コンテンツにスキップ

トラブルシューティング

ここでは、Sophos 仮想アプライアンス (VA) で発生する一般的な問題の解決方法について説明します。

最初に開始したときに VA が起動しない。

仮想マシン (VM) は、初回の起動時に sophos.com を ping し、5秒間返信を待ってインターネット接続を確認します。このチェックは最高 6回繰り返されます。インターネット接続が検出されない場合は、VM の電源をオフにして問題を解決する必要があります。

以下の「インターネット接続がない」の手順に従った後、VM を再起動してください。

初回の起動の失敗画面の例を以下に示します。

初回の起動の失敗

インターネット接続がない。

VM は、HTTP、HTTPS、DNS、および NTP を送受信する必要があります。管理ネットワークが DHCP 用に設定されている場合は、DHCP も必要です。

次の事柄を確認してください。

  • ファイアウォールで Web サイトフィルタリングを使用している場合、仮想マシンは以下のドメインにアクセスできるか?

    • sophos.com: Sophos Central 通信に使用されます。
    • archive.ubuntu.com: ベース OS の更新に使用されます。
    • ntp.ubuntu.com: NTP 時刻の同期に使用されます。
    • baltocdn.com: Helm パッケージの更新に使用されます。
    • sophossecops.jfrog.io: ソフォスのリポジトリサーバーに使用されます。
    • docker.io: Clickhouse コンテナと RedisDB コンテナに使用されます。
    • amazon.comamazonaws.com: S3 バケットへのデータアップロードに使用されます。
  • Web プロキシがインターネットアクセスをブロックしているか?

  • 管理インターフェースおよび syslog ネットワークインターフェース上の VLAN ID でタグ付けされたネットワークパケットを、Sophos VA は読み取ることができるか?
  • Sophos Central で手動 IP が設定済みの場合、VM の設定時に MGMT に割り当てられたネットワークの設定は正しいか?
  • DHCP を使用している場合、顧客のネットワーク環境で、VM が DHCP サーバーから IP アドレスを取得することを妨げるものはあるか?例: ファイアウォール、VLAN、プロキシ。
SPAN が動作していない

SPAN が動作していないと思われる場合は、「System Stats」に移動します。

ユニキャストパケットの数が非常に少ない状態で、マルチキャストパケットの数が増加している場合は、SPAN が動作していない可能性があることを意味します。

Sophos Central が統合データを受信していない

ヘッダーの「S3 Upload Status」をチェックして、Sophos VA からデータがアップロードされているかどうかを確認します。サードパーティのログコレクタの統合が追加されている場合は、それも確認することができます。

ソフォスでは、Sophos Central にデータを送信しない統合のトラブルシューティングに役立つように、コンソールにデータを追加しています。

このデータの追加が完了するまでの間、データは送信されるが Sophos Central で受信されない場合、NDR エンジニアリングチームにご連絡いただけます。エンジニアは、統合ログファイルにアクセスして問題を解決します。

Sophos Central が統合データを受信していないが、データコレクタが「接続済み」である。

Sophos Central のデータコレクタの状態が「接続済み」であるにもかかわらず、データが Data Lake に到達していない場合は、コンソールで Dragonfly サービスの状態を確認してください。

Dragonfly サービスの状態が「保留中」で、VM が EVC (Enhanced vMotion Compatibility) クラスタにある場合は、EVC が Skylake モード以降であることを確認してください。

Sophos NDR VA は、Sandy Bridge モードの EVC クラスタでの実行には対応していません。