr/log/edr_osquery.log: EDR が DEBUG モードの場合にのみ入力されます。DEBUG モードの場合、このログには osquery プロセスのデバッグ出力が含まれます。
Event Journaler プラグイン
/opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: Event Journaler プラグインのステータス。AV または RTD プラグインからのイベント受信に関するステータスが含まれます。
Response Action プラグイン
/opt/sophos-spl/plugins/responseactions/log/responseactions.log: Response Action プラグインのステータス。実行するアクションはすべて、実行前にここに記録されます。/opt/sophos-spl/plugins/responseactions/log/actionrunner.log: 応答アクション (コマンド、アップロード、ダウンロード) のステータス、および応答アクションの実行時に問題が発生したかどうかの詳細が含まれます。
ランタイム検知 (RTD) プラグイン
/opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: ロードされたポリシーや検出されたかどうかなどを含む、RTD プラグインのステータスの詳細。
Live Response プラグイン
/opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: Live Response プラグインのステータスとライブのターミナルセッションの詳細が含まれます。/opt/sophos-spl/plugins/liveresponse/log/sessions.log: 個々の Live Response セッションの詳細が含まれます。たとえば、アクセスしたセッション ID と URL などです。
その他のログパス
製品のダウングレードおよびインストールに関するログは、次の場所にあります。
/opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: このディレクトリには、製品のダウングレード中にバックアップされたすべてのログが含まれます。/opt/sophos-spl/logs/installation/: このディレクトリには、詳細なインストールログが含まれています。
Sophos Diagnostic Utility
SDU は、SPL エージェント、すべてのプラグイン、および監査ログからすべてのログを収集します。
次のコマンドを実行します:
/opt/sophos-spl/bin/sophos_diagnose
これにより、現在の作業ディレクトリに.tar.gz ファイルが出力されます。
SDU が診断出力ファイルを作成する場所を指定するには、最初の引数として目的のディレクトリを指定してコマンドを実行します。たとえば、診断ログ収集を /tmp に出力するには 、次のコマンドを実行します。
/opt/sophos-spl/bin/sophos_diagnose /tmp
ヒント
SDU は、Sophos Central からリモートで実行することもできます。詳細は、診断を参照してください。
Sophos Central の SPL ログ
エンドポイントデバイスでのログ記録は、Sophos Central に表示されるログ記録よりも詳細です。サーバーの詳細ページの「イベント」タブには、サーバーのイベントが表示されます。詳細は、サーバーのイベントを参照してください。
次のようなイベントが表示されます。
- イベントの更新
- マルウェアおよび PUA の検出
- マルウェアおよび PUA のクリーンアップ
- オンデマンド検索の結果
ヒント
イベントは「警告」ページにも表示されます 。詳細は、警告を参照してください。