Server Protection Agent
Einschränkung
Wenn Sie Sophos XDR Sensor verwenden, ist diese Funktion nicht verfügbar.
Sophos Protection for Linux verfügt über einen Agenten namens Server Protection, mit dem Sie On-Demand-Scans auf Ihren Linux-Geräten ausführen können. Server Protection ist ein Antivirenscanner (avscanner
).
Das Installationsverzeichnis für Server Protection lautet /opt/sophos-spl/plugins/av
.
Bevor Sie Server Protection verwenden, müssen Sie überprüfen, ob sich /usr/local/bin/
in Ihrem Pfad befindet.
avscanner
ist ein vollständiger Dateiscanner und Sie finden ihn unter /opt/sophos-spl/plugins/av/bin/avscanner
.
Sie können eine Datei, ein Archiv oder ein Verzeichnis scannen.
Sie können mehrere Scans gleichzeitig mit mehreren Terminals ausführen.
Befehlszeilenparameter
Sie können Optionen hinzufügen, wenn Sie einen Scan über die Befehlszeile ausführen.
Geben Sie dazu avscanner PATH OPTION
.
Der avscanner
-Befehl unterstützt die folgenden Befehlszeilenoptionen:
Hilfe
Drucken Sie die avscanner
-Hilfe aus.
-h
--help
Überprüfen von Archivdateien
Überprüfen Sie den Inhalt von Archivdateien.
-a
--scan-archives
Disk-Images
Scannen Sie Disk-Images.
-i
--scan-images
PUAs erkennen
Stellen Sie avscanner
ein, um potenziell unerwünschte Anwendungen (PUAs) während eines Scans zu erkennen. Standardmäßig deaktiviert.
-p
--detect-puas
PUAs ausschließen
Bestimmte PUA-Erkennungen von der Meldung ausschließen.
--exclude-puas <THREAT>
Nachgestelltes Argument
Durch Komma getrennte Liste der PUA-Erkennungen, die ausgeschlossen werden sollen.
Tipp
Sie können einen PUA-Erkennung nach Namen, zum Beispiel „PsExec“ oder „Cain n Abel“ ausschließen. Sie finden den Namen der Erkennung in den Protokollen oder auf der Sophos-Website. Siehe Adware und PUAs.
Symbol-Links
Befolgen Sie beim Scannen Symbol-Links.
-s
--follow-symlinks
Ausschlüsse
Schließen Sie Verzeichnisse vom Scannen aus.
-x
--exclude <EXCLUSION>
Nachgestelltes Argument
Pfad zu dem Verzeichnis, das Sie ausschließen möchten. Ausschlüsse verwenden dieselbe Syntax wie Sophos Central-Ausschlüsse. Siehe Ausschlüsse werden gescannt.
Hinweis
Pfadausschlüsse in Sophos Central gelten nicht für Befehlszeilen-Scans. Sie müssen --exclude
verwenden, um Objekte manuell vom Scannen auszuschließen. Dateien, die von Hash in Sophos Central zugelassen werden, sind bei Befehlszeilen-Scans weiterhin zulässig.
Ausgabe
Senden Sie die Ausgabe an eine Protokolldatei.
-o
--output <OUTPUT>
Nachgestelltes Argument
Pfad zu der Datei, in die die Ausgabe geschrieben werden soll.
Protokollierungsstufe
Protokollierungsstufe festlegen. Dadurch wird nur die Protokollierungsstufe für avscanner
festgelegt. Die Protokollierungsstufe für die anderen Komponenten von Sophos Protection for Linux werden dadurch nicht geändert.
-l
--log-level <LOGLEVEL>
Nachgestelltes Argument
Die Protokollierungsebene, die Sie festlegen möchten.
Folgende Optionen stehen zur Verfügung: DEBUG
, SUPPORT
, INFO
, WARN
, oder ERROR
.
Wildcards
Sie können Platzhalterzeichen verwenden. Wenn Sie Platzhalter verwenden möchten, beachten Sie bitte Folgendes:
- Die Shell erweitert Platzhalter, bevor
avscanner
die Optionen sieht. - Wenn Sie Maskierungszeichen oder Anführungszeichen für Ihre Platzhalter verwenden, verwendet
avscanner
diese. Sie funktionieren genauso wie Platzhalter für geplante Scan-Ausschlüsse. Siehe Linux-Scan-Ausschlüsse.
Wenn Sie versuchen, einen On-Demand-Scan auszuführen, während ein Scan bereits ausgeführt wird, wird in der Protokolldatei eine Meldung zur Ablehnung des Scans angezeigt. Diese finden Sie unter /opt/sophos-sspl/plugins/av/log/av.log
. Siehe „Protokolldateien“.
Beispielbefehle
Stammverzeichnis (rekursiv einschließlich Dot-Dateien oder -Verzeichnissen) einschließlich des Inhalts aller Archivdateien scannen:
avscanner / --scan-archives
Stammverzeichnis scannen und allen Symlinks folgen:
avscanner / --follow-symlinks
Verzeichnis /usr
unter Ausschluss von /usr/local
scannen:
avscanner /usr --exclude /usr/local/
Orderverzeichnis scannen und folder
mit der Erweiterung .log
ausschließen:
avscanner folder --exclude '\*.log'
Datei foo.exe
scannen und die Ausgabe in eine Protokolldatei mit der Bezeichnung scan.log
weiterleiten:
avscanner foo.exe -o scan.log
Stammverzeichnis scannen, wobei die Protokollierungsstufe „Info“ lautet:
avscanner / --log-level info
Fehlercodes der On-Demand-Überprüfung
Der Ausgabe-Code von avscanner
an die Shell zeigt das Ergebnis der Überprüfung an. Nach Abschluss der Überprüfung können Sie sich den Code durch Eingabe eines Befehls anzeigen lassen.
Beispiel
echo $?
In dieser Tabelle werden allgemeine Rückgabecodes von avscanner
aufgeführt. Es können weitere Rückkehrcodes angezeigt werden, die für zusätzliche Fehlerbehebungen durch den Sophos Support verwendet werden.
Rückgabecode | Beschreibung |
---|---|
0 | Erfolgreiche Überprüfung. Keine Fehler und keine Erkennungen. |
8 | Nicht schwerwiegender Fehler. Überprüfung wird weiter ausgeführt. Sehen Sie unter |
16 | Kennwortgeschützte Datei gefunden. |
24 | Schädliche Datei gefunden und nicht bereinigt. |
36 | Schwerwiegender Fehler. Scan abgebrochen. Sehen Sie unter |
40 | Überprüfung wurde unterbrochen. |