Vai al contenuto

Risoluzione dei problemi

Questa pagina indica come risolvere i problemi più comuni che si possono riscontrare con l’appliance virtuale (VA) Sophos.

La mia VA non esegue il boot al primo avvio.

Al primo boot, la virtual machine (VM) verifica la presenza di una connessione Internet eseguendo il ping di sophos.com e attendendo una risposta per cinque secondi. Questa verifica viene ripetuta fino a un massimo di sei volte. Se non viene rilevata alcuna connessione Internet, occorre spegnere la VM e risolvere il problema.

Seguire le istruzioni indicate sotto "Nessuna connessione Internet" e riavviare la VM.

Quello che segue è un esempio di una schermata di errore al primo boot.

Errore al primo boot

Nessuna connessione Internet.

La VM deve essere in grado di inviare e ricevere HTTP, HTTPS, DNS e NTP. Ha anche bisogno di DHCP, se la rete di gestione è configurata per questo protocollo.

Verificare quanto segue:

  • Se il firewall utilizza un filtro dei siti web, la virtual machine è in grado di accedere a questi domini?

    • sophos.com: utilizzato per la comunicazione con Sophos Central.
    • archive.ubuntu.com: utilizzato per gli aggiornamenti del sistema operativo di base.
    • ntp.ubuntu.com: utilizzato per la sincronizzazione dell’ora NTP.
    • baltocdn.com: utilizzato per gli aggiornamenti dei pacchetti Helm.
    • sophossecops.jfrog.io: utilizzato per i nostri server di repository.
    • docker.io: utilizzato per i container ClickHouse e RedisDB.
    • amazon.com, amazonaws.com: utilizzati per caricare i dati su bucket S3.

  • L’accesso a Internet è bloccato da un proxy web?

  • La VA Sophos è in grado di leggere i pacchetti di rete contrassegnati con un ID VLAN sulle interfacce di gestione e di rete syslog?
  • Se su Sophos Central è stato configurato manualmente un IP, le impostazioni sono corrette per la rete assegnata a MGMT durante la configurazione della VM?
  • Se si utilizza DHCP, c’è un elemento nell’ambiente di rete del cliente che impedisce alla VM di ottenere un indirizzo IP dal server DHCP? Ad esempio: firewall, VLAN, proxy.
SPAN non funzionante

Se si sospetta che la porta SPAN non funzioni, aprire System Stats.

Se si nota un numero molto basso di pacchetti unicast, mentre il numero di pacchetti multicast aumenta, questo può indicare un malfunzionamento della porta SPAN.

Sophos Central non riceve dati di integrazione

Controllare la voce S3 Upload Status nell’intestazione, per vedere se vengono caricati dati dalla VA Sophos. Se è stata aggiunta un’integrazione di terze parti di tipo agente di raccolta log, sarà possibile vedere anche questa.

Presto aggiungeremo altri dati alla console, per aiutare a risolvere i problemi che si verificano quando un’integrazione non invia dati a Sophos Central.

Se, prima che siano disponibili queste opzioni, Sophos Central non dovesse ricevere i dati inviati, è possibile contattare il nostro team di tecnici NDR. Un tecnico specializzato accederà ai file di log dell’integrazione e risolverà il problema.

Sophos Central non riceve dati di integrazione e l’agente di raccolta dati risulta Connesso.

Se lo stato dell’agente di raccolta dati in Sophos Central viene visualizzato come Connesso ma i dati non raggiungono il Data Lake, controllare lo stato del servizio Dragonfly nella console.

Se lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.

La VA Sophos NDR non supporta l’esecuzione su cluster EVC in modalità Sandy Bridge.