Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=f5665f6f-6aa4-4e72-a76d-780c2f58f7e4

Log di Sophos Protection for Linux

Sophos Protection for Linux (SPL) include log dettagliati sul dispositivo endpoint, che permettono di raccogliere informazioni utili per la risoluzione dei problemi e di ottenere approfondimenti sul funzionamento del prodotto.

Su un dispositivo Linux vengono visualizzati solo i log dei prodotti per i quali si possiede una licenza.

Formato dei log

La maggior parte delle voci dei log di SPL ha questo formato:

<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>

Ecco un esempio:

180688  [2023-09-15T14:17:40.125]    INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful

Livello di log

Il livello di log globale predefinito per SPL è “INFO”. È possibile cambiare il livello di log di SPL modificando /opt/sophos-spl/base/etc/logger.conf.local e inserendo un valore diverso per VERBOSITY. I livelli di log validi sono i seguenti:

  • DEBUG
  • SUPPORTO
  • INFO
  • AVVISO
  • ERRORE

Nota

Il livello di log torna su “INFO” dopo un aggiornamento o un riavvio di SPL.

Il livello di log può essere modificato globalmente oppure individualmente per ciascun componente.

Per modificare il livello di log globale, inserire il testo seguente in /opt/sophos-spl/base/etc/logger.conf.local, sostituendo [LOG_LEVEL] con il livello di log desiderato:

[global]
VERBOSITY = [LOG_LEVEL]

Per modificare il livello di log dei singoli componenti, inserire il testo seguente in /opt/sophos-spl/base/etc/logger.conf.local, sostituendo [PROCESS] con il nome del componente SPL interessato e [LOG_LEVEL] con il livello di log desiderato:

[PROCESS]
VERBOSITY = [LOG_LEVEL]

Consiglio

Le chiavi della maggior parte dei processi Sophos sono i nomi dei file eseguibili in minuscolo. Ad esempio, per modificare il livello di log di UpdateScheduler, è necessario specificare [updatescheduler]. Le eccezioni a questa regola sono le seguenti:

  • mcsrouter: [mcs_router]
  • sophos_managementagent: [managementagent]

Salvare le modifiche e riavviare SPL per renderle effettive.

Consiglio

Per maggiori informazioni, vedere /opt/sophos-spl/base/etc/logger.conf.

Percorsi dei log

File di log dei componenti di base

SPL memorizza i log per i componenti di base in /opt/sophos-spl/logs. I componenti di base includono il processo watchdog, gli aggiornamenti, la telemetria, MCS e la Sophos Diagnostic Utility (SDU). I file di log dei componenti di base sono i seguenti:

Log del watchdog

  • /opt/sophos-spl/logs/base/watchdog.log: Stato dei processi di SPL. Ad esempio, i codici di uscita e gli elementi avviati dal processo watchdog.
  • /opt/sophos-spl/logs/base/wdctl.log: Include dettagli per le richieste di arresto e avvio dei processi di SPL.

Aggiornamento dei log

  • /opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: Dettagli sugli aggiornamenti dei log. Ad esempio, quando ha inizio e quando termina un aggiornamento.
  • /opt/sophos-spl/logs/base/suldownloader.log: Il principale log degli aggiornamenti. Contiene i dettagli relativi agli aggiornamenti e a eventuali problemi dei componenti.
  • /opt/sophos-spl/logs/base/suldownloader_sync.log: Include dettagli sulle connessioni della CDN e sui pacchetti scaricati da SPL sull’endpoint. Contiene informazioni aggiuntive rispetto a quelle reperibili nel log suldownloader. Queste informazioni possono essere utilizzate per risolvere i problemi relativi agli aggiornamenti non riusciti. SPL sovrascrive questo log a ogni aggiornamento.

Log di telemetria

  • /opt/sophos-spl/logs/base/sophosspl/tscheduler.log: Include dettagli sulle analisi di telemetria eseguite in passato e su quando ne è programmata l’esecuzione.
  • /opt/sophos-spl/logs/base/sophosspl/telemetry.log: Include dettagli sui dati di telemetria raccolti dai componenti. Include anche dettagli su eventuali errori.

Log MCS e di gestione

  • /opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: Include dettagli sulle comunicazioni tra l’endpoint e Sophos Central.
  • /opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: Il contenuto dei messaggi forniti da MCS.
  • /opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: Include dettagli sui criteri e sui comandi MCS applicati ai plugin di SPL.

Log degli strumenti di diagnostica

  • /opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: Registra le richieste remote della Sophos Diagnostic Utility (SDU).
  • /opt/sophos-spl/logs/base/diagnose.log: Tutti gli elementi raccolti dalla SDU durante la creazione di archivi.

File di log dei plugin

SPL memorizza i log dei plugin in /opt/sophos-spl/plugins/<PLUGIN>/log. Ogni plugin si trova in una directory a parte.

