トラブルシューティング
ここでは、ソフォスのアプライアンスで発生する一般的な問題の解決方法について説明します。
最初に開始したときにアプライアンスが起動しない。
仮想マシン (VM) は、初回の起動時に sophos.com
を ping し、5秒間返信を待ってインターネット接続を確認します。このチェックは最高 6回繰り返されます。インターネット接続が検出されない場合は、VM の電源をオフにして問題を解決する必要があります。
以下の「インターネット接続がない」の手順に従った後、VM を再起動してください。
インターネット接続がない。
VM は、HTTP、HTTPS、DNS、および NTP を送受信する必要があります。管理ネットワークが DHCP 用に設定されている場合は、DHCP も必要です。
次の事柄を確認してください。
-
ファイアウォールで Web サイトフィルタリングを使用している場合、仮想マシンは以下のドメインにアクセスできるか?
sophos.com
: Sophos Central 通信に使用されます。archive.ubuntu.com
: ベース OS の更新に使用されます。ntp.ubuntu.com
: NTP 時刻の同期に使用されます。baltocdn.com
: Helm パッケージの更新に使用されます。sophossecops.jfrog.io
: ソフォスのリポジトリサーバーに使用されます。docker.io
: Clickhouse コンテナと RedisDB コンテナに使用されます。amazon.com
、amazonaws.com
: S3 バケットへのデータアップロードに使用されます。
-
Web プロキシがインターネットアクセスをブロックしているか?
- 管理インターフェースおよび syslog ネットワークインターフェース上の VLAN ID でタグ付けされたネットワークパケットを、ソフォスのアプライアンスは読み取ることができるか?
- Sophos Central で手動 IP が設定済みの場合、VM の設定時に MGMT に割り当てられたネットワークの設定は正しいか?
- DHCP を使用している場合、顧客のネットワーク環境で、VM が DHCP サーバーから IP アドレスを取得することを妨げるものはあるか?例: ファイアウォール、VLAN、プロキシ。
SPAN が動作していない。
SPAN が動作していないと思われる場合は、「NDR」タブに移動します。
「SPAN 1 ユニキャスト」または「SPAN 2 ユニキャスト」が 100% 未満の場合、SPAN は正常に動作していません。
Sophos Central が統合データを受信していない。
「NDR」または「統合」ページで、アプライアンスからデータがアップロードされているかどうかを確認します。
データは送信されているが Sophos Central で受信されない場合、MDR エンジニアリングチームにご連絡いただけます。エンジニアは、統合ログファイルにアクセスして問題を解決します。
Sophos Central が統合データを受信していないが、アプライアンス (データコレクタ) が「接続済み」である。
Sophos Central のアプライアンスの状態が「接続済み」であるにもかかわらず、データが Data Lake に到達していない場合は、ダッシュボードの「詳細」タブで Dragonfly サービスの状態を確認してください。
Dragonfly サービスの状態が「保留中」で、VM が EVC (Enhanced vMotion Compatibility) クラスタにある場合は、EVC が Skylake モード以降であることを確認してください。
ソフォスのアプライアンスは、Sandy Bridge モードの EVC クラスタでの実行には対応していません。