Sophos Protection for Linux 개선 사항
Sophos Protection for Linux(SPL)에는 문제 해결 시 정보를 수집하고 제품 운영에 대한 통찰력을 얻는 데 사용할 수 있는 엔드포인트 장치에 대한 광범위한 로깅이 포함됩니다.
Linux 장치에는 라이센스가 있는 제품의 로그만 표시됩니다.
로그 형식
대부분의 SPL 로그 항목은 다음 형식을 사용합니다.
<Time since proc start (ms)> [Log time] <LOG LEVEL> [Thread ID] <Logger> <> <Message>
예를 들면 다음과 같습니다.
180688 [2023-09-15T14:17:40.125] INFO [9263606720] SulDownloaderSDDS3 <> SUS Request was successful
로그 수준
SPL의 기본 글로벌 로그 수준은 "INFO"입니다. /opt/sophos-spl/base/etc/logger.conf.local 에 대한 값을 편집하고 변경하여 SPL의 로그 수준을 변경할 수 있습니다 VERBOSITY. 유효한 로그 수준은 다음과 같습니다.
- 디버그
- 지원
- 정보
- 경고
- 오류
참고
SPL 업데이트 또는 재시작 후 로그 수준이 "INFO"로 되돌아갑니다.
로그 레벨을 전역적으로 또는 각 구성 요소에 대해 개별적으로 변경할 수 있습니다.
로그 수준을 전체적으로 변경하려면 에 다음 텍스트를 /opt/sophos-spl/base/etc/logger.conf.local입력하고 [LOG_LEVEL]을 원하는 로그 수준으로 바꿉니다.
[global]
VERBOSITY = [LOG_LEVEL]
개별 구성 요소의 로그 수준을 변경하려면 에 다음 텍스트를 입력하고 /opt/sophos-spl/base/etc/logger.conf.local[Process]를 원하는 SPL 구성 요소의 이름으로 바꾸고 [LOG_LEVEL]을 원하는 로그 수준으로 바꿉니다.
[PROCESS]
VERBOSITY = [LOG_LEVEL]
팁
대부분의 Sophos 프로세스의 키는 소문자로 된 실행 파일의 이름입니다. 예를 들어 Updatescheduler의 로그 수준을 변경하려면 [updatescheduler]를 사용합니다. 이 규칙의 예외는 다음과 같습니다.
- mcsrouter: [mcs_router]
- sophos_managementagent: [managementagent]
변경 사항을 저장하고 SPL을 다시 시작하여 변경 사항을 적용합니다.
팁
사용에 대한 추가 도움말은 /opt/sophos-spl/base/etc/logger.conf에 나와 있습니다.
로그 위치
기본 로그 파일
SPL은 에 기본 구성 요소의 로그를 저장합니다 /opt/sophos-spl/logs. 기본 구성 요소에는 워치도그 프로세스, 업데이트, 원격 측정, MCS 및 Sophos 진단 유틸리티(SDU)가 포함됩니다. 기본 URL 형식은 다음과 같습니다.
감시 로그
/opt/sophos-spl/logs/base/watchdog.log: SPL 프로세스의 상태입니다. 예를 들어 종료 코드 및 감시 프로세스에 의해 시작된 항목 등이 있습니다./opt/sophos-spl/logs/base/wdctl.log: SPL 프로세스 중지 및 시작 요청에 대한 세부 정보가 포함되어 있습니다.
로그 업데이트
/opt/sophos-spl/logs/base/sophosspl/updatescheduler.log: 로그 업데이트 세부 정보. 예를 들어, 업데이트가 시작되고 완료되는 시점이 여기에 해당합니다./opt/sophos-spl/logs/base/suldownloader.log: 주 업데이트 로그 구성 요소 업데이트 및 실패에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/logs/base/suldownloader_sync.log: SPL이 엔드포인트로 다운로드하는 CDN 연결 및 패키지에 대한 세부 정보를 포함합니다. 여기에는 suldownloader 로그의 내용에 대한 추가 정보가 포함됩니다. 이 정보를 사용하여 업데이트 실패 문제를 해결할 수 있습니다. SPL은 업데이트할 때마다 이 로그를 덮어씁니다.
원격 측정 로그
/opt/sophos-spl/logs/base/sophosspl/tscheduler.log: 이전에 실행한 원격 측정 및 실행 예약 시기에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/logs/base/sophosspl/telemetry.log: 구성 요소에서 수집한 원격 분석에 대한 세부 정보가 포함되어 있습니다. 모든 실패에 대한 세부 정보도 포함되어 있습니다.
MCS 및 관리 로그
/opt/sophos-spl/logs/base/sophosspl/mcsrouter.log: 엔드포인트와 Sophos Central 간의 통신에 대한 세부 정보를 포함합니다./opt/sophos-spl/logs/base/sophosspl/mcs_envelope.log: MCS에서 제공하는 메시지의 내용/opt/sophos-spl/logs/base/sophosspl/sophos_managementagent.log: SPL 플러그인에 적용된 정책 및 명령 MCS에 대한 세부 정보가 포함되어 있습니다.
진단 도구 로그
/opt/sophos-spl/logs/base/sophosspl/remote_diagnose.log: 원격 Sophos 진단 유틸리티(SDU) 요청을 기록합니다./opt/sophos-spl/logs/base/diagnose.log: 아카이브를 생성하는 동안 SDU가 수집하는 모든 항목입니다.