Nota

Se sul dispositivo Linux non è presente un log o una directory, assicurarsi di avere la licenza appropriata per quel plugin. Su un dispositivo Linux vengono visualizzati solo i log dei prodotti per i quali si possiede una licenza.

I file di log dei plugin sono i seguenti:

plugin AV

  • /opt/sophos-spl/plugins/av/log/av.log: Il log principale del plugin AV. Mostra la maggior parte degli eventi importanti di livello più alto.
  • /opt/sophos-spl/plugins/av/log/soapd.log: Include dettagli sullo stato della scansione in tempo reale.
  • /opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: Include dettagli su quando vengono attivate le scansioni pianificate.
  • /opt/sophos-spl/plugins/av/log/safestore.log: Include dettagli sulle minacce che vengono messe in quarantena. Mostra anche le attività di ripetizione della scansione eseguite per le minacce in quarantena. Ad esempio, l’esecuzione di una nuova scansione quando viene aggiunto un nuovo file alle applicazioni autorizzate.
  • /opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: Questo log mostra lo stato del processo di scansione delle minacce. Questo processo esegue scansioni quando viene richiesto da altri processi, ad esempio: scansioni in tempo reale, scansioni pianificate o scansioni dalla riga di comando.
  • /opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: Include informazioni di debug di basso livello relative al plugin AV. Ad esempio, il motivo per cui la scansione AV non è in grado di analizzare un file.

Plugin Isolamento dispositivo

  • /opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Include dettagli sull’isolamento di un dispositivo attivato da Sophos Central.

plugin EDR

  • /opt/sophos-spl/plugins/edr/log/edr.log: Il log principale del plugin EDR (Live Query). Mostra informazioni relative al criterio Live Query e allo stato osquery e delle estensioni Sophos.
  • /opt/sophos-spl/plugins/edr/log/livequery.log: Include dettagli sulle Live Query attivate in Sophos Central ed eseguite sull’endpoint.
  • /opt/sophos-spl/plugins/edr/log/scheduledquery.log: Include informazioni su tutte le query pianificate e su quando vengono eseguite.
  • /opt/sophos-spl/plugins/edr/log/edr_osquery.log: Questo campo viene popolato solo quando EDR si trova in modalità DEBUG. In modalità DEBUG, questo log contiene l’output di debug del processo osquery.

Plugin Event Journaler

  • /opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: Lo stato del plugin Event Journaler. Ne include lo stato per la ricezione di eventi dai plugin AV o RTD.

Plugin Azioni di risposta

  • /opt/sophos-spl/plugins/responseactions/log/responseactions.log: Stato del plugin Azioni di risposta. Tutte le azioni da eseguire vengono registrate qui prima di essere eseguite.
  • /opt/sophos-spl/plugins/responseactions/log/actionrunner.log: Include dettagli sullo stato delle azioni di risposta (comandi, caricamenti, download) ed eventuali problemi durante l’esecuzione di un’azione di risposta.

Plugin Rilevamento di runtime (RTD)

  • /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: Dettagli sullo stato del plugin RTD, inclusi i criteri che ha caricato e se sono stati effettuati rilevamenti.

Plugin Live Response

  • /opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: Include dettagli sullo stato del plugin Live Response e su eventuali sessioni di Live Terminal.
  • /opt/sophos-spl/plugins/liveresponse/log/sessions.log: Include dettagli su ogni singola sessione di Live Response. Ad esempio, l’ID della sessione e l’URL visitato.

Altri percorsi dei log

I log per il downgrade e l’installazione dei prodotti si trovano nei seguenti percorsi:

  • /opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: Questa directory contiene tutti i log di cui è stato eseguito il backup durante il downgrade di un prodotto.
  • /opt/sophos-spl/logs/installation/: Questa directory contiene log di installazione dettagliati.

Sophos Diagnostic Utility

La SDU raccoglie tutti i log dall’agente SPL, tutti i plugin e i log di controllo.

Eseguire il comando:

/opt/sophos-spl/bin/sophos_diagnose

Questo comando genera un file .tar.gz nella directory di lavoro attuale.

Per specificare dove la SDU deve creare il file di output di diagnostica, eseguire il comando specificando la directory desiderata come primo argomento. Ad esempio, per generare la raccolta dei log di diagnostica in /tmp, eseguire questo comando:

/opt/sophos-spl/bin/sophos_diagnose /tmp

Consiglio

La SDU può anche essere eseguita da remoto, con Sophos Central. Vedere Diagnosi.

Log di SPL in Sophos Central

I log sul dispositivo endpoint offrono maggiori dettagli rispetto ai log disponibili in Sophos Central. La scheda Eventi nella pagina dei dettagli di un server permette di visualizzare gli eventi sul server. Vedere Eventi del server.

Di seguito vengono riportati alcuni degli eventi che possono essere visualizzati:

  • Eventi di aggiornamento
  • Rilevamenti di malware e PUA
  • Rimozione di malware e PUA
  • Risultati delle scansioni su richiesta

Consiglio

Gli eventi saranno visibili anche nella pagina Avvisi. Vedere Avvisi.