Logs do Sophos Protection for Linux
O Sophos Protection for Linux (SPL) inclui um extenso log no dispositivo endpoint que você pode utilizar para coletar informações ao resolver problemas e obter informações sobre a operação do produto.
Somente os logs de produtos licenciados aparecem em um dispositivo Linux.
Formato de log
A maioria das entradas de log SPL assume o seguinte formato:
<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>
Veja um exemplo:
180688 [2023-09-15T14:17:40.125] INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful
Nível de log
O nível de log global padrão para SPL é "INFO". Você pode alterar o nível de log do SPL editando /opt/sophos-spl/base/etc/logger.conf.local
e alterando o valor de VERBOSITY
. Os níveis de log válidos são os seguintes:
- DEPURAÇÃO
- SUPORTE
- INFO
- ALERTA
- ERRO
Nota
O nível de log reverte para "INFO" após atualizações ou reinicializações do SPL.
Você pode alterar o nível de log globalmente ou para cada componente individualmente.
Para alterar o nível de log globalmente, digite o seguinte texto em /opt/sophos-spl/base/etc/logger.conf.local
, substituindo [LOG_LEVEL] pelo nível de log desejado:
[global]
VERBOSITY = [LOG_LEVEL]
Para alterar o nível de log de componentes individuais, digite o seguinte texto em /opt/sophos-spl/base/etc/logger.conf.local
, substituindo [PROCESS] pelo nome do componente SPL desejado e [LOG_LEVEL] pelo nível de log desejado:
[PROCESS]
VERBOSITY = [LOG_LEVEL]
Dica
As chaves para a maioria dos processos Sophos são os nomes dos executáveis em minúsculas. Por exemplo, para alterar o nível de log para Updatescheduler, você usará [updatescheduler]. As exceções a esta regra são as seguintes:
- mcsrouter: [mcs_router]
- sophos_managementagent: [managementagent]
Salve suas alterações e reinicie o SPL para que as alterações entrem em vigor.
Dica
Você pode encontrar mais informações em /opt/sophos-spl/base/etc/logger.conf
.
Localizações de log
Arquivos de log base
O SPL armazena os logs dos componentes base em /opt/sophos-spl/logs
. Os componentes base incluem o processo de watchdog, atualização, telemetria, MCS e o Sophos Diagnostic Utility (SDU). Os arquivos de log base são os seguintes:
Logs de watchdog
/opt/sophos-spl/logs/base/watchdog.log
: Status dos processos SPL. Por exemplo, códigos de saída e o que foi iniciado pelo processo de watchdog./opt/sophos-spl/logs/base/wdctl.log
: Inclui detalhes para solicitações para parar e iniciar processos SPL.
Atualização de logs
/opt/sophos-spl/logs/base/sophosspl/updatescheduler.log
: Logs de detalhes da atualização. Por exemplo, quando uma atualização é iniciada e quando ela termina./opt/sophos-spl/logs/base/suldownloader.log
: O log de atualização principal. Contém os detalhes sobre atualizações e falhas de componentes./opt/sophos-spl/logs/base/suldownloader_sync.log
: Inclui detalhes sobre as conexões CDN e pacotes que o SPL baixa no endpoint. Isso inclui informações adicionais para o que está no log do suldownloader. Você pode usar essas informações para ajudar a solucionar falhas de atualização. O SPL substitui esse log sempre que é atualizado.
Logs de telemetria
/opt/sophos-spl/logs/base/sophosspl/tscheduler.log
: Inclui detalhes sobre a telemetria executada anteriormente e quando ela está agendada para ser executada./opt/sophos-spl/logs/base/sophosspl/telemetry.log
: Inclui detalhes sobre a telemetria obtida a partir de componentes. Também inclui detalhes sobre falhas.
MCS e logs de gerenciamento
/opt/sophos-spl/logs/base/sophosspl/mcsrouter.log
: Inclui detalhes sobre a comunicação entre o endpoint e o Sophos Central./opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log
: O conteúdo das mensagens fornecidas pelo MCS./opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log
: Inclui detalhes sobre quais políticas e comandos MCS são aplicados aos plug-ins SPL.
Logs da ferramenta de diagnóstico
/opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log
: Registra as solicitações remotas do Sophos Diagnostic Utility (SDU) em log./opt/sophos-spl/logs/base/diagnose.log
: Todos os itens que o SDU coleta durante a criação do arquivo.
Arquivos de log do plug-in
O SPL armazena os logs dos plug-ins em /opt/sophos-spl/plugins/<PLUGIN>/log
. Cada plug-in está em um diretório separado.
Nota
Se um log ou diretório não estiver presente em seu dispositivo Linux, certifique-se de que você tem a licença apropriada para esse plug-in. Somente os logs de produtos licenciados aparecem em um dispositivo Linux.
