Sophos Protection for Linux のトラブルシューティング

./SophosSetup.sh: アクセス許可が拒否されました

SophosSetup.sh に実行の権限を追加する必要があります。次のコマンドを実行します。

chmod +x SophosSetup.sh

このインストーラを root 権限で実行してください

SophosSetup.sh は root 権限で実行する必要があります。sudo コマンドを使用するか、root ユーザーに切り替えます。

/opt/sophos-av/ に既存の SAV のインストールが見つかりました。この製品は「Sophos Anti-Virus」と併用して実行できません

SPL のインストール中に、Sophos Anti-Virus for Linux を削除するには、--uninstall-sav フラグを付けて SophosSetup.sh を実行する必要があります。

SPL のインストールに失敗し、'path>' にインストールできません。

シンボリックリンクを参照すると、インストールは失敗します。--install-dir コマンドを使用してインストーラを再実行し、シンボリックリンクがポイントするディレクトリへのパスを使用する必要があります。

Sophos Central に接続できません - ネットワーク接続を確認してください

SPL をインストールするには、Linux マシンがインターネットに接続でき、すべての Sophos Central のドメインへのトラフィックが許可されている必要があります。詳細は、許可するドメインおよびポートを参照してください。

Sophos Central への接続を確立できなかったため、SPL のインストールに失敗します

curl が Linux デバイスにインストールされていない場合、ソフォスのインストール前のチェックは失敗します。curl をインストールして、再度実行してください。以下の詳細も確認できます。

• SUS サーバーへの接続を確立できなかったため、SPL のインストールに失敗する
• CDN サーバへの接続を確立できなかったため、SPL のインストールが失敗する

リポジトリへの接続に失敗しました：エラー：

Linux デバイスは、製品サポートが終了しているソフトウェアパッケージに割り当てられています。アップデート管理ポリシーを変更し、Linux デバイスを現在のソフトウェアパッケージに割り当てます。詳細は、サーバーのアップデートの管理ポリシーを参照してください。

コンポーネントが実行されていないか、インストールに失敗しています。

製品が見つからない場合は、その製品の正しいライセンスを持っているかどうかを確認してください。

製品がインストールされていても実行されていない場合は、関連するコンポーネントのログを確認します。これには、次の手順を実行します。

• 影響を受けるコンポーネントのログを /opt/sophos-spl/plugins/<plugin name>/log で確認します。
• 関連するコンポーネントのインストールログを /opt/sophos-spl/logs/installation/<component>_install.log で参照して ください。
• Watchdog ログをチェックして、コンポーネントが /opt/sophos-spl/logs/base/watchdog.log で起動できなかったかどうかを確認します 。

リアルタイム検索が機能していません。

Sophos Central で、サーバーの脅威対策ポリシーで次の設定を確認します。

• 「リアルタイム検索 - ローカルファイルとネットワーク共有」がオンになっていることを確認します。
• 「Server Protection for Linux Agent のスキャンを有効化する」がオンになっていることを確認します。

Linux デバイスで、次の項目を確認します。

• /opt/sophos-spl/base/mcs/policy/CORC_policy.xml の onRead および onWrite の値は true です 。
• /opt/sophos-spl/plugins/av/var/on_access_policy.json の onOpen および onClose の値は true です 。

• /opt/sophos-spl/plugins/av/log/soapd.log を確認します。次のいずれかの行が表示された場合は、関連付けられている検索がオフになります。

  • soapd_bootstrap <> Scanning on-open disabled
  • soapd_bootstrap <> Scanning on-close disabled

av.log shows "av > Quarantine failed for threat:"

SPL は脅威を検出しましたが、ファイルの隔離に失敗しました。/opt/sophos-spl/plugins/av/log/safestore.log 検出を確認します。次のメッセージが表示された場合は、SPL がファイルを隔離できないことを意味します。

safestore <> File at location: [PATH_TO_DETECTION] is immutable.Will not quarantine.

不変ファイルには、root ユーザーであっても、ファイルを変更、移動、削除、または上書きできないことを示すフラグが設定されます。

ランタイム検出が機能しない

「マイプロダクト > Server > ポリシー」の順に選択して次の操作を実行します。

• Linux デバイスの脅威対策ポリシーを確認し、「Linux ランタイム検知」がオンになっていることを確認します。詳細は、ランタイム保護を参照してください。
• Linux デバイスの Linux ランタイム検知ポリシーを確認し、「Linux のランタイム検知の有効化」がオンになっていることを確認します。

「マイプロダクト* > Cloud Native Security > プロファイル」の順に選択して以下を確認します。

• Linux ランタイム検知ポリシーの Linux ランタイム検知プロファイルに、検出漏れに対するルールが含まれていることを確認します。詳細は、Linux ランタイム検知プロファイルの詳細設定を参照してください。
• Linux ランタイム検知プロファイルのルールが有効になっていることを確認します。詳細は、ルールの詳細を参照してください。

Sophos Central のコンテンツバージョンは、Linux デバイスで表示される rtd_content_version と異なるビルド番号である場合があります。

ビルド番号が異なる場合でも、コンテンツバージョンは最新である場合があります。詳細は、コンテンツバージョンを参照してください。

systemctl status Sophos -spl コマンドは /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64 を返します。

SPL では、Sophos Central のセキュリティ状態が赤色で、"未開始: Sophos Linux AntiVirus" というメッセージも表示されます。

SPL は、アンビエント機能をサポート Linux ディストリビューションまたはカーネルにインストールされます。システム要件については、Sophos Protection of Linux リリースノートを参照してください。

av.log shows "av > Health encountered an error resolving pid for ThreatDetector."

SPL では、Sophos Central のセキュリティ状態が赤色で、"未開始: Sophos Linux AntiVirus" というメッセージも表示されます。

SPL が Ubuntu 20.04 または Ubuntu 22.04 では、hidepid=1 または hidepid=2 での実行をサポートしていません。マウントラインで /etc/vfstab を編集して hidepid オプションを削除する必要があります。

隔離された Linux デバイスにアクセスするにはどうすればよいですか？

「サーバーへの Live Response 接続を許可する」をオンにすることをお薦めします。これをオンにすると、ネットワーク上の対応サポーする任意のサーバーに、Live Response を使用して接続できます。詳細は、サーバー向け Live Response をオンにするを参照してください。Sophos Central スーパー管理者または「サーバーで Live Response セッションを開始する」を含むロールは、隔離された Linuxデバイスで Live Response セッションを開始できます。

Sophos Central の外部から隔離された Linux デバイスにアクセスする必要がある場合は、デバイスへのアクセスに必要なサービスを許可するために除外を使用する必要があります。詳細は、デバイスの隔離の除外を参照してください。