Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=protect-devices-server-Linux-agent-troubleshooting

Problembehebung zu Sophos Protection for Linux

Auf dieser Seite wird die Fehlerbehebung für häufige Fehler in Sophos Protection for Linux (SPL) beschrieben.

Installationsfehler

Tipp

Wenn Sie mehr Einblicke in einen Fehler benötigen, aktivieren Sie die Debug-Protokollierung und führen Sie den Installer erneut aus. Siehe Thin Installer debuggen.

./SophosSetup.sh: Erlaubnis verweigert

Sie müssen die Berechtigung „Execute“ zu SophosSetup.sh hinzufügen. Geben Sie folgendes Kommando ein:

chmod +x SophosSetup.sh

Führen Sie dieses Installationsprogramm als root aus

Sie müssen SophosSetup.sh mit root-Berechtigungen ausführen. Verwenden Sie den sudo-Befehl oder wechseln Sie zum root-Benutzer.

Es wurde eine vorhandene Installation von SAV in /opt/sophos-av/ gefunden. Dieses Produkt kann nicht zusammen mit Sophos Anti-Virus verwendet werden

Sie müssen SophosSetup.sh mit dem Flag --uninstall-sav ausführen, um Sophos Anti-Virus for Linux während der Installation von SPL zu entfernen.

SPL-Installation schlägt fehl, Installation in '<path>' kann nicht durchgeführt werden.

Die Installation schlägt fehl, wenn Sie einen Symlink referenzieren. Sie müssen das Installationsprogramm mit dem --install-dir-Befehl erneut ausführen und den Pfad zu dem Verzeichnis verwenden, auf das der Symlink verweist.

Verbindung zu Sophos Central kann nicht hergestellt werden – bitte überprüfen Sie Ihre Netzwerkverbindungen

Ihre Linux-Maschine muss in der Lage sein, eine Verbindung zum Internet herzustellen und Datenverkehr zu allen Sophos Central-Domänen muss zugelassen sein, bevor Sie SPL installieren können. Siehe Zuzulassende Domänen und Ports.

SPL-Installation schlägt fehl, da keine Verbindung zu Sophos Central hergestellt werden konnte

Die Überprüfung der Installationsvoraussetzungen von Sophos schlagen fehl, wenn curl nicht auf dem Linux-Gerät installiert sind. Installieren Sie curl und versuchen Sie es erneut. Unter Umständen sehen Sie zudem die folgenden Nachrichten:

  • Die SPL-Installation schlägt fehl, da keine Verbindung zum SUS-Server hergestellt werden konnte
  • Die SPL-Installation schlägt fehl, da keine Verbindung zu einem CDN-Server hergestellt werden konnte

Verbindung zum Repository konnte nicht hergestellt werden: Fehler:

Ihre Linux-Geräte sind einem Softwarepaket zugewiesen, das eingestellt wurde. Ändern Sie Ihre Update-Management-Richtlinie und weisen Sie Ihre Linux-Geräte einem aktuellen Softwarepaket zu. Siehe Server-Update-Management-Richtlinie.

Komponenten werden nicht ausgeführt oder können nicht installiert werden.

Wenn ein Produkt fehlt, stellen Sie sicher, dass Sie über die richtige Lizenz für das fehlende Produkt verfügen.

Wenn das Produkt installiert, aber nicht ausgeführt wird, prüfen Sie die Protokolle für die entsprechenden Komponenten. Gehen Sie dazu wie folgt vor:

  • Prüfen Sie das Protokoll für die betroffene Komponente unter /opt/sophos-spl/plugins/<plugin name>/log.
  • Prüfen Sie das Installationsprotokoll für die entsprechende Komponente unter /opt/sophos-spl/logs/installation/<component>_install.log.
  • Prüfen Sie das Watchdog-Protokoll, um festzustellen, ob eine Komponente unter /opt/sophos-spl/logs/base/watchdog.log nicht gestartet werden konnte.

Beheben von Fehler mit Echtzeit-Scans

Echtzeit-Scans funktionieren nicht.

Überprüfen Sie in Sophos Central die folgenden Einstellungen in der Threat-Protection-Richtlinie Ihres Servers:

  • Stellen Sie sicher, dass Echtzeit-Scans - Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk aktiviert ist.
  • Stellen Sie sicher, dass Scannen aktivieren für Server Protection for Linux Agent aktiviert ist.

