跳至內容

排疑解難

這將說明如何解決 Sophos 虛擬設備 (VA) 的常見問題。

我的 VA 在我第一次啟動時無法開機。

在第一次開機過程中,虛擬機 (VM) 透過 ping sophos.com 並等待五秒鐘有無回覆來檢查網際網路連線。此檢查最多重複六次。如果未偵測到網際網路連線,則必須關閉 VM 並解決該問題。

按照「無網際網路連線」的說明操作,然後重新啟動 VM。

以下是第一次啟動失敗畫面的例子。

第一次啟動失敗

無網際網路連線。

VM 需要傳送及接收 HTTP、HTTPS、DNS 和 NTP。如果為其設定了管理網路,則它還需要 DHCP。

請檢查下列項目:

  • 如果您的防火牆正在使用網站篩選功能,虛擬機是否可以存取這些網域?

    • sophos.com:用於 Sophos Central 通訊。
    • archive.ubuntu.com:用於基本作業系統更新。
    • ntp.ubuntu.com:用於 NTP 時間同步。
    • baltocdn.com:用於 Helm 套件更新。
    • sophossecops.jfrog.io:用於我們的存放庫伺服器。
    • docker.io:用於 Clickhouse 和 RedisDB 容器。
    • amazon.comamazonaws.com:用於將資料上傳到 S3 貯體。
  • Web Proxy 是否會封鎖網際網路存取?

  • Sophos VA 是否能讀取管理和 Syslog 網路介面上標記有 VLAN ID 的網路封包?
  • 如果在 Sophos Central 中設定了手動 IP,那麼在 VM 設定過程中指派給 MGMT 的網路之設定是否正確?
  • 如果您使用 DHCP,客戶網路環境中是否有任何內容會阻止 VM 從 DHCP 伺服器取得 IP 位址?例如:防火牆、VLAN、Proxy。
SPAN 無法正常工作

如果您懷疑 SPAN 無法正常工作,請轉至 System Stats

如果您看到單點傳播封包數量非常少,而多點傳送封包數量增加,這可能意味着 SPAN 無法正常工作。

Sophos Central 未接收整合資料

檢查標題中的 S3 Upload Status,查看是否正在從 Sophos VA 上傳資料。如果新增了協力廠商記錄收集器整合,您也可以看到該整合。

我們正在將更多資料新增至主控台,以協助疑難排解無法傳送資料至 Sophos Central 的整合。

在新增此資料之前,如果正在傳送資料,但未在 Sophos Central 中收到,您可以聯絡 NDR 工程團隊。將有工程師存取整合記錄檔案並解決問題。

Sophos Central 未接收整合資料,並且資料收集器為已連線狀態。

如果 Sophos Central 中的資料收集器狀態為已連線,但資料未到達 Data Lake,請檢查主控台中 Dragonfly 服務的狀態。

如果 Dragonfly 服務處於待決狀態,並且您的 VM 處於 Enhanced vMotion Compatibility (EVC) 叢集中,請檢查 EVC 模式是否為 Skylake 或更新版本。

Sophos NDR VA 不支援在 Sandy Bridge 模式下的 EVC 叢集中執行。