跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Sophos Protection for Linux 增強功能

Sophos Protection for Linux (SPL)包括端點設備上的大量日誌記錄,您可以在故障排除時收集資訊並深入瞭解產品操作。

Linux設備上僅顯示許可產品的日誌。

記錄格式

大多數SPL日誌條目採用以下格式:

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

以下是一個範例:

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful

日誌等級

SPL的預設全局日誌級別爲"info"。您可以通過編輯 /opt/sophos-spl/base/etc/logger.conf.local 和更改的值來更改SPL的日誌級別 VERBOSITY。有效的日誌級別如下所示:

  • 偵錯
  • 支援
  • 資訊
  • 警告
  • 錯誤

注意

在SPL更新或重新啓動後,日誌級別將恢復爲"info"。

您可以全局更改日誌級別,也可以單獨更改每個組件的日誌級別。

==="全局日誌級別"

要全局更改日誌級別,請在中輸入以下文本 `/opt/sophos-spl/base/etc/logger.conf.local`,將[log_level]替換爲所需的日誌級別:

```
[global]
VERBOSITY = [LOG_LEVEL]
```

==="組件日誌級別"

要更改單個組件的日誌級別,請在中輸入以下文本 `/opt/sophos-spl/base/etc/logger.conf.local`,用所需的SPL組件的名稱替換[PROCESS],用所需的日誌級別替換[LOG_LEVEL]:

```
[PROCESS]
VERBOSITY = [LOG_LEVEL]
```

!!! tip "提示"

    大多數Sophos進程的密鑰都是可執行文件的小寫名稱。例如,要更改UpdateScheduler的日誌級別,您可以使用[updatesScheduler]。這一規則的例外情況如下:

    -   mcsrouter: \[mcs_router]
    -   sophos_managementagent: \[managementagent]

保存更改並重新啓動SPL以使更改生效。

提示

有關詳細資訊,請參見 /opt/sophos-spl/base/etc/logger.conf

日誌位置

基本日誌文件

SPL將基本組件的日誌存儲在 /opt/sophos-spl/logs。基本組件包括看門狗進程,更新,遙測,MCS和Sophos診斷實用程序(SDU)。基本日誌文件如下所示:

監視程序日誌

  • /opt/sophos-spl/logs/base/watchdog.log:SPL進程的狀態。例如,退出代碼和監視程序進程啓動的內容。
  • /opt/sophos-spl/logs/base/wdctl.log:包括停止和啓動SPL進程請求的詳細資訊。

正在更新日誌

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log:日誌更新詳細資訊。例如,當更新開始時和更新完成時。
  • /opt/sophos-spl/logs/base/suldownloader.log:主更新日誌。包含有關組件更新和故障的詳細資訊。
  • /opt/sophos-spl/logs/base/suldownloader_sync.log:包括有關SPL下載到端點的CDN連接和軟體包的詳細資訊。這包括對suldownloader日誌中內容的資訊添加劑。您可以使用此資訊來幫助排除更新失敗的故障。SPL每次更新時都會覆蓋此日誌。

遙測日誌

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log:包括先前執行的遙測以及計劃何時執行的詳細資訊。
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log:包括從組件收集的遙測資訊的詳細資訊。還包括有關任何故障的詳細資訊。

MCS和管理日誌

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log:包括有關端點和Sophos Central之間通信的詳細資訊。
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log:MCS提供的消息內容。
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log:包括原則和命令MCS應用於SPL插件的詳細資訊。

診斷工具日誌

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log:記錄遠程Sophos診斷實用程序(SDU)請求。
  • /opt/sophos-spl/logs/base/diagnose.log:SDU在創建存檔期間收集的所有項目。

插件日誌文件{#plugin-log-files}

SPL將插件的日誌存儲在 /opt/sophos-spl/plugins/<PLUGIN>/log。每個插件都位於單獨的目錄中。

注意

如果您的Linux設備上沒有日誌或目錄,請確保您擁有該插件的相應許可證。Linux設備上僅顯示許可產品的日誌。

插件日誌文件如下所示:

AV 外掛程式

  • /opt/sophos-spl/plugins/av/log/av.log:AV插件的主日誌。它顯示了大部分重要事件在一個高層次。
  • /opt/sophos-spl/plugins/av/log/soapd.log:包括實時掃描儀狀態的詳細資訊。
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log:包括有關何時觸發計劃掃描的詳細資訊。
  • /opt/sophos-spl/plugins/av/log/safestore.log:包括隔離哪些威脅的詳細資訊。還顯示對隔離威脅執行的重新掃描活動。例如,在將新文件添加到允許的應用程式時重新掃描。
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log:此日誌顯示威脅掃描程序進程的狀態。當其他進程(如實時掃描,計劃掃描儀或命令行掃描儀)請求時,此進程將執行掃描。
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log:包括與AV插件相關的低級調試資訊。例如,AV掃描儀無法掃描文件的原因。

設備隔離插件

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log:包括從Sophos Central觸發的設備隔離的詳細資訊。

EDR 外掛程式

  • /opt/sophos-spl/plugins/edr/log/edr.log:EDR (實時查詢)插件的主日誌。它顯示有關Live Query策略以及osquery和Sophos擴展的狀態的資訊。
  • /opt/sophos-spl/plugins/edr/log/livequery.log:包括有關在Sophos Central中觸發並在端點上執行的實時查詢的詳細資訊。
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log:包括有關所有計劃查詢及其執行時間的資訊。
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log:僅當EDR處於調試模式時,纔會填充此值。在調試模式下,此日誌包含osquery進程的調試輸出。

事件日誌程序插件

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log:Event Journaler插件的狀態。包括從AV或RTD插件接收事件的狀態。

響應操作插件

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log:響應操作插件的狀態。要執行的任何操作都會在執行之前記錄在此處。
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log:包括有關響應操作(命令,上載,下載)狀態以及執行響應操作時是否存在問題的詳細資訊。

執行時檢測(RTD)插件

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log:有關RTD插件狀態的詳細資訊,包括它已載入的原則以及是否有任何檢測。

實時響應插件

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log:包括實時響應插件和任何實時終端會話狀態的詳細資訊。
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log:包括每個實時響應會話的詳細資訊。例如,訪問的會話ID和URL。

其他日誌路徑

您可以在以下位置找到產品降級和安裝的日誌:

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/:此目錄包含在產品降級期間備份的任何日誌。
  • /opt/sophos-spl/logs/installation/:此目錄包含詳細的安裝日誌。

Sophos Diagnostic Utility

SDU從SPL代理,所有插件和審計日誌收集所有日誌。

執行 命令。

/opt/sophos-spl/bin/sophos_diagnose

這會將.tar.gz文件輸出到當前工作目錄。

要指定SDU創建診斷輸出文件的位置,請使用要作爲第一個參數的目錄執行命令。例如,要將診斷日誌集合輸出到 /tmp,請執行以下命令:

/opt/sophos-spl/bin/sophos_diagnose /tmp

提示

您無法執行來自 Sophos Central 的 'reboot' 命令。請參閱診斷

SPL登入Sophos Central

端點設備上的日誌記錄比Sophos Central中顯示的日誌記錄更詳細。伺服器詳細資訊頁面中的 事件 標籤使您可以檢視在伺服器上檢測到的事件。請參閱伺服器事件

您可以看到的一些事件如下:

  • 正在更新事件
  • 惡意軟體和 PUA 保護
  • 惡意軟體和 PUA 保護
  • 即時掃描設定

提示

您仍然可以在警示頁面上看到警告。請參閱警示