Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Journaux Sophos Protection for Linux

Sophos Protection for Linux (SPL) fournit des fonctions de journalisation étendues sur le terminal vous permettant de recueillir des informations lors du dépannage et d’obtenir un aperçu du fonctionnement du produit.

Seuls les journaux correspondant aux produits sous licence apparaissent sur les appareils Linux.

Format des journaux

La plupart des entrées de journal SPL sont affichées sous le format suivant :

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

Voici un exemple :

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful

Niveau de journal

Le niveau de journal général par défaut pour SPL est « INFO ». Vous pouvez modifier le niveau de journalisation de SPL en modifiant /opt/sophos-spl/base/etc/logger.conf.local et en modifiant la valeur de VERBOSITY. Les niveaux de journalisation valides sont les suivants :

  • DEBUG
  • SUPPORT
  • INFO
  • AVERTIR
  • ERREUR

Remarque

Le niveau de journalisation revient à « INFO » après la mise à jour ou le redémarrage de SPL.

Vous pouvez modifier le niveau de journalisation partout ou pour chaque composant individuel.

Pour modifier le niveau de journalisation de manière générale, saisissez le texte suivant dans /opt/sophos-spl/base/etc/logger.conf.local, en remplaçant [LOG_LEVEL] par le niveau de journalisation souhaité :

[global]
VERBOSITY = [LOG_LEVEL]

Pour modifier le niveau de journalisation de composants individuels, saisissez le texte suivant dans /opt/sophos-spl/base/etc/logger.conf.local, en remplaçant [PROCESS] par le nom du composant SPL souhaité et [LOG_LEVEL] par le niveau de journalisation souhaité :

[PROCESS]
VERBOSITY = [LOG_LEVEL]

Conseil

Les clés de la plupart des processus Sophos correspondent aux noms des exécutables en minuscules. Par exemple, pour modifier le niveau de journalisation de Updatescheduler, il suffit d’utiliser [updatescheduler]. Les exceptions à cette règle sont les suivantes :

  • mcsrouter: [mcs_router]
  • sophos_managementagent: [managementagent]

Enregistrez vos modifications et redémarrez SPL pour appliquer vos modifications.

Conseil

Vous trouverez plus d’informations dans /opt/sophos-spl/base/etc/logger.conf.

Emplacements des journaux

Fichiers journaux de base

SPL stocke les journaux pour les composants de base dans /opt/sophos-spl/logs. Les composants de base comprennent le processus de surveillance, la mise à jour, la télémétrie, MCS et l’utilitaire de diagnostic Sophos (SDU). Les fichiers journaux de base sont les suivants :

Journaux de surveillance (Watchdog)

  • /opt/sophos-spl/logs/base/watchdog.log : État des processus SPL. Par exemple, les codes de sortie et ce qui a été démarré par le processus de surveillance.
  • /opt/sophos-spl/logs/base/wdctl.log : Inclut des détails sur les demandes d’arrêt et de démarrage des processus SPL.

Mise à jour des journaux

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log : Détails de la mise à jour des journaux. Par exemple, l’heure de début et de fin de la mise à jour.
  • /opt/sophos-spl/logs/base/suldownloader.log : Journal de mise à jour principal. Contient des détails sur les mises à jour et les échecs des composants.
  • /opt/sophos-spl/logs/base/suldownloader_sync.log : Inclut des détails sur les connexions CDN et les packages que SPL télécharge sur le terminal. Cela inclut des informations additionnelles à ce qui se trouve dans le journal « suldownloader ». Vous pouvez utiliser ces informations pour résoudre les problèmes de mise à jour. SPL remplace ce journal à chaque mise à jour.

Journaux de télémétrie

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log : Inclut des détails sur les mesures télémétriques exécutées précédemment ainsi que la date de la prochaine.
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log : Inclut des détails des mesures télémétriques recueillies à partir des composants. Inclut également des détails de toute défaillance éventuelle.

MCS et journaux de gestion

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log : Inclut des détails sur la communication entre le terminal et Sophos Central.
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log : Le contenu des messages fournis par MCS.
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log : Inclut des détails sur les stratégies et commandes que MCS a appliquées aux plugins SPL.

Journaux de l’outil de diagnostic

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log : Journalise les requêtes distantes de Sophos Diagnostic Utility (SDU).
  • /opt/sophos-spl/logs/base/diagnose.log : Tous les éléments que le SDU collecte pendant la création de l’archive.

Fichiers journaux du plugin

SPL stocke les journaux des plugins sur /opt/sophos-spl/plugins/<PLUGIN>/log. Chaque plugin fait l’objet d’un répertoire distinct.

