コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/sls/help/ja-jp/index.html?contextId=a4ce143e-6e09-4d9b-a20a-032bcf8695b7

Sophos Linux Sensor のトラブルシューティング

Sophos Linux Sensor (SLS) の一般的なエラーのトラブルシューティング。

ライセンスエラー

"error": "Unauthorized" (SLSパッケージリポジトリAPIトークンを生成しようとする際))。

SLS は評価ライセンスでは使用できません。Sophos Central アカウントに、次のいずれかの対象製品ライセンスがある必要があります。

  • Intercept X Advanced for Server with XDR
  • Central Managed Detection and Response Essential Server
  • Central Managed Detection and Response Complete Server

SLS センサーを導入しましたが、Sophos Central ライセンス数は変更されていません。

SLS はデバイスごとにライセンスされます。ただし、Sophos Central の「デバイス」ビューとライセンスカウントには、SLS インスタンスは反映されません。また、SLS デバイスはサーバープロテクションに表示されません。これは、SLS は検出の詳細と警告を Sophos Central に送信できますが、Sophos Central によって管理されていないためです。

ダウンロードエラー

"error": "BadServerResponse" (SLSパッケージリポジトリAPIトークンを生成しようとする際))。

SLS には、Sophos Central Admin ダッシュボードでスーパー管理者が作成した API 認証情報が必要です。設定がパートナーダッシュボードやエンタープライズダッシュボードではなく、Sophos Central Adminダッシュボードで行われていることを確認する。

レジストリ 'https://packages.sophos.com/sophos-linux-sensor/release stable InRelease' は署名されていません。

SLS パッケージレジストリ API トークンの期限が切れています。新しいトークンを生成する必要があります。詳細は、SLS パッケージレジストリ API トークンの生成を参照してください。

インストールエラー

Invalid GPG Key from file:///etc/sophos-linux-sensor.gpg: No key found in given key data

Amazon Linux 2 などの一部のディストリビューションでは、センサーをインストールする前に GPG を ASCII に変換する必要があります。これを行うには、次のコマンドを実行します。

gpg --keyring /etc/sophos-linux-sensor.gpg --no-default-keyring --export -a > /etc/.tmp.sophos-linux-sensor.gpg && mv /etc/.tmp.sophos-linux-sensor.gpg /etc/sophos-linux-sensor.gpg

GPG 鍵を変換したら、もう一度確認して、インストールを続行します。詳細は、GPG 鍵を確認しますを参照してください。

ポリシーが設定されていない

SLS のデフォルトの検出コンテンツがインストールされていません。検出と警告が機能するようにするには、SLS とデフォルトコンテンツの両方をインストールする必要があります。詳細は、 Sophos Linux Sensor のインストールを参照してください。

イベント出力エラー

警告またはイベントが Sophos Central に表示されない

SLS は、5.11.0 から警告とイベントの両方のデータの送信をサポートしています。この設定を利用するには、5.11 にアップデートすることを推奨します。5.10.0 以前を実行している場合でも、Sophos Central に警告データを送信できますが、/etc/sophos/runtimedetections.yaml ファイルで次の設定を使用する必要があります。

alert_output:
  outputs:
  - type: mcs
    enabled: true
    url: "{MCS_URL}"
    api_key: "{LINUX_REPO_API_KEY}"

設定ファイルの例を以下に示します。

#  This configuration sends alert data to both stdout and Sophos Central.
# The customer_id and api_key are redacted
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
alert_output:
  outputs:
  - type: stdout
    enabled: true
    template:'Alert triggered: {{ .StrategyName}}'
  - type: mcs
    enabled: true
    url: "https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
    api_key:"SLS-########"

Unable to start analytics: 400 Failed to validate registration auth token が SLS起動時に表示されます。

SLS はこのエラーメッセージをログに記録し、警告出力用の無効なトークン設定に基づいて起動できません。詳細は、SLS パッケージレジストリ API トークンの生成を参照してください。

Unable to start analytics: error writing alert to MCS が SLS起動時に表示されます。

SLS はこのエラーメッセージをログに記録し、Sophos Central MCS API と通信できない場合には起動に失敗します。Sophos Central アカウントと同じ MCS リージョンに接続する必要があります。詳細は、MCS URLを参照してください。

Timed out gathering optional metadata, some optional metadata won't be available

SLS はクラウド環境からオプションのメタデータを収集できませんでした。runtimedetections.yaml config ファイルの optional_metadata_gathering_timeout 値を調整して、センサーがオプションのメタデータを収集する時間を稼ぐことができます。