Vai al contenuto

Risoluzione dei problemi

Questa pagina indica come risolvere i problemi più comuni che potrebbero verificarsi con le appliance Sophos.

La mia appliance non esegue il boot al primo avvio.

Al primo boot, la virtual machine (VM) verifica se è presente una connessione Internet eseguendo il ping di sophos.com e attendendo una risposta per cinque secondi. Questa verifica viene ripetuta fino a un massimo di sei volte. Se non viene rilevata alcuna connessione Internet, occorre spegnere la VM e risolvere il problema.

Seguire le istruzioni indicate sotto "Nessuna connessione Internet" e riavviare la VM.

Nessuna connessione Internet.

La VM deve essere in grado di inviare e ricevere HTTP, HTTPS, DNS e NTP. Ha anche bisogno di DHCP, se la rete di gestione è configurata per questo protocollo.

Verificare quanto segue:

  • Se il firewall utilizza un filtro dei siti web, la virtual machine è in grado di accedere a questi domini?

    • sophos.com: utilizzato per la comunicazione con Sophos Central.
    • archive.ubuntu.com: utilizzato per gli aggiornamenti del sistema operativo di base.
    • ntp.ubuntu.com: utilizzato per la sincronizzazione dell’ora NTP.
    • baltocdn.com: utilizzato per gli aggiornamenti dei pacchetti Helm.
    • sophossecops.jfrog.io: utilizzato per i nostri server di repository.
    • docker.io: utilizzato per i container ClickHouse e RedisDB.
    • amazon.com, amazonaws.com: utilizzati per caricare i dati su bucket S3.

  • L’accesso a Internet è bloccato da un proxy web?

  • L’appliance Sophos è in grado di leggere i pacchetti di rete contrassegnati con un ID VLAN nelle interfacce di gestione e di rete syslog?
  • Se su Sophos Central è stato configurato manualmente un IP, le impostazioni sono corrette per la rete assegnata a MGMT durante la configurazione della VM?
  • Se si utilizza DHCP, c’è un elemento nell’ambiente di rete del cliente che impedisce alla VM di ottenere un indirizzo IP dal server DHCP? Ad esempio: firewall, VLAN, proxy.
SPAN non funzionante.

Se si sospetta che SPAN non funzioni, aprire la scheda NDR.

Se il valore indicato per SPAN 1 Unicast o SPAN 2 Unicast è meno del 100%, SPAN non funziona correttamente.

Sophos Central non riceve dati di integrazione.

Controllare le pagine NDR e Integrazioni per verificare se i dati vengono caricati dall’appliance.

Se i dati vengono inviati ma Sophos Central non li riceve, è possibile rivolgersi al nostro team di engineering del servizio MDR. Un tecnico specializzato accederà ai file di log dell’integrazione e risolverà il problema.

Sophos Central non riceve dati di integrazione e lo stato dell’appliance (agente di raccolta dati) risulta Connesso.

Se lo stato dell’appliance in Sophos Central viene visualizzato come Connesso ma i dati non raggiungono il Data Lake, controllare lo stato del servizio Dragonfly nella scheda Avanzate.

Se lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.

L’appliance Sophos non supporta l’esecuzione su cluster EVC in modalità Sandy Bridge.