Aller au contenu

Résolution des problèmes

Cette section vous indique comment résoudre les problèmes usuels avec l’appliance virtuelle Sophos.

Mon appliance virtuelle ne s’initialise pas lorsque je la démarre pour la première fois.

Au cours de son premier démarrage, la machine virtuelle (VM) recherche une connexion Internet en envoyant une requête ping sophos.com et en attendant une réponse pendant 5 secondes. Ce contrôle est répété jusqu’à 6 fois. Si aucune connexion Internet n’est détectée, veuillez éteindre la machine virtuelle et résoudre le problème.

Suivez les instructions de la section « Pas de connexion Internet », puis redémarrez la machine virtuelle.

Voici un exemple de l’écran d’échec du premier démarrage.

Échec du premier démarrage

Pas de connexion Internet.

La machine virtuelle doit envoyer et recevoir HTTP, HTTPS, DNS et NTP. Elle a également besoin de DHCP si le réseau de gestion est configuré.

Vérifiez les points suivants :

  • Si votre pare-feu utilise le filtrage de site Web, la machine virtuelle peut-elle accéder à ces domaines ?

    • sophos.com : utilisé pour la communication avec Sophos Central.
    • archive.ubuntu.com : utilisé pour les mises à jour de base du système d’exploitation.
    • ntp.ubuntu.com : utilisé pour la synchronisation NTP.
    • baltocdn.com : utilisé pour les mises à jour du package Helm.
    • sophossecops.jfrog.io : utilisé pour nos serveurs de dépôt.
    • docker.io : utilisé pour les conteneurs Clickhouse et RedisDB.
    • amazon.com, amazonaws.com : utilisés pour télécharger des données dans les compartiments S3.

  • Un proxy Web bloque-t-il l’accès à Internet ?

  • L’appliance virtuelle Sophos peut-elle lire les paquets réseau marqués avec un ID VLAN sur les interfaces réseau de gestion et Syslog ?
  • Si une adresse IP manuelle a été configurée dans Sophos Central, les paramètres sont-ils corrects pour le réseau assigné à MGMT lors de la configuration de la machine virtuelle ?
  • Si vous utilisez DHCP, est-ce que quelque chose dans l’environnement réseau de votre client empêche la machine virtuelle d’obtenir une adresse IP du serveur DHCP ? Par exemple : pare-feu, VLAN, proxy.
Le port SPAN ne fonctionne pas

Si vous pensez que le port SPAN ne fonctionne pas, rendez-vous sur System Stats.

Si vous voyez un nombre très faible de paquets de monodiffusion, alors que le nombre de paquets de multidiffusion augmente, cela signifie que le port SPAN ne fonctionne pas.

Sophos Central ne reçoit pas de données d’intégration

Vérifiez S3 Upload Status dans l’en-tête pour voir si les données sont en cours de téléchargement depuis l’appliance virtuelle Sophos. Vous pourrez également voir si une intégration de collecteur de journaux tiers a été ajoutée.

Nous ajoutons davantage de données à la console pour aider à résoudre les problèmes d’intégration qui n’envoie pas de données à Sophos Central.

En attendant que ces données soient ajoutées et si des données sont envoyées mais pas reçues dans Sophos Central, veuillez contacter l’équipe technique NDR. Un ingénieur accédera aux fichiers journaux d’intégration et résoudra le problème.

Sophos Central ne reçoit pas les données d’intégration et le collecteur de données est Connecté.

Si l’état du collecteur de données dans Sophos Central indique qu’il est Connecté, mais que les données ne sont pas disponibles dans le Data Lake, vérifiez l’état du service Dragonfly dans la console.

Si le service Dragonfly est à l’état En attente et que votre machine virtuelle est dans un cluster EVC (Enhanced vMotion Compatibility), vérifiez que le mode EVC est Skylake ou ultérieur.

L’appliance virtuelle Sophos NDR ne prend pas en charge l’exécution dans les clusters EVC en mode Sandy Bridge.