Os arquivos de log do plug-in são os seguintes:
Plug-in AV
/opt/sophos-spl/plugins/av/log/av.log
: O log principal para o plug-in AV. Ele mostra a maioria dos eventos importantes em um alto nível./opt/sophos-spl/plugins/av/log/soapd.log
: Inclui detalhes sobre o status do scanner em tempo real./opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log
: Inclui detalhes sobre quando as varreduras agendadas são disparadas./opt/sophos-spl/plugins/av/log/safestore.log
: Inclui detalhes sobre quais ameaças são colocadas em quarentena. Também mostra a atividade de nova varredura realizada em ameaças em quarentena. Por exemplo, varrer novamente quando você adiciona um novo arquivo a aplicativos permitidos./opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log
: Este log mostra o status do processo do scanner de ameaças. Esse processo executa as varreduras quando solicitado por outros processos, como a varredura em tempo real, o scanner agendado ou o scanner de linha de comando./opt/sophos-spl/plugins/av/chroot/log/susi_debug.log
: Inclui informações de depuração de baixo nível relacionadas ao plug-in AV. Por exemplo, o motivo pelo qual o scanner AV não consegue fazer a varredura de um arquivo.
Plug-in de isolamento de dispositivo
/opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log
: Inclui detalhes sobre o isolamento do dispositivo disparado no Sophos Central.
Plug-in EDR
/opt/sophos-spl/plugins/edr/log/edr.log
: O log principal para o plug-in EDR (Live Query). Ele mostra informações sobre a política do Live Query e o status das extensões osquery e Sophos./opt/sophos-spl/plugins/edr/log/livequery.log
: Inclui detalhes sobre as consultas ao Live Query disparadas no Sophos Central e executadas no endpoint./opt/sophos-spl/plugins/edr/log/scheduledquery.log
: Inclui informações sobre todas as consultas agendadas e quando são executadas./opt/sophos-spl/plugins/edr/log/edr_osquery.log
: Isso só é preenchido quando o EDR está no modo DEPURAÇÃO. Quando no modo DEPURAÇÃO, este log contém a saída de depuração do processo osquery.
Plug-in Event journaler
/opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log
: O status do plug-in Event Journaler. Inclui seu status de eventos recebidos dos plug-ins AV ou RTD.
Plug-in Response actions
/opt/sophos-spl/plugins/responseactions/log/responseactions.log
: Status do plug-in Response Action. Quaisquer ações a serem executadas são registradas aqui antes de serem executadas./opt/sophos-spl/plugins/responseactions/log/actionrunner.log
: Inclui detalhes sobre o status das ações de resposta (comandos, uploads, downloads) e se há problemas ao executar uma ação de resposta.
Plug-in Runtime detections (RTD)
/opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
: Detalhes sobre o status do plug-in RTD, incluindo as políticas que ele carregou e se houve alguma detecção.
Plug-in Live response
/opt/sophos-spl/plugins/liveresponse/log/liveresponse.log
: Inclui detalhes sobre o status do plug-in Live Response e quaisquer sessões do Live Terminal./opt/sophos-spl/plugins/liveresponse/log/sessions.log
: Inclui detalhes para cada sessão individual do Live Response. Por exemplo, o ID da sessão e a URL visitada.
Outros caminhos de log
Você pode encontrar logs para downgrade e instalação de produtos nos seguintes locais:
/opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/
: Este diretório contém todos os logs dos quais foi feito o backup durante o downgrade de um produto./opt/sophos-spl/logs/installation/
: Este diretório contém logs de instalação verbose.
Sophos Diagnostic Utility
O SDU reúne todos os logs do agente SPL, todos os plug-ins e os logs de auditoria.
Execute o comando:
/opt/sophos-spl/bin/sophos_diagnose
Isso envia um arquivo .tar.gz para o diretório de trabalho atual.
Para especificar onde o SDU cria o arquivo de saída de diagnóstico, execute o comando com o diretório desejado como o primeiro argumento. Por exemplo, para enviar a coleção de log de diagnóstico para /tmp
, execute o seguinte comando:
/opt/sophos-spl/bin/sophos_diagnose /tmp
Dica
Você também pode executar o SDU remotamente a partir do Sophos Central. Consulte Diagnosticar.
Logs do SPL no Sophos Central
O log no dispositivo endpoint oferece mais detalhes do que o log que aparece no Sophos Central. A guia Eventos, na página de detalhes de um servidor, permite visualizar os eventos no servidor. Consulte Eventos do servidor.
Alguns dos eventos que você pode ver são os seguintes:
- Eventos de atualização
- Detecções de malware e PUA
- Limpeza de malware e PUA
- Resultados de varreduras sob demanda
Dica
Você também pode ver os eventos na página Alertas. Consulte Alertas.