Überprüfen Sie auf Ihrem Linux-Gerät die folgenden Punkte:

  • Der Wert für onRead und onWrite in /opt/sophos-spl/base/mcs/policy/CORC_policy.xml ist true.
  • Der Wert für onOpen und onClose in /opt/sophos-spl/plugins/av/var/on_access_policy.json ist true.

  • Überprüfen Sie /opt/sophos-spl/plugins/av/log/soapd.log. Wenn eine der folgenden Zeilen angezeigt wird, wird der zugehörige Scan ausgeschaltet:

    • soapd_bootstrap <> Scanning on-open disabled
    • soapd_bootstrap <> Scanning on-close disabled

av.log shows "av > Quarantine failed for threat:"

SPL hat eine Bedrohung erkannt, konnte die Datei jedoch nicht unter Quarantäne stellen. Überprüfen Sie die Erkennung in /opt/sophos-spl/plugins/av/log/safestore.log. Wenn die folgende Meldung angezeigt wird, bedeutet dies, dass SPL die Datei nicht in Quarantäne stellen kann:

safestore <> Datei in Verzeichnis: [PATH_TO_DETECTION] ist unveränderbar. Quarantäne nicht möglich.

Unveränderliche Dateien umfassen eine Markierung, die angibt, dass die Datei nicht geändert, verschoben, gelöscht oder überschrieben werden kann, nicht einmal vom Root-Benutzer.

Fehlerbehebung bei Laufzeiterkennungen

Runtime-Erkennungen funktionieren nicht

Gehen Sie zu Meine Produkte > Server > Richtlinien und gehen Sie wie folgt vor:

  • Überprüfen Sie die Threat Protection-Richtlinie Ihres Linux-Geräts und stellen Sie sicher, dass Linux-Laufzeiterkennungen aktiviert sind. Siehe Laufzeitschutz.
  • Überprüfen Sie die Richtlinie zur Linux-Laufzeiterkennung auf Ihrem Linux-Gerät und stellen Sie sicher, dass die Option Linux-Laufzeiterkennung aktivieren aktiviert ist.

Gehen Sie zu Meine Produkte* > Cloud Native Security > Profile und überprüfen Sie Folgendes:

Die neueste Inhaltsversion in Sophos Central hat eine andere Build-Nummer als die rtd_content_version-Version, die auf einem Linux-Gerät angezeigt wird.

Die Inhaltsversion ist möglicherweise immer noch auf dem neuesten Stand, auch wenn die Build-Nummer unterschiedlich ist. Siehe Inhaltsversion.

Fehlerbehebung bei AV-Plug-Ins

Der Befehl systemctl status sophos-spl gibt /opt/sophos-spl/plugins/av/sbin/sophos_threat_detector_launcher died with 64 zurück.

SPL zeigt auch einen roten Systemzustand in Sophos Central mit der Meldung „Nicht gestartet: Sophos Linux AntiVirus“.

SPL wird auf einer Linux-Distribution oder einem Linux-Kernel installiert, die keine Umgebungsfunktionen unterstützt. Siehe die Systemanforderungen in der Versionsinfo zu Sophos Protection for Linux.

av.log shows "av > Health encountered an error resolving pid for ThreatDetector."

SPL zeigt auch einen roten Systemzustand in Sophos Central mit der Meldung „Nicht gestartet: Sophos Linux AntiVirus“.

SPL unterstützt nicht die Ausführung mit hidepid=1 oder hidepid=2 auf Ubuntu 20.04 und Ubuntu 22.04. Sie müssen /etc/vfstab bearbeiten und die Option hidepid aus der Mount-Linie entfernen.

Fehlerbehebung bei der Geräte-Isolation

Wie kann ich auf ein isoliertes Linux-Gerät zugreifen?

Wir empfehlen, die Option Live-Response-Verbindungen zu Servern erlauben zu aktivieren. So können Sie mit Live Response eine Verbindung zu jedem unterstützten Server Ihrem Netzwerk herstellen. Siehe Aktivieren von Live Response für Server. Sophos Central Super-Administratoren oder Rollen, die „Live-Response-Sitzungen auf Servern starten“ enthalten, können Live-Response-Sitzungen mit isolierten Linux-Geräten starten.

Wenn Sie Zugriff auf ein isoliertes Linux-Gerät von außerhalb von Sophos Central benötigen, müssen Sie Ausschlüsse verwenden, um die Dienste zu ermöglichen, die für den Zugriff auf das Gerät erforderlich sind. Siehe Geräte-Isolations-Ausschlüsse.