跳至內容

Sophos Protection for Linux 疑難排解

本頁詳細介紹了如何疑難排解 Sophos Protection for Linux (SPL) 中的常見錯誤。

安裝錯誤

提示

如果您需要更深入地瞭解錯誤,請打開偵錯日誌記錄並再次執行安裝程式。請參閱偵錯精簡型安裝程式

??? question "./SophosSetup.sh:權限遭拒“

您必須將執行權限新增到 SophosSetup.sh。執行以下指令:

```
chmod +x SophosSetup.sh
```

??? question “請以根權限執行此安裝程式"

您必須以根權限執行 SophosSetup.sh。使用 `sudo` 命令或切換到根使用者。
在 /opt/sophos-av/ 中找到 SAV 的現有安裝。此產品不能與 Sophos Anti-Virus 一起執行

在 Sophos Protection Agent for Linux 安裝過程中,必須使用 --uninstall-sav 旗標執行 SophosSetup.sh 以移除 Sophos Anti-Virus for Linux。

SPL 安裝將失敗,無法安裝至 '<path>'。

如果引用符號連結,安裝將失敗。您必須使用 --install-dir 命令重新執行安裝程式,並使用符號連結指向之目錄的路徑。

無法連線至 Sophos Central - 請檢查您的網路連線

您的 Linux 電腦必須能夠連線到網際網路,並且必須允許所有 Sophos Central 網域的流量,然後才能安裝 Sophos Protection Agent for Linux。請參閱要允許的網域和連接埠

SPL 安裝將失敗,因為無法建立與 Sophos Central 的連線

如果 Linux 裝置上未安裝 curl,Sophos 預安裝檢查將失敗。安裝 curl 並重試。您也可以查看以下訊息:

  • SPL 安裝將失敗,因為無法建立與 SUS 伺服器的連線
  • SPL 安裝將失敗,因為無法建立與 CDN 伺服器的連線
無法連線至儲存庫:錯誤:

您的 Linux 裝置指派至已淘汰的軟體套件。變更更新管理原則並將 Linux 裝置指派至目前的軟體套件。請參閱伺服器更新管理原則

元件未執行或安裝失敗。

如果缺少某個產品,請確保您擁有缺失產品的正確授權。

如果產品已安裝但未執行,請檢查記錄,瞭解有無相關元件。若要執行此操作,請依照以下步驟操作。

  • /opt/sophos-spl/plugins/<plugin name>/log 中檢查受影響元件的記錄。
  • /opt/sophos-spl/logs/installation/<component>_install.log 中檢查相關元件的安裝記錄。
  • /opt/sophos-spl/logs/base/watchdog.log 中檢查 Watchdog 記錄以查看元件是否無法啟動。

即時掃描疑難排解

即時掃描不工作。

在 Sophos Central 中,檢查您伺服器威脅保護原則中的以下設定:

  • 確保即時掃描 - 本機檔案和網路共享已開啟。
  • 確保為 Linux 代理程式版 Server Protection 啟用掃描已開啟。

在 Linux 裝置上,檢查以下項目:

  • /opt/sophos-spl/base/mcs/policy/CORC_policy.xmlonReadonWrite 的值為 true
  • /opt/sophos-spl/plugins/av/var/on_access_policy.jsononOpenonClose 的值為 true
  • 檢查 /opt/sophos-spl/plugins/av/log/soapd.log。如果出現以下任一行,則關聯的掃描將關閉:

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled
av.log 顯示 "av <> Quarantine failed for threat:"

SPL 偵測到威脅,但未能隔離檔案。檢查 /opt/sophos-spl/plugins/av/log/safestore.log 瞭解偵測。如果您看到以下訊息,則表示 SPL 無法隔離檔案:

safestore <> File at location: [PATH_TO_DETECTION] is immutable. Will not quarantine.

不可變更的檔案設定了一個標誌,指示無法變更、移動、刪除或覆寫該檔案,即使是根使用者也不行。

執行階段偵測疑難排解

執行階段偵測不工作

移至 我的產品 > Server > 原則 並執行以下操作:

  • 檢查 Linux 裝置的威脅保護原則並確保 Linux 執行階段偵測已開啟。請參閱執行階段保護
  • 檢查 Linux 裝置的 Linux 執行階段偵測原則並確保啟用 Linux 執行階段偵測已開啟。

移至我的產品* > Cloud Native Security > 設定檔並檢查以下內容:

Sophos Central 中的內容版本與 Linux 裝置上顯示的 rtd_content_version 的內部版本號不同。

即使內部版本號不同,內容版本仍可能是最新版本。請參閱內容版本

AV 外掛程式疑難排解

systemctl status sophos-spl 命令返回 /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64

SPL 還在 Sophos Central 中顯示紅色執行狀況狀態,並顯示訊息 "Not started: Sophos Linux AntiVirus"。

SPL 安裝在不支援環境功能的 Linux 發行版或內核上。請參閱 Sophos Protection for Linux 發行說明中的系統要求。

av.log 顯示 "av <> Health encountered an error resolving pid for ThreatDetector."

SPL 還在 Sophos Central 中顯示紅色執行狀況狀態,並顯示訊息 "Not started: Sophos Linux AntiVirus"。

SPL 不支援在 Ubuntu 20.04 和 Ubuntu 22.04 上以 hidepid=1hidepid=2 執行。您必須編輯 /etc/vfstab 並從掛載行移除 hidepid 選項。

裝置隔離疑難排解

如何存取隔離的 Linux 裝置?

建議開啟允許 Live Response 連線至伺服器。這使您可以使用 Live Response 連線至網路上任何受支援的伺服器。請參閱打開伺服器的實時響應。Sophos Central 超級管理員或包含「在伺服器上啟動 Live Response 工作階段」的角色可以使用隔離的 Linux 裝置啟動 Live Response 工作階段。

如果需要從 Sophos Central 外部存取隔離的 Linux 裝置,則必須使用排除項來允許存取該裝置所需的服務。請參閱裝置隔離排除項