Remarque

Si un journal ou un répertoire n’est pas présent sur votre appareil Linux, assurez-vous d’avoir la bonne licence pour ce plugin. Seuls les journaux correspondant aux produits sous licence apparaissent sur les appareils Linux.

Les fichiers journaux du plug-in sont les suivants :

Plug-in antivirus

  • /opt/sophos-spl/plugins/av/log/av.log : Journal principal du plugin de l’AV. Il montre la plupart des événements importants à un niveau élevé.
  • /opt/sophos-spl/plugins/av/log/soapd.log : Inclut des détails sur l’état du contrôle en temps réel.
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log : Inclut des détails sur le déclenchement des contrôles planifiés.
  • /opt/sophos-spl/plugins/av/log/safestore.log : Inclut des détails sur les types de menaces mises en quarantaine. Affiche également les nouveaux contrôles effectués sur les menaces en quarantaine. Par exemple, le contrôle effectué lorsque vous ajoutez un nouveau fichier aux applications autorisées.
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log : Ce journal indique l’état du processus de contrôle des menaces. Ce processus effectue les contrôles lorsque d’autres processus le demandent, tels que le contrôle en temps réel, le contrôle planifié ou le contrôle par ligne de commande.
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log : Inclut des informations de débogage de bas niveau liées au plugin AV. Par exemple, la raison pour laquelle le contrôle AV ne parvient pas à contrôler un fichier.

Plug-in d’isolement de l’appareil

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log : Inclut des détails sur l’isolement de l’appareil déclenché par Sophos Central.

Plug-in EDR

  • /opt/sophos-spl/plugins/edr/log/edr.log : Journal principal du plugin EDR (Live Query). Il affiche des informations sur la stratégie Live Query et l’état des extensions osquery et Sophos.
  • /opt/sophos-spl/plugins/edr/log/livequery.log : Inclut des détails sur les requêtes en direct déclenchées dans Sophos Central et exécutées sur le terminal.
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log : Inclut des informations sur toutes les requêtes planifiées et leur exécution.
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log : Ce champ est renseigné uniquement lorsque EDR est en mode DEBUG. En mode DEBUG, ce journal contient les données de sortie du débogage du processus osquery.

Plugin du journal des événements

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log : L’état du plugindu journal des événements. Inclut son état pour la réception d’événements à partir des plugins AV ou RTD.

Plugin des actions de réponse

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log : État du plugin des actions de réponse. Toutes les actions à exécuter sont journalisées ici avant d’être exécutées.
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log : Inclut des détails sur l’état des actions de réponse (commandes, téléchargements) et s’il y a des problèmes lors de l’exécution d’une action de réponse.

Plugin de détections runtime (RTD)

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log : Détails sur l’état du plugin RTD, y compris les stratégies qu’il a chargées et s’il y a eu des détections.

Plugin Live Response

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log : Inclut des détails sur l’état du plugin Live Response et de toutes les sessions de terminal en direct.
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log : Inclut des détails pour chaque session Live Response individuelle. Par exemple, l’ID de session et l’URL visitée.

Autres chemins d’accès aux journaux

Vous pouvez trouver les journaux de mise à niveau et d’installation du produit aux emplacements suivants :

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/ : Ce répertoire contient tous les journaux sauvegardés lors de la mise à niveau d’un produit vers une version antérieure.
  • /opt/sophos-spl/logs/installation/ : Ce répertoire contient des journaux d’installation détaillés.

Sophos Diagnostic Utility

Le SDU rassemble tous les journaux de l’agent SPL, tous les plugins et les journaux d’audit.

Exécutez la commande :

/opt/sophos-spl/bin/sophos_diagnose

Ceci génère un fichier .tar.gz dans le répertoire de travail actuel.

Pour spécifier où le SDU crée le fichier de sortie de diagnostic, exécutez la commande avec le répertoire souhaité comme premier argument. Par exemple, pour sortir la collection du journal de diagnostic dans /tmp, exécutez la commande suivante :

/opt/sophos-spl/bin/sophos_diagnose /tmp

Conseil

Vous pouvez également exécuter le SDU à partir de Sophos Central. Voir Diagnostiquer.

Journaux SPL dans Sophos Central

Le journal se trouvant sur le terminal offre plus de détails que celui apparaissant dans Sophos Central. L’onglet Événements sur la page des informations d’un serveur vous permet de voir les événements sur le serveur. Voir Événements de serveurs.

Voici des exemples d’événements que vous pourrez y trouver :

  • Événements de mise à jour
  • Détections de malwares et d’applis potentiellement indésirables
  • Nettoyage de malwares et d’applis potentiellement indésirables
  • Résultats du contrôle à la demande

Conseil

Les événements sont également affichés sur la page Alertes. Voir Alertes.