Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Protokolle zu Sophos Protection for Linux

Sophos Protection for Linux (SPL) umfasst umfassende Protokollierung, mit der Sie Informationen bei der Fehlerbehebung sammeln und Einblicke auf dem Endpoint-Gerät in den Betrieb des Produkts erhalten können.

Auf einem Linux-Gerät werden nur Protokolle für lizenzierte Produkte angezeigt.

Protokollformat

Die meisten SPL-Protokolleinträge haben das folgende Format:

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

Beispiel:

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS-Anfrage war erfolgreich

Protokollierungsstufe

Die standardmäßige globale Protokollierungsstufe für SPL ist „INFO“. Sie können die Protokollierungsstufe von SPL ändern, indem Sie /opt/sophos-spl/base/etc/logger.conf.local den Wert für VERBOSITY bearbeiten und ändern. Gültige Protokollierungsstufen sind:

  • DEBUG
  • SUPPORT
  • INFO
  • WARNEN
  • FEHLER

Hinweis

Die Protokollierungsstufe wird nach SPL-Updates oder -Neustarts auf „INFO“ zurückgesetzt.

Sie können die Protokollierungsstufe global oder für jede Komponente einzeln ändern.

Um die Protokollierungsstufe global zu ändern, geben Sie den folgenden Text in /opt/sophos-spl/base/etc/logger.conf.local ein und ersetzen Sie [LOG_LEVEL] durch die gewünschte Protokollierungsstufe:

[global]
VERBOSITY = [LOG_LEVEL]

Um die Protokollierungsstufe für einzelne Komponenten zu ändern, geben Sie den folgenden Text in /opt/sophos-spl/base/etc/logger.conf.local ein und ersetzen Sie [PROCESS] durch den Namen der gewünschten SPL-Komponente und [LOG_LEVEL] durch die gewünschte Protokollierungsstufe:

[PROCESS]
VERBOSITY = [LOG_LEVEL]

Tipp

Die Schlüssel für die meisten Sophos-Prozesse sind die Namen der ausführbaren Dateien in Kleinbuchstaben. Um zum Beispiel die Protokollierungsstufe für Updatescheduler zu ändern, verwenden Sie [updatescheduler]. Die Ausnahmen von dieser Regel lauten wie folgt:

  • mcsrouter: [mcs_router]
  • sophos_managementagent: [managementagent]

Speichern Sie Ihre Änderungen, und starten Sie SPL neu, damit die Änderungen wirksam werden.

Tipp

Weitere Informationen finden Sie unter /opt/sophos-spl/base/etc/logger.conf.

Protokollspeicherorte

Basisprotokolldateien

SPL speichert die Protokolle für die Basiskomponenten unter /opt/sophos-spl/logs. Zu den Basiskomponenten gehören der Watchdog-Prozess, die Aktualisierung, Telemetrie, MCS und das Sophos Diagnostic Utility (SDU). Die Basis-Protokolldateien sind Folgende:

Watchdog-Protokolle

  • /opt/sophos-spl/logs/base/watchdog.log: Status der SPL-Prozesse. Zum Beispiel Beendigungscodes und vom Watchdog-Prozess gestartete Elemente.
  • /opt/sophos-spl/logs/base/wdctl.log: Enthält Details zu Anforderungen zum Stoppen und Starten von SPL-Prozessen.

Protokoll-Updates

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: Details der Protokoll-Updates. Zum Beispiel, wenn eine Aktualisierung beginnt und wenn sie beendet wird.
  • /opt/sophos-spl/logs/base/suldownloader.log: Das Haupt-Update-Protokoll. Enthält Details zu Komponenten-Updates und -Fehlern.
  • /opt/sophos-spl/logs/base/suldownloader_sync.log: Enthält Details zu den CDN-Verbindungen und Paketen, die SPL auf den Endpoint herunterlädt. Dazu gehören Informationen, die dem suldownloader-Protokoll hinzugefügt werden. Sie können diese Informationen zur Fehlerbehebung bei Update-Fehlern verwenden. SPL überschreibt dieses Protokoll bei jedem Update.

Telemetrie-Protokolle

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log: Enthält Details zu zuvor ausgeführter Telemetrie und zu dem Zeitpunkt, zu dem diese ausgeführt werden soll.
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log: Enthält Details zur Telemetrie, die von den Komponenten erfasst wurde. Enthält außerdem Details zu Fehlern.

MCS- und Verwaltungsprotokolle

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: Enthält Details zur Kommunikation zwischen dem Endpoint und Sophos Central.
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: Der Inhalt der von MCS bereitgestellten Nachrichten.
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: Enthält Details zu den Richtlinien und Befehlen, die MCS auf die SPL-Plug-Ins angewendet hat.

Diagnose-Tool-Protokolle

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: Protokolliert Remote-Anforderungen des Sophos Diagnostic Utility (SDU).
  • /opt/sophos-spl/logs/base/diagnose.log: Alle Elemente, die die SDU während der Archivierung sammelt.

Plug-In-Protokolldateien

SPL speichert die Protokolle für Plug-Ins unter /opt/sophos-spl/plugins/<PLUGIN>/log. Jedes Plug-In befindet sich in einem separaten Verzeichnis.

Hinweis

Wenn kein Protokoll oder Verzeichnis auf Ihrem Linux-Gerät vorhanden ist, stellen Sie sicher, dass Sie über die entsprechende Lizenz für dieses Plug-In verfügen. Auf einem Linux-Gerät werden nur Protokolle für lizenzierte Produkte angezeigt.

