サポートインシデント情報の収集方法

Sophos Linux Sensor (SLS) では、センサーの監視サブシステムを実行して、ホストから収集したサポート情報、センサーの設定、およびセンサーの内部動作のキャプチャ全体をエクスポートできます。

サポートアーカイブのキャプチャ

サポートアーカイブをキャプチャするには、次の手順を実行する必要があります。

• curl のインストール
• SLS をデバッグモードに設定
• curl を使用してサポートアーチブをキャプチャ

curl のインストール

監視サブシステムにアクセスするには、HTTP クライアントが必要です。ほとんどのディストリビューションには、このガイドで使用されている curl がパッケージ化されています。Red Hat ベースのシステムにインストールするには、次のコマンドを実行します。

sudo yum install curl

Ubuntu システムにインストールするには、次のコマンドを実行します。

sudo apt-get install curl

SLS をデバッグモードに設定

対象のホストのルートシェルから次のコマンドを実行して、センサーをデバッグモードに設定します。

sudo pkill -SIGUSR2 -f sophoslinuxsensor

これによって、システム上で動作しているアクティブなセンサーがすべて一時的にデバッグモードになり、監視対象のエンドポイントで、サポート情報とデバッグ情報が 60秒間使用可能になります。対象のエンドポイントには機密情報が含まれる可能性があるので、この時間が経過すると、デバッグモードは再びオフになります。

サポートアーカイブのキャプチャ

対象のホストのルートシェルから次のコマンドを実行して、センサーがサポート情報をキャプチャしてファイルに書き込むようにします。

curl -O http://localhost:9010/support.tar && gzip support.tar

これによって、ローカルで実行されているセンサーは、ホスト情報、センサー設定、メトリック、およびセンサーの詳細に関するプロファイルを 30秒間収集してから、support.tar に書き込みます。

SLS の CPU とメモリのプロファイリング

SLS には、Google の pprof ライブラリを活用して、CPU プロファイルおよびメモリ割り当てのスナップショットの生成に使用できるランタイムプロファイリング機能が搭載されています。詳細は、pprof を参照してください。

デバッグモードをオンに設定

プロファイリングを有効にするには、次のいずれかを実行する必要があります。

• 次の環境変数が設定された状態でセンサーを実行します: RUNTIMEDETECTIONS_DEBUG=true
• debug: true を次の設定ファイルに追加します: /etc/sophos/runtimedetections-rules.yaml

デバッグモードをオンにしたら、次のコマンドを使用して SLS を再起動します。

systemctl restart sophoslinuxsensor

プロファイルの生成

トラブルシューティングが必要なメモリや CPU の問題が発生しているセンサーがある場合は、そのセンサーのパフォーマンスプロファイルを生成できます。パフォーマンスプロファイルは、ローカル HTTP エンドポイントにリクエストを送信することで、いつでもキャプチャできます。

ヒープにある、ライブオブジェクトのメモリ割り当てのサンプルをキャプチャするには、次のコマンドを実行します。

curl -s http://localhost:9010/debug/pprof/heap > heap.out

CPU 使用率のサンプルを 60秒間キャプチャして、プロファイルを生成するには、次のコマンドを実行します。

curl -s 'http://localhost:9010/debug/pprof/profile?seconds=60' > profile.out

SLS メトリックの出力

メトリックの出力を生成するには、次のコマンドを実行します。

curl -s http://localhost:9010/metrics > metrics.out

Sensor ログ

次のコマンドを使用して、Linux システムのセンサーログを取得できます。

journalctl -u sophoslinuxsensor

journalctl -efu sophoslinuxsensor