Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Logs do Sophos Protection for Linux

O Sophos Protection for Linux (SPL) inclui um extenso log no dispositivo endpoint que você pode utilizar para coletar informações ao resolver problemas e obter informações sobre a operação do produto.

Somente os logs de produtos licenciados aparecem em um dispositivo Linux.

Formato de log

A maioria das entradas de log SPL assume o seguinte formato:

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

Veja um exemplo:

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful

Nível de log

O nível de log global padrão para SPL é "INFO". Você pode alterar o nível de log do SPL editando /opt/sophos-spl/base/etc/logger.conf.local e alterando o valor de VERBOSITY. Os níveis de log válidos são os seguintes:

  • DEPURAÇÃO
  • SUPORTE
  • INFO
  • ALERTA
  • ERRO

Nota

O nível de log reverte para "INFO" após atualizações ou reinicializações do SPL.

Você pode alterar o nível de log globalmente ou para cada componente individualmente.

Para alterar o nível de log globalmente, digite o seguinte texto em /opt/sophos-spl/base/etc/logger.conf.local, substituindo [LOG_LEVEL] pelo nível de log desejado:

[global]
VERBOSITY = [LOG_LEVEL]

Para alterar o nível de log de componentes individuais, digite o seguinte texto em /opt/sophos-spl/base/etc/logger.conf.local, substituindo [PROCESS] pelo nome do componente SPL desejado e [LOG_LEVEL] pelo nível de log desejado:

[PROCESS]
VERBOSITY = [LOG_LEVEL]

Dica

As chaves para a maioria dos processos Sophos são os nomes dos executáveis em minúsculas. Por exemplo, para alterar o nível de log para Updatescheduler, você usará [updatescheduler]. As exceções a esta regra são as seguintes:

  • mcsrouter: [mcs_router]
  • sophos_managementagent: [managementagent]

Salve suas alterações e reinicie o SPL para que as alterações entrem em vigor.

Dica

Você pode encontrar mais informações em /opt/sophos-spl/base/etc/logger.conf.

Localizações de log

Arquivos de log base

O SPL armazena os logs dos componentes base em /opt/sophos-spl/logs. Os componentes base incluem o processo de watchdog, atualização, telemetria, MCS e o Sophos Diagnostic Utility (SDU). Os arquivos de log base são os seguintes:

Logs de watchdog

  • /opt/sophos-spl/logs/base/watchdog.log: Status dos processos SPL. Por exemplo, códigos de saída e o que foi iniciado pelo processo de watchdog.
  • /opt/sophos-spl/logs/base/wdctl.log: Inclui detalhes para solicitações para parar e iniciar processos SPL.

Atualização de logs

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: Logs de detalhes da atualização. Por exemplo, quando uma atualização é iniciada e quando ela termina.
  • /opt/sophos-spl/logs/base/suldownloader.log: O log de atualização principal. Contém os detalhes sobre atualizações e falhas de componentes.
  • /opt/sophos-spl/logs/base/suldownloader_sync.log: Inclui detalhes sobre as conexões CDN e pacotes que o SPL baixa no endpoint. Isso inclui informações adicionais para o que está no log do suldownloader. Você pode usar essas informações para ajudar a solucionar falhas de atualização. O SPL substitui esse log sempre que é atualizado.

Logs de telemetria

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log: Inclui detalhes sobre a telemetria executada anteriormente e quando ela está agendada para ser executada.
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log: Inclui detalhes sobre a telemetria obtida a partir de componentes. Também inclui detalhes sobre falhas.

MCS e logs de gerenciamento

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: Inclui detalhes sobre a comunicação entre o endpoint e o Sophos Central.
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: O conteúdo das mensagens fornecidas pelo MCS.
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: Inclui detalhes sobre quais políticas e comandos MCS são aplicados aos plug-ins SPL.

Logs da ferramenta de diagnóstico

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: Registra as solicitações remotas do Sophos Diagnostic Utility (SDU) em log.
  • /opt/sophos-spl/logs/base/diagnose.log: Todos os itens que o SDU coleta durante a criação do arquivo.

Arquivos de log do plug-in

O SPL armazena os logs dos plug-ins em /opt/sophos-spl/plugins/<PLUGIN>/log. Cada plug-in está em um diretório separado.

Nota

Se um log ou diretório não estiver presente em seu dispositivo Linux, certifique-se de que você tem a licença apropriada para esse plug-in. Somente os logs de produtos licenciados aparecem em um dispositivo Linux.

