Sophos Protection for Linux 增強功能
Sophos Protection for Linux (SPL)包括端點設備上的大量日誌記錄,您可以在故障排除時收集資訊並深入瞭解產品操作。
Linux設備上僅顯示許可產品的日誌。
記錄格式
大多數SPL日誌條目採用以下格式:
<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>
以下是一個範例:
180688 [2023-09-15T14:17:40.125] INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful
日誌等級
SPL的預設全局日誌級別爲"info"。您可以通過編輯 /opt/sophos-spl/base/etc/logger.conf.local
和更改的值來更改SPL的日誌級別 VERBOSITY
。有效的日誌級別如下所示:
- 偵錯
- 支援
- 資訊
- 警告
- 錯誤
注意
在SPL更新或重新啓動後,日誌級別將恢復爲"info"。
您可以全局更改日誌級別,也可以單獨更改每個組件的日誌級別。
==="全局日誌級別"
要全局更改日誌級別,請在中輸入以下文本 `/opt/sophos-spl/base/etc/logger.conf.local`,將[log_level]替換爲所需的日誌級別:
```
[global]
VERBOSITY = [LOG_LEVEL]
```
==="組件日誌級別"
要更改單個組件的日誌級別,請在中輸入以下文本 `/opt/sophos-spl/base/etc/logger.conf.local`,用所需的SPL組件的名稱替換[PROCESS],用所需的日誌級別替換[LOG_LEVEL]:
```
[PROCESS]
VERBOSITY = [LOG_LEVEL]
```
!!! tip "提示"
大多數Sophos進程的密鑰都是可執行文件的小寫名稱。例如,要更改UpdateScheduler的日誌級別,您可以使用[updatesScheduler]。這一規則的例外情況如下:
- mcsrouter: \[mcs_router]
- sophos_managementagent: \[managementagent]
保存更改並重新啓動SPL以使更改生效。
提示
有關詳細資訊,請參見 /opt/sophos-spl/base/etc/logger.conf
。
日誌位置
基本日誌文件
SPL將基本組件的日誌存儲在 /opt/sophos-spl/logs
。基本組件包括看門狗進程,更新,遙測,MCS和Sophos診斷實用程序(SDU)。基本日誌文件如下所示:
監視程序日誌
/opt/sophos-spl/logs/base/watchdog.log
:SPL進程的狀態。例如,退出代碼和監視程序進程啓動的內容。/opt/sophos-spl/logs/base/wdctl.log
:包括停止和啓動SPL進程請求的詳細資訊。
正在更新日誌
/opt/sophos-spl/logs/base/sophosspl/updatescheduler.log
:日誌更新詳細資訊。例如,當更新開始時和更新完成時。/opt/sophos-spl/logs/base/suldownloader.log
:主更新日誌。包含有關組件更新和故障的詳細資訊。/opt/sophos-spl/logs/base/suldownloader_sync.log
:包括有關SPL下載到端點的CDN連接和軟體包的詳細資訊。這包括對suldownloader日誌中內容的資訊添加劑。您可以使用此資訊來幫助排除更新失敗的故障。SPL每次更新時都會覆蓋此日誌。
遙測日誌
/opt/sophos-spl/logs/base/sophosspl/tscheduler.log
:包括先前執行的遙測以及計劃何時執行的詳細資訊。/opt/sophos-spl/logs/base/sophosspl/telemetry.log
:包括從組件收集的遙測資訊的詳細資訊。還包括有關任何故障的詳細資訊。
MCS和管理日誌
/opt/sophos-spl/logs/base/sophosspl/mcsrouter.log
:包括有關端點和Sophos Central之間通信的詳細資訊。/opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log
:MCS提供的消息內容。/opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log
:包括原則和命令MCS應用於SPL插件的詳細資訊。
診斷工具日誌
/opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log
:記錄遠程Sophos診斷實用程序(SDU)請求。/opt/sophos-spl/logs/base/diagnose.log
:SDU在創建存檔期間收集的所有項目。
插件日誌文件{#plugin-log-files}
SPL將插件的日誌存儲在 /opt/sophos-spl/plugins/<PLUGIN>/log
。每個插件都位於單獨的目錄中。
注意
