NDR 故障排除

NDR 無法運作，因為一個或多個應用程式尚未準備就緒。當 dragonfly 容器因缺少必要的 CPU 指令集而陷入重新啟動循環時，通常會看到此訊息。

如需更多資訊，您可以在 CLI 中使用sudo kubectl describe pod <pod name> 指令，並查看輸出結果末尾的錯誤訊息。請聯絡 Sophos 技術支援並分享您收集到的資訊。

無法使用預先簽署的 URL 將 NDR 資料上傳至 S3 貯體。此問題通常發生在您的防火牆或 Web 代理未設定允許對外流量至網際網路，導致該流量被封鎖。如果更改防火牆或 Web 代理設定無法解決問題，請聯絡 Sophos 技術支援。

傳送網路跨接流量到 NDR 裝置的第三方網路設備未正確設定。聯絡 Sophos 支援。

超過 10% 的網路封包被丟棄，NDR 裝置需要更多的系統資源才能正常運作。網路封包的擷取和處理需要大量 CPU 資源，如果 NDR 無法取得足夠的 CPU 核心來處理這些封包，則會丟棄網路封包。如果您在虛擬機器 (VM) 上執行 NDR，則必須為 VM 分配更多的 CPU 核心，並檢查這是否能解決問題。如果您在經認證的硬體上執行 NDR，您可以設置另一個硬體裝置，並將網路跨接流量分配到兩者之間。

當擷取大量 syslog 訊息時，第三方日誌收集器整合也需要大量的 CPU 資源。如果您的設備正在執行多種類型的整合，請考慮將它們分散到多個設備，以確保每個整合擁有適當的資源。

為了解決此問題並確保產生偵測，請按以下步驟操作：

產測測試偵測。請參見 產生偵測 (NDR)。

在您的 NDR 設備上執行以下查詢：

SELECT SrcIp,DestIp,Hostname,ClientToServerBytes,ServerToClientBytes,Vlan,ClusterId FROM dragonfly WHERE DestPort=2222 LIMIT 100;

有關執行查詢的資訊，請參閱 NDR 查詢。

如果您看到選擇的 VLAN 以及 VLAN0，則需要啟用 VLAN Strip (VLAN 剝離)。請參閱 整體設定。