Saltar al contenido
Esta página o parte de ella se ha traducido de forma automática.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=protect-devices-server-Linux-agent-troubleshooting

Resolución de problemas de Sophos Protection para Linux

Esta página detalla cómo solucionar errores comunes en Sophos Protection para Linux (SPL).

Errores de instalación

Sugerencia

Si necesita más información sobre un error, active el registro de depuración y ejecute el instalador de nuevo. Consulte Depurar el instalador ligero.

./SophosSetup.sh: Permiso denegado

Debe añadir el permiso de ejecución a SophosSetup.sh. Ejecute el siguiente comando:

chmod +x SophosSetup.sh

Ejecute este instalador con derechos de root

Debe ejecutar SophosSetup.sh con derechos de root. Utilice el comando sudo o cambie al usuario raíz.

Se ha encontrado una instalación existente de SAV en /opt/sophos-av/. Este producto no se puede utilizar junto con Sophos Anti-Virus

Debe ejecutar SophosSetup.sh con el indicador --uninstall-sav para eliminar Sophos Anti-Virus para Linux durante la instalación de Sophos Protection Agent para Linux.

La instalación de SPL fallará; no se puede instalar en '<path>'.

La instalación fallará si hace referencia a un enlace simbólico. Debe volver a ejecutar el instalador con el comando --install-dir y usar la ruta al directorio donde apunta el enlace simbólico.

No se puede establecer la conexión con Sophos Central. Compruebe su conexión de red.

Su equipo Linux debe poder conectarse a Internet y debe permitirse el tráfico a todos los dominios de Sophos Central para poder instalar Sophos Protection Agent para Linux. Consulte Dominios y puertos que permitir.

La instalación de SPL fallará porque no se pudo establecer una conexión con Sophos Central

Las comprobaciones previas a la instalación de Sophos fallarán si curl no está instalado en el dispositivo Linux. Instale curl e inténtelo de nuevo. Es posible que también vea los siguientes mensajes:

  • La instalación de SPL fallará porque no se pudo establecer una conexión con el servidor SUS
  • La instalación de SPL fallará porque no se pudo establecer una conexión con un servidor CDN

No se ha podido conectar con el repositorio: error:

Sus dispositivos Linux están asignados a un paquete de software que ha sido retirado. Cambie su política Gestión de actualizaciones y asigne sus dispositivos Linux a un paquete de software actual. Consulte Política Gestión de actualizaciones de servidores.

Componentes que no se ejecutan o no se instalan.

Si falta un producto, asegúrese de tener la licencia correcta para el producto que falta.

Si el producto está instalado pero no se está ejecutando, compruebe los registros de los componentes pertinentes. Para ello, haga lo siguiente:

  • Compruebe el registro para el componente afectado en /opt/sophos-spl/plugins/<plugin name>/log.
  • Compruebe el registro de instalación para el componente relevante en /opt/sophos-spl/logs/installation/<component>_install.log.
  • Compruebe el registro del guardián para ver si un componente no se ha podido iniciar en /opt/sophos-spl/logs/base/watchdog.log.

Solución de problemas del escaneado en tiempo real

El escaneo en tiempo real no funciona.

En Sophos Central, compruebe la siguiente configuración en la política de protección contra amenazas de su servidor:

  • Asegúrese de que Escaneado en tiempo real - Archivos locales y recursos de red esté activado.
  • Asegúrese de que Activar escaneado para Server Protection para el agente Linux esté activado.

En su dispositivo Linux, compruebe los siguientes elementos:

  • El valor para onRead y onWrite en /opt/sophos-spl/base/mcs/policy/CORC_policy.xml es true.
  • El valor para onOpen y onClose en /opt/sophos-spl/plugins/av/var/on_access_policy.json es true.

  • Compruebe /opt/sophos-spl/plugins/av/log/soapd.log. Si aparece alguna de las siguientes líneas, es que el escaneado asociado está desactivado:

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled

av.log shows "av > Quarantine failed for threat:"

SPL ha detectado una amenaza pero no ha podido poner en cuarentena el archivo. Compruebe /opt/sophos-spl/plugins/av/log/safestore.log para la detección. Si ve el siguiente mensaje, significa que SPL no puede poner en cuarentena el archivo:

safestore <> File at location: [PATH_TO_DETECTION] is immutable. Will not quarantine.

Los archivos inmutables tienen un conjunto de indicadores que especifican que el archivo no se puede cambiar, mover, eliminar ni sobrescribir, ni siquiera por parte del usuario raíz.

Solución de problemas de las detecciones en tiempo de ejecución

Las detecciones de tiempo de ejecución no funcionan

Vaya a Mis productos > Server > Políticas y hacer lo siguiente:

  • Compruebe la política de protección contra amenazas de su dispositivo Linux y asegúrese de que Detecciones en tiempo de ejecución de Linux esté activado. Consulte Protección en tiempo de ejecución.
  • Compruebe la política de detección en tiempo de ejecución de Linux de su dispositivo Linux y asegúrese de que Detecciones en tiempo de ejecución de Linux esté activado.

Vaya a Mis Productos* > Cloud Native Security > Perfiles y compruebe lo siguiente:

La Versión de contenido en Sophos Central tiene un número de compilación diferente al de rtd_content_version mostrado en un dispositivo Linux.

La Versión de contenido puede estar actualizada, incluso si el número de compilación es diferente. Consulte Versión de contenido.

Solución de problemas del complemento AV

El comando systemctl status sophos-spl devuelve /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher muerto con 64.

SPL también muestra un estado de seguridad rojo en Sophos Central con el mensaje "No iniciado: Sophos Linux AntiVirus".

SPL se instala en una distribución o kernel de Linux que no admite capacidades de entorno. Consulte los requisitos del sistema en las Notas de la edición de Sophos Protection para Linux.

av.log shows "av > Health encountered an error resolving pid for ThreatDetector."

SPL también muestra un estado de seguridad rojo en Sophos Central con el mensaje "No iniciado: Sophos Linux AntiVirus".

SPL no admite la ejecución con hidepid=1 o hidepid=2 en Ubuntu 20.04 ni Ubuntu 22.04. Debe editar /etc/vfstab y eliminar la opción hidepid de la línea de montaje.

Solución de problemas de aislamiento de dispositivos

¿Cómo puedo acceder a un dispositivo Linux aislado?

Le recomendamos que active Permitir conexiones de Live Response a servidores. Así podrá utilizar Live Response para conectarse a cualquier servidor compatible de su red. Consulte Activar Live Response para servidores. Los superadministradores de Sophos Central o los roles que incluyan "Iniciar sesiones de Live Response en servidores" pueden iniciar sesiones de Live Response con dispositivos Linux aislados.

Si necesita acceso a un dispositivo Linux aislado desde fuera de Sophos Central, debe usar exclusiones para permitir los servicios necesarios para acceder al dispositivo. Consulte Exclusiones del aislamiento de dispositivos.