如果您的Linux設備上沒有日誌或目錄,請確保您擁有該插件的相應許可證。Linux設備上僅顯示許可產品的日誌。
插件日誌文件如下所示:
AV 外掛程式
/opt/sophos-spl/plugins/av/log/av.log
:AV插件的主日誌。它顯示了大部分重要事件在一個高層次。/opt/sophos-spl/plugins/av/log/soapd.log
:包括實時掃描儀狀態的詳細資訊。/opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log
:包括有關何時觸發計劃掃描的詳細資訊。/opt/sophos-spl/plugins/av/log/safestore.log
:包括隔離哪些威脅的詳細資訊。還顯示對隔離威脅執行的重新掃描活動。例如,在將新文件添加到允許的應用程式時重新掃描。/opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log
:此日誌顯示威脅掃描程序進程的狀態。當其他進程(如實時掃描,計劃掃描儀或命令行掃描儀)請求時,此進程將執行掃描。/opt/sophos-spl/plugins/av/chroot/log/susi_debug.log
:包括與AV插件相關的低級調試資訊。例如,AV掃描儀無法掃描文件的原因。
設備隔離插件
/opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log
:包括從Sophos Central觸發的設備隔離的詳細資訊。
EDR 外掛程式
/opt/sophos-spl/plugins/edr/log/edr.log
:EDR (實時查詢)插件的主日誌。它顯示有關Live Query策略以及osquery和Sophos擴展的狀態的資訊。/opt/sophos-spl/plugins/edr/log/livequery.log
:包括有關在Sophos Central中觸發並在端點上執行的實時查詢的詳細資訊。/opt/sophos-spl/plugins/edr/log/scheduledquery.log
:包括有關所有計劃查詢及其執行時間的資訊。/opt/sophos-spl/plugins/edr/log/edr_osquery.log
:僅當EDR處於調試模式時,纔會填充此值。在調試模式下,此日誌包含osquery進程的調試輸出。
事件日誌程序插件
/opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log
:Event Journaler插件的狀態。包括從AV或RTD插件接收事件的狀態。
響應操作插件
/opt/sophos-spl/plugins/responseactions/log/responseactions.log
:響應操作插件的狀態。要執行的任何操作都會在執行之前記錄在此處。/opt/sophos-spl/plugins/responseactions/log/actionrunner.log
:包括有關響應操作(命令,上載,下載)狀態以及執行響應操作時是否存在問題的詳細資訊。
執行時檢測(RTD)插件
/opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
:有關RTD插件狀態的詳細資訊,包括它已載入的原則以及是否有任何檢測。
實時響應插件
/opt/sophos-spl/plugins/liveresponse/log/liveresponse.log
:包括實時響應插件和任何實時終端會話狀態的詳細資訊。/opt/sophos-spl/plugins/liveresponse/log/sessions.log
:包括每個實時響應會話的詳細資訊。例如,訪問的會話ID和URL。
其他日誌路徑
您可以在以下位置找到產品降級和安裝的日誌:
/opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/
:此目錄包含在產品降級期間備份的任何日誌。/opt/sophos-spl/logs/installation/
:此目錄包含詳細的安裝日誌。
Sophos Diagnostic Utility
SDU從SPL代理,所有插件和審計日誌收集所有日誌。
執行 命令。
/opt/sophos-spl/bin/sophos_diagnose
這會將.tar.gz文件輸出到當前工作目錄。
要指定SDU創建診斷輸出文件的位置,請使用要作爲第一個參數的目錄執行命令。例如,要將診斷日誌集合輸出到 /tmp
,請執行以下命令:
/opt/sophos-spl/bin/sophos_diagnose /tmp
提示
您無法執行來自 Sophos Central 的 'reboot' 命令。請參閱診斷。
SPL登入Sophos Central
端點設備上的日誌記錄比Sophos Central中顯示的日誌記錄更詳細。伺服器詳細資訊頁面中的 事件 標籤使您可以檢視在伺服器上檢測到的事件。請參閱伺服器事件。
您可以看到的一些事件如下:
- 正在更新事件
- 惡意軟體和 PUA 保護
- 惡意軟體和 PUA 保護
- 即時掃描設定
提示
您仍然可以在警示頁面上看到警告。請參閱警示。