Die Plug-In-Protokolldateien sind Folgende:

AV-Plug-In

  • /opt/sophos-spl/plugins/av/log/av.log: Das Hauptprotokoll für das AV-Plug-In. Er zeigt die meisten wichtigen Ereignisse auf hoher Ebene.
  • /opt/sophos-spl/plugins/av/log/soapd.log: Enthält Details zum Status des Echtzeit-Scanners.
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: Enthält Details dazu, wann geplante Scans ausgelöst werden.
  • /opt/sophos-spl/plugins/av/log/safestore.log: Enthält Details darüber, welche Bedrohungen unter Quarantäne gestellt werden. Zeigt außerdem die Aktivität zum erneuten Scannen an, die bei isolierten Bedrohungen ausgeführt wurde. Zum Beispiel das erneute Scannen, wenn Sie eine neue Datei zu zulässigen Anwendungen hinzufügen.
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: Dieses Protokoll zeigt den Status des Threat-Scanner-Prozesses an. Dieser Vorgang führt die Scans durch, wenn sie von anderen Prozessen wie Echtzeit-Scans, dem geplanten Scanner oder dem Befehlszeilenscanner angefordert werden.
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: Enthält Debug-Informationen auf niedriger Ebene, die sich auf das AV-Plug-In beziehen. Zum Beispiel der Grund, warum der AV-Scanner eine Datei nicht scannen kann.

Plug-In für die Geräte-Isolation

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Enthält Details zur von Sophos Central ausgelösten Geräte-Isolation.

EDR-Plug-In

  • /opt/sophos-spl/plugins/edr/log/edr.log: Das Hauptprotokoll für das EDR-Plug-In (Live Query). Es enthält Informationen zur Live-Query-Richtlinie und zum Status der Erweiterungen „osquery“ und „Sophos“.
  • /opt/sophos-spl/plugins/edr/log/livequery.log: Enthält Details zu den Live-Abfragen, die in Sophos Central ausgelöst und auf dem Endpoint ausgeführt werden.
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log: Enthält Informationen zu allen geplanten Abfragen und zum Zeitpunkt ihrer Ausführung.
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log: Dieser Wert wird nur ausgefüllt, wenn sich EDR im DEBUG-Modus befindet. Im DEBUG-Modus enthält dieses Protokoll die Debug-Ausgabe des osquery-Prozesses.

Event-Journaler-Plug-In

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: Der Status des Event-Journaler-Plug-Ins. Enthält den Status für den Empfang von Ereignissen von den AV- oder RTD-Plug-Ins.

Plug-In für Reaktionsmaßnahmen

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log: Status des Plug-Ins für Reaktionsmaßnahmen. Alle auszuführenden Maßnahmen werden hier protokolliert, bevor sie ausgeführt werden.
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log: Enthält Details zum Status von Reaktionsmaßnahmen (Befehle, Upload, Downloads) und zu Problemen bei der Ausführung einer Reaktionsmaßnahme.

Plug-In zu Runtime Detections (RTD)

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: Details zum Status des RTD-Plug-Ins, einschließlich geladener Richtlinien sowie Erkennungen.

Live Response-Plug-In

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: Enthält Details zum Status des Live Response-Plug-Ins und zu Live-Terminal-Sitzungen.
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log: Enthält Details zu jeder einzelnen Live Response-Sitzung. Zum Beispiel die Sitzungs-ID und besuchte URL.

Andere Protokollpfade

Protokolle für das Downgrade und die Installation von Produkten finden Sie an den folgenden Stellen:

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: Dieses Verzeichnis enthält alle Protokolle, die während eines Produkt-Downgrades gesichert wurden.
  • /opt/sophos-spl/logs/installation/: Dieses Verzeichnis enthält ausführliche Installationsprotokolle.

Sophos Diagnostic Utility

Die SDU sammelt alle Protokolle vom SPL-Agenten, alle Plug-Ins und die Audit-Protokolle.

Führen folgenden Befehl aus:

/opt/sophos-spl/bin/sophos_diagnose

Dadurch wird eine Datei „.tar.gz“ in das aktuelle Arbeitsverzeichnis ausgegeben.

Um anzugeben, wo die SDU die Diagnoseausgabedatei erstellt, führen Sie den Befehl mit dem Verzeichnis aus, das Sie als erstes Argument verwenden möchten. Führen Sie zum Beispiel den folgenden Befehl aus, um die Diagnoseprotokollsammlung in /tmp auszugeben:

/opt/sophos-spl/bin/sophos_diagnose /tmp

Tipp

Sie können das SDU auch remote über Sophos Central ausführen. Siehe Diagnose.

SPL-Protokolle in Sophos Central

Die Protokollierung auf dem Endpoint-Gerät bietet mehr Details als die Protokollierung, die in Sophos Central angezeigt wird. Auf der Registerkarte Ereignisse auf der Detailseite eines Servers werden die Ereignisse auf dem Server angezeigt. Siehe Serverereignisse.

Sie sehen unter anderem folgende Ereignisse:

  • Update-Ereignisse
  • Malware- und PUA-Erkennungen
  • Malware- und PUA-Bereinigung
  • Ergebnisse von On-Demand-Scans

Tipp

Sie sehen die Ereignisse auch auf der Seite Alarme. Siehe Alarme.