コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/spl/ja-jp/index.html?contextId=Linux-agent-troubleshooting

Sophos Protection for Linux のトラブルシューティング

このページでは、Sophos Protection for Linux (SPL) の一般的なエラーのトラブルシューティング方法について説明します。

Sophos Diagnostic Utility (SDU) を使用すると、トラブルシューティング時にイベントに関する詳細情報を得ることができます。実行すると、SDU はすべての SPL ログ、システム情報、およびシステムログを収集します。SDUがシステムログを収集できるようにするには、再起動後にログを保持するように Linux デバイスを設定することをお勧めします。一部のプラットフォームでは、これはデフォルトで設定されています。

リアルタイム検索のトラブルシューティング

リアルタイム検索が機能していません。

Sophos Central で、サーバーの脅威対策ポリシーで次の設定を確認します。

  • リアルタイム検索 - ローカルファイルとネットワーク共有」がオンになっていることを確認します。
  • Server Protection for Linux Agent のスキャンを有効化する」がオンになっていることを確認します。

Linux デバイスで、次の項目を確認します。

  • /opt/sophos-spl/base/mcs/policy/CORC_policy.xmlonRead および onWrite の値は true です 。
  • /opt/sophos-spl/plugins/av/var/on_access_policy.jsononOpen および onClose の値は true です 。

  • /opt/sophos-spl/plugins/av/log/soapd.log を確認します。次のいずれかの行が表示された場合は、関連付けられている検索がオフになります。

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled

av.log で "av <> Quarantine failed for threat:" と表示されます。

SPL は脅威を検出しましたが、ファイルの隔離に失敗しました。/opt/sophos-spl/plugins/av/log/safestore.log 検出を確認します。次のメッセージが表示された場合は、SPL がファイルを隔離できないことを意味します。

safestore <> File at location: [PATH_TO_DETECTION] is immutable.Will not quarantine.

不変ファイルには、root ユーザーであっても、ファイルを変更、移動、削除、または上書きできないことを示すフラグが設定されます。

リアルタイム脅威検出に関連するプロセスは実行中です。

脅威対策ポリシーにおいて、「リアルタイムの脅威検出に関連する悪意のあるプロセスを終了します」を有効に設定しておく必要があります。次の手順を実行します。

  1. Sophos Central にサインインします。
  2. マイプロダクト > Server > ポリシー」の順に選択します。
  3. 脅威対策のポリシー選択します。
  4. 設定」をクリックします。
  5. リアルタイム検索 - ローカルファイルとネットワーク共有」で、「リアルタイムの脅威検出に関連する悪意のあるプロセスを終了します」が選択されていることを確認します。
  6. 保存」をクリックします。

ランタイム検出のトラブルシューティング

Timed out gathering optional metadata, some optional metadata won't be available

クラウド環境でのリアルタイム検出発生時には、SPL エージェントはンスタンスのローカル メタデータ サービスにアクセスして追加情報を取得する試みを行います。SPLエージェントがタイムアウト期間内にデータを収集できない場合、リクエストはタイムアウトし、SPL はイベントをログに記録し、オプションのメタデータフィールドなしで警告を生成します。

ランタイム検出が機能しない

マイプロダクト > Server > ポリシー」の順に選択して次の操作を実行します。

  • Linux デバイスの脅威対策ポリシーを確認し、「Linux ランタイム検知」がオンになっていることを確認します。ランタイム保護を参照してください。
  • Linux デバイスの Linux ランタイム検知ポリシーを確認し、「Linux のランタイム検知の有効化」がオンになっていることを確認します。

マイプロダクト* > Cloud Native Security > プロファイル」の順に選択します。

  • Linux ランタイム検知ポリシーの Linux ランタイム検知プロファイルに、検出漏れに対するルールが含まれていることを確認します。 詳細については、Linux ランタイム検知プロファイルの詳細設定を参照してください。
  • Linux ランタイム検知プロファイルのルールが有効になっていることを確認します。ルールの詳細を参照してください。

Sophos Central のコンテンツバージョンは、Linux デバイスで表示される rtd_content_version と異なるビルド番号である場合があります。

