Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Registros de Sophos Protection para Linux

Sophos Protection para Linux (SPL) incluye numerosos registros en la estación de trabajo que puede utilizar para recopilar información al solucionar problemas y obtener datos clave sobre el funcionamiento del producto.

Solo los registros de productos con licencia aparecen en un dispositivo Linux.

Formato de registros

La mayoría de las entradas de registro de SPL tienen el siguiente formato:

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

He aquí un ejemplo:

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful

Nivel de registro

El nivel de registro global predeterminado para SPL es "INFORMACIÓN". Puede cambiar el nivel de registro de SPL editando /opt/sophos-spl/base/etc/logger.conf.local y cambiando el valor para VERBOSITY. Los niveles de registro válidos son los siguientes:

  • DEPURACIÓN
  • SOPORTE
  • INFORMACIÓN
  • AVISO
  • ERROR

Nota

El nivel de registro vuelve a "INFORMACIÓN" después de que SPL se actualiza o se reinicia.

Puede cambiar el nivel de registro globalmente o para cada componente individualmente.

Para cambiar el nivel de registro globalmente, introduzca el siguiente texto en /opt/sophos-spl/base/etc/logger.conf.local, reemplazando [LOG_LEVEL] por el nivel de registro que desee:

[global]
VERBOSITY = [LOG_LEVEL]

Para cambiar el nivel de registro para componentes individuales, introduzca el siguiente texto en /opt/sophos-spl/base/etc/logger.conf.local, reemplazando [PROCESS] por el nombre del componente de SPL que desea y [LOG_LEVEL] por el nivel de registro que desea:

[PROCESS]
VERBOSITY = [LOG_LEVEL]

Sugerencia

Las claves para la mayoría de los procesos de Sophos son los nombres de los ejecutables en minúsculas. Por ejemplo, para cambiar el nivel de registro de Updatescheduler, usaría [updatescheduler]. Las excepciones a esta regla son las siguientes:

  • mcsrouter: [mcs_router]
  • sophos_managementagent: [managementagent]

Guarde los cambios y reinicie SPL para que los cambios surtan efecto.

Sugerencia

Encontrará más información en /opt/sophos-spl/base/etc/logger.conf.

Ubicaciones de registro

Archivos de registro base

SPL almacena los registros de los componentes base en /opt/sophos-spl/logs. Los componentes base incluyen el proceso del guardián, la actualización, la telemetría, MCS y Sophos Diagnostic Utility (SDU). Los archivos de registro base son los siguientes:

Registros del guardián

  • /opt/sophos-spl/logs/base/watchdog.log: Estado de los procesos de SPL. Por ejemplo, los códigos de salida y lo que haya iniciado el proceso del guardián.
  • /opt/sophos-spl/logs/base/wdctl.log: Incluye detalles de las solicitudes para detener e iniciar procesos de SPL.

Registros de actualización

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: Registra los detalles de actualización. Por ejemplo, cuando se inicia una actualización y cuando termina.
  • /opt/sophos-spl/logs/base/suldownloader.log: El registro de actualización principal. Contiene los detalles de las actualizaciones y los fallos de los componentes.
  • /opt/sophos-spl/logs/base/suldownloader_sync.log: Incluye detalles sobre las conexiones y los paquetes de CDN que SPL descarga en la estación de trabajo. Esto incluye información adicional a la contenida en el registro suldownloader. Puede usar esta información para ayudar a solucionar los errores de actualización. SPL sobrescribe este registro cada vez que se actualiza.

Registros de telemetría

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log: Incluye detalles sobre la telemetría ejecutada anteriormente y cuándo está programada para ejecutarse.
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log: Incluye detalles sobre la telemetría obtenida de los componentes. También incluye detalles sobre cualquier fallo.

Registros de gestión y MCS

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: Incluye detalles sobre la comunicación entre la estación de trabajo y Sophos Central.
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: El contenido de los mensajes proporcionados por MCS.
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: Incluye detalles sobre qué políticas y comandos ha aplicado MCS a los complementos de SPL.

Registros de herramientas de diagnóstico

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: Registra solicitudes remotas de Sophos Diagnostic Utility (SDU).
  • /opt/sophos-spl/logs/base/diagnose.log: Todos los elementos que recopila SDU durante la creación del archivo.

Archivos de registro de complementos

SPL almacena los registros de complementos en /opt/sophos-spl/plugins/<PLUGIN>/log. Cada complemento está en un directorio aparte.

