Pular para o conteúdo

Solução de problemas

Aqui você verá como resolver problemas comuns no Sophos Virtual Appliance (VA).

Meu VA não inicializa quando eu o ligo pela primeira vez.

Durante a primeira inicialização, a máquina virtual (VM) verifica se há uma conexão com a Internet fazendo o ping do sophos.com e aguardando cinco segundos pela resposta. Essa verificação é repetida até seis vezes. Se não for detectada uma conexão com a Internet, você deve desligar a VM e resolver o problema.

Siga as instruções em "Sem conexão de Internet" e reinicie a VM.

Este é um exemplo da tela de falha na primeira inicialização.

Falha na primeira inicialização

Sem conexão de Internet.

A VM precisa enviar e receber HTTP, HTTPS, DNS e NTP. Ela também precisa de DHCP se a rede de gerenciamento estiver configurada para isso.

Confirme o seguinte:

  • Se o firewall estiver usando a filtragem de sites, a máquina virtual pode acessar estes domínios?

    • sophos.com: usado para comunicação com o Sophos Central.
    • archive.ubuntu.com: usado para atualizações básicas do SO.
    • ntp.ubuntu.com: usado para sincronização de horário do NTP.
    • baltocdn.com: usado para atualizações do pacote Helm.
    • sophossecops.jfrog.io: usado para nossos servidores de repositório.
    • docker.io: usado para contêineres Clickhouse e RedisDB.
    • amazon.com, amazonaws.com: usado para carregar dados para buckets S3.
  • Um proxy da Web está bloqueando o acesso à Internet?

  • O Sophos VA consegue ler pacotes de rede marcados com um ID de VLAN nas interfaces de rede de gerenciamento e syslog?
  • Se um IP manual foi configurado no Sophos Central, as configurações estão corretas para a rede que foi atribuída ao MGMT durante a configuração da VM?
  • Se você estiver usando DHCP, algo no ambiente de rede do seu cliente impede que a VM obtenha um endereço IP do servidor DHCP? Por exemplo: firewalls, VLANs, proxies.
O SPAN não está funcionando

Se você suspeitar que o SPAN não está funcionando, vá para System Stats.

Se você vir um número muito baixo de pacotes unicast, enquanto o número de pacotes multicast aumenta, isso pode significar que o SPAN não está funcionando.

O Sophos Central não está recebendo dados de integração

Verifique S3 Upload Status no cabeçalho para ver se os dados estão sendo carregados do Sophos VA. Se uma integração de coletor de log de terceiros tiver sido adicionada, você também poderá vê-la.

Adicionaremos mais dados ao console para ajudar a solucionar problemas de uma integração que não está enviando dados ao Sophos Central.

Até que esses dados sejam adicionados, se os dados estiverem sendo enviados, mas não forem recebidos no Sophos Central, você pode entrar em contato com a equipe de engenharia NDR. Um engenheiro acessará os arquivos de log de integração e resolverá o problema.

O Sophos Central não está recebendo dados de integração e o coletor de dados está Conectado.

Se o status do coletor de dados no Sophos Central for Conectado, mas os dados não estiverem chegando ao Data Lake, verifique o status do serviço Dragonfly no console.

Se o serviço Dragonfly estiver no estado Pendente, e a sua VM estiver em um cluster EVC (Enhanced vMotion Compatibility), verifique se o modo EVC é Skylake ou posterior.

O Sophos NDR VA não suporta a execução em clusters EVC no modo Sandy Bridge.