ビルド番号が異なる場合でも、コンテンツバージョンは最新である場合があります。コンテンツバージョンを参照してください。

runtimedetections <> Error adding policies

ランタイム検知プラグインで、ポリシーまたはポリシーのグループで問題が発生しました。この場合、RTD プラグインはまだ実行されており、他のすべてのルールはアクティブですが、Sophos Central は問題を警告する赤色のセキュリティ状態を表示し、調査できるようにします。

また、/opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.logruntimedetections <> Error initializing "<POLICY_NAME>": no valid symbol found でも確認できます。 この行には、問題の原因となったポリシーが表示され、調査できるようになります。

AV プラグインのトラブルシューティング

systemctl status sophos-spl コマンドによって /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64 が返されます。

SPL では、Sophos Central のセキュリティ状態が赤色で、"未開始: Sophos Linux AntiVirus" というメッセージも表示されます。

SPL は、アンビエント機能をサポート Linux ディストリビューションまたはカーネルにインストールされます。システム要件については、Sophos Protection of Linux リリースノートを参照してください。

av.log に "av <> Health encountered an error resolving pid for ThreatDetector."が表示されている。

SPL では、Sophos Central のセキュリティ状態が赤色で、"未開始: Sophos Linux AntiVirus" というメッセージも表示されます。

SPL が Ubuntu 20.04 または Ubuntu 22.04 では、hidepid=1 または hidepid=2 での実行をサポートしていません。マウントラインで /etc/vfstab を編集して hidepid オプションを削除する必要があります。

Safestore がファイルを復元できない

デバッグログに "Common <> Could not convert from: UTF-8" と表示されます。

UTF-8 以外のパスを持つファイルに対する脅威検出は、UTF-8 でエンコードされた警告として Central に送信されます。 Path オプションを使用してこれらのファイルのいずれかを復元すると、UTF-8 にエンコードされたパスがデータベースには存在しないため失敗します。SHA-256 オプションを使用してファイルを復元する必要があります。

av <> File at location: <FILEPATH> is located on a Network mount: <MOUNTPATH>. Will not quarantine.

これは予期される動作です。リモートマウント上のファイルは隔離されません。このログエントリは、スキャンの結果にも使用されます。

隔離のトラブルシューティング

大半の隔離の失敗は、av <> Quarantine failed for threat: から始まり、 その後 av.log に至る脅威のパスをたどります。 エラーの性質に関する詳細情報を safestore.log で確認できます。表示されるメッセージの一部は次のとおりです。

safestore <> File at location: <PATH_TO_DETECTION> is immutable. Will not quarantine.

SPL は脅威を検出しましたが、ファイルの隔離に失敗しました。SPL は不変ファイルを隔離できません。不変ファイルには、root ユーザーであっても、ファイルを変更、移動、削除、または上書きできないことを示すフラグが設定されます。

safestore <> Cannot quarantine <PATH_TO_DETECTION> as it can't be verified to be the threat

このことから、検出をトリガーしたファイルは PrivateTmp 名前空間内にありながら、同じ名前とパスを持つファイルもルート名前空間内に存在していたことがわかります。

safestore <> Cannot quarantine <PATH_TO_DETECTION> as it does not exist

Safestore は、次のシナリオでこのメッセージを記録します。

  • 検出をトリガーしたファイルは、PrivateTmp 名前空間内にあり、ルート名前空間には同名のファイルがありません。
  • Safestore が隔離する前に、このファイルは既に移動や削除されており、検出を引き起こしたと考えられます。

デバイス隔離のトラブルシューティング

隔離された Linux デバイスにアクセスするにはどうすればよいですか?

サーバーへの Live Response 接続を許可する」をオンにすることをお薦めします。これをオンにすると、ネットワーク上の対応サポーする任意のサーバーに、Live Response を使用して接続できます。サーバー向け Live Response をオンにする方法を参照してください。Sophos Central スーパー管理者または「サーバーで Live Response セッションを開始する」を含むロールは、隔離された Linuxデバイスで Live Response セッションを開始できます。

Sophos Central の外部から隔離された Linux デバイスにアクセスする必要がある場合は、デバイスへのアクセスに必要なサービスを許可するために除外を使用する必要があります。デバイスの隔離の除外を参照してください。

その他のリソース