Os arquivos de log do plug-in são os seguintes:

Plug-in AV

  • /opt/sophos-spl/plugins/av/log/av.log: O log principal para o plug-in AV. Ele mostra a maioria dos eventos importantes em um alto nível.
  • /opt/sophos-spl/plugins/av/log/soapd.log: Inclui detalhes sobre o status do scanner em tempo real.
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: Inclui detalhes sobre quando as varreduras agendadas são disparadas.
  • /opt/sophos-spl/plugins/av/log/safestore.log: Inclui detalhes sobre quais ameaças são colocadas em quarentena. Também mostra a atividade de nova varredura realizada em ameaças em quarentena. Por exemplo, varrer novamente quando você adiciona um novo arquivo a aplicativos permitidos.
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: Este log mostra o status do processo do scanner de ameaças. Esse processo executa as varreduras quando solicitado por outros processos, como a varredura em tempo real, o scanner agendado ou o scanner de linha de comando.
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: Inclui informações de depuração de baixo nível relacionadas ao plug-in AV. Por exemplo, o motivo pelo qual o scanner AV não consegue fazer a varredura de um arquivo.

Plug-in de isolamento de dispositivo

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Inclui detalhes sobre o isolamento do dispositivo disparado no Sophos Central.

Plug-in EDR

  • /opt/sophos-spl/plugins/edr/log/edr.log: O log principal para o plug-in EDR (Live Query). Ele mostra informações sobre a política do Live Query e o status das extensões osquery e Sophos.
  • /opt/sophos-spl/plugins/edr/log/livequery.log: Inclui detalhes sobre as consultas ao Live Query disparadas no Sophos Central e executadas no endpoint.
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log: Inclui informações sobre todas as consultas agendadas e quando são executadas.
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log: Isso só é preenchido quando o EDR está no modo DEPURAÇÃO. Quando no modo DEPURAÇÃO, este log contém a saída de depuração do processo osquery.

Plug-in Event journaler

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: O status do plug-in Event Journaler. Inclui seu status de eventos recebidos dos plug-ins AV ou RTD.

Plug-in Response actions

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log: Status do plug-in Response Action. Quaisquer ações a serem executadas são registradas aqui antes de serem executadas.
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log: Inclui detalhes sobre o status das ações de resposta (comandos, uploads, downloads) e se há problemas ao executar uma ação de resposta.

Plug-in Runtime detections (RTD)

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: Detalhes sobre o status do plug-in RTD, incluindo as políticas que ele carregou e se houve alguma detecção.

Plug-in Live response

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: Inclui detalhes sobre o status do plug-in Live Response e quaisquer sessões do Live Terminal.
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log: Inclui detalhes para cada sessão individual do Live Response. Por exemplo, o ID da sessão e a URL visitada.

Outros caminhos de log

Você pode encontrar logs para downgrade e instalação de produtos nos seguintes locais:

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: Este diretório contém todos os logs dos quais foi feito o backup durante o downgrade de um produto.
  • /opt/sophos-spl/logs/installation/: Este diretório contém logs de instalação verbose.

Sophos Diagnostic Utility

O SDU reúne todos os logs do agente SPL, todos os plug-ins e os logs de auditoria.

Execute o comando:

/opt/sophos-spl/bin/sophos_diagnose

Isso envia um arquivo .tar.gz para o diretório de trabalho atual.

Para especificar onde o SDU cria o arquivo de saída de diagnóstico, execute o comando com o diretório desejado como o primeiro argumento. Por exemplo, para enviar a coleção de log de diagnóstico para /tmp, execute o seguinte comando:

/opt/sophos-spl/bin/sophos_diagnose /tmp

Dica

Você também pode executar o SDU remotamente a partir do Sophos Central. Consulte Diagnosticar.

Logs do SPL no Sophos Central

O log no dispositivo endpoint oferece mais detalhes do que o log que aparece no Sophos Central. A guia Eventos, na página de detalhes de um servidor, permite visualizar os eventos no servidor. Consulte Eventos do servidor.

Alguns dos eventos que você pode ver são os seguintes:

  • Eventos de atualização
  • Detecções de malware e PUA
  • Limpeza de malware e PUA
  • Resultados de varreduras sob demanda

Dica

Você também pode ver os eventos na página Alertas. Consulte Alertas.