Nota

Si un registro o directorio no está presente en su dispositivo Linux, asegúrese de que tiene la licencia adecuada para ese complemento. Solo los registros de productos con licencia aparecen en un dispositivo Linux.

Los archivos de registro de complementos son los siguientes:

Complemento AV

  • /opt/sophos-spl/plugins/av/log/av.log: El registro principal para el complemento AV. Muestra la mayoría de los eventos importantes a un alto nivel.
  • /opt/sophos-spl/plugins/av/log/soapd.log: Incluye detalles sobre el estado del escáner en tiempo real.
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: Incluye detalles sobre cuándo se activan los escaneados programados.
  • /opt/sophos-spl/plugins/av/log/safestore.log: Incluye detalles sobre qué amenazas están en cuarentena. También muestra la actividad de reescaneado realizada en amenazas en cuarentena. Por ejemplo, volver a escanear cuando añade un nuevo archivo a las aplicaciones permitidas.
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: Este registro muestra el estado del proceso del escáner de amenazas. Este proceso realiza los escaneados cuando lo solicitan otros procesos, como el escaneado en tiempo real, el escáner programado o el escáner de línea de comandos.
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: Incluye información de depuración de bajo nivel relacionada con el complemento AV. Por ejemplo, la razón por la que el escáner AV no puede escanear un archivo.

Complemento de aislamiento de dispositivos

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Incluye detalles sobre el aislamiento de dispositivos activado desde Sophos Central.

Complemento EDR

  • /opt/sophos-spl/plugins/edr/log/edr.log: El registro principal para el complemento EDR (Live Query). Muestra información sobre la política Live Query y el estado de osquery y las extensiones de Sophos.
  • /opt/sophos-spl/plugins/edr/log/livequery.log: Incluye detalles sobre las consultas de Live Query activadas en Sophos Central y ejecutadas en la estación de trabajo.
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log: Incluye información sobre todas las consultas programadas y cuándo se ejecutan.
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log: Esto solo se rellena cuando EDR está en modo DEPURACIÓN. Cuando está en modo DEPURACIÓN, este registro contiene la salida de depuración del proceso osquery.

Complemento Event Journaler

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: El estado del complemento Event Journaler. Incluye su estado para recibir eventos de los complementos AV o RTD.

Complemento Response Action

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log: Estado del complemento Response Action. Cualquier acción que debe ejecutarse se registra aquí antes de ejecutarse.
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log: Incluye detalles sobre el estado de las acciones de respuesta (comandos, cargas, descargas) y si hay problemas al ejecutar una acción de respuesta.

Complemento Runtime detections (RTD)

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: Detalles sobre el estado del complemento RTD, incluidas las políticas que ha cargado y si ha habido alguna detección.

Complemento Live Response

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: Incluye detalles sobre el estado del complemento Live Response y cualquier sesión de Live Terminal.
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log: Incluye detalles para cada sesión individual de Live Response. Por ejemplo, el ID de sesión y la URL visitada.

Otras rutas de registro

Encontrará registros para la regresión e instalación de productos en las siguientes ubicaciones:

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: Este directorio contiene cualquier registro del que se haya realizado una copia de seguridad durante una regresión de producto.
  • /opt/sophos-spl/logs/installation/: Este directorio contiene registros de instalación detallados.

Sophos Diagnostic Utility

SDU reúne todos los registros del agente SPL, todos los complementos y los registros de auditoría.

Ejecute el comando:

/opt/sophos-spl/bin/sophos_diagnose

Esto genera un archivo .tar.gz en el directorio de trabajo actual.

Para especificar dónde crea SDU el archivo de salida de diagnóstico, ejecute el comando con el directorio que desee como primer argumento. Por ejemplo, para mostrar la recopilación de registros de diagnóstico en /tmp, ejecute el siguiente comando:

/opt/sophos-spl/bin/sophos_diagnose /tmp

Sugerencia

También puede ejecutar SDU de forma remota desde Sophos Central. Consulte Diagnosis.

Registros de SPL en Sophos Central

El registro en la estación de trabajo ofrece más detalles que el registro que aparece en Sophos Central. La ficha Eventos de la página de detalles de un servidor le permite ver los eventos en el servidor. Consulte Eventos de servidor.

Algunos de los eventos que puede ver son:

  • Eventos de actualización
  • Detecciones malware y PUA
  • Limpieza de malware y PUA
  • Resultados de escaneado bajo demanda

Sugerencia

También puede ver eventos en la página Alertas. Consulte Alertas.