플러그인 로그 파일
SPL은 에 플러그인에 대한 로그를 저장합니다 /opt/sophos-spl/plugins/<PLUGIN>/log. 각 플러그인은 별도의 디렉토리에 있습니다.
참고
Linux 장치에 로그 또는 디렉토리가 없는 경우 해당 플러그인에 대한 적절한 라이센스가 있는지 확인하십시오. Linux 장치에는 라이센스가 있는 제품의 로그만 표시됩니다.
플러그인 로그 파일은 다음과 같습니다.
AV 플러그인
/opt/sophos-spl/plugins/av/log/av.log: AV 플러그인의 기본 로그. 그것은 높은 수준에서 중요한 사건의 대부분을 보여줍니다./opt/sophos-spl/plugins/av/log/soapd.log: 실시간 스캐너의 상태에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/plugins/av/log/Sophos Cloud Scheduled Scan.log: 예약된 검사가 트리거되는 시기에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/plugins/av/log/safestore.log: 격리된 위협에 대한 세부 정보가 포함되어 있습니다. 격리된 위협에 대해 수행된 재검색 작업도 표시합니다. 예를 들어 허용된 응용 프로그램에 새 파일을 추가할 때 다시 검색합니다./opt/sophos-spl/plugins/av/chroot/log/sophos_threat_detector.log: 이 로그에는 위협 스캐너 프로세스의 상태가 표시됩니다. 이 프로세스는 실시간 스캔, 예약된 스캐너 또는 명령줄 스캐너와 같은 다른 프로세스에서 요청할 때 스캔을 수행합니다./opt/sophos-spl/plugins/av/chroot/log/susi_debug.log: AV 플러그인과 관련된 하위 수준 디버그 정보를 포함합니다. 예를 들어 AV 스캐너가 파일을 스캔할 수 없는 이유가 여기에 해당합니다.
장치 격리 플러그인
/opt/sophos-spl/plugins/deviceisolation/log/deviceisolation.log: Sophos Central에서 트리거된 장치 격리에 대한 세부 정보가 포함되어 있습니다.
EDR 플러그인
/opt/sophos-spl/plugins/edr/log/edr.log: EDR(Live Query) 플러그인의 기본 로그 라이브 쿼리 정책 및 osquery 및 Sophos 확장의 상태에 대한 정보를 표시합니다./opt/sophos-spl/plugins/edr/log/livequery.log: Sophos Central에서 트리거되고 끝점에서 실행되는 라이브 쿼리에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/plugins/edr/log/scheduledquery.log: 모든 예약된 쿼리 및 실행 시기에 대한 정보를 포함합니다./opt/sophos-spl/plugins/edr/log/edr_osquery.log: EDR이 디버그 모드에 있을 때만 채워집니다. 디버그 모드인 경우 이 로그에는 osquery 프로세스의 디버그 출력이 포함됩니다.
이벤트 저널러 플러그인
/opt/sophos-spl/plugins/eventjournaler/log/eventjournaler.log: 이벤트 저널러 플러그인의 상태입니다. AV 또는 RTD 플러그인에서 이벤트를 수신하기 위한 상태를 포함합니다.
Response 작업 플러그인
/opt/sophos-spl/plugins/responseactions/log/responseactions.log: Response Action 플러그인의 상태입니다. 실행할 모든 작업는 실행되기 전에 여기에 기록됩니다./opt/sophos-spl/plugins/responseactions/log/actionrunner.log: 응답 작업 상태(명령, 업로드, 다운로드)와 응답 작업 실행 시 문제가 있는지 여부에 대한 세부 정보가 포함되어 있습니다.
런타임 감지(RTD) 플러그인
/opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log: RTD 플러그인이 로드된 정책 및 검색이 있었는지 여부를 포함한 RTD 플러그인의 상태에 대한 세부 정보
실시간 응답 플러그인
/opt/sophos-spl/plugins/liveresponse/log/liveresponse.log: 라이브 응답 플러그인 및 모든 라이브 터미널 세션의 상태에 대한 세부 정보가 포함되어 있습니다./opt/sophos-spl/plugins/liveresponse/log/sessions.log: 각 개별 라이브 응답 세션에 대한 세부 정보가 포함되어 있습니다. 예를 들어 방문한 세션 ID 및 URL입니다.
기타 로그 경로
다음 위치에서 제품 다운그레이드 및 설치에 대한 로그를 찾을 수 있습니다.
/opt/sophos-spl/logs/base/downgrade-backup/downgrade-backup/: 이 디렉토리에는 제품 다운그레이드 중에 백업된 로그가 들어 있습니다./opt/sophos-spl/logs/installation/: 이 디렉토리에는 자세한 설치 로그가 포함되어 있습니다.
Sophos 진단 유틸리티
SDU는 SPL 에이전트, 모든 플러그인 및 감사 로그에서 모든 로그를 수집합니다.
명령을 실행합니다.
/opt/sophos-spl/bin/sophos_diagnose
그러면 .tar.gz 파일이 현재 작업 디렉터리로 출력됩니다.
SDU가 진단 출력 파일을 만드는 위치를 지정하려면 원하는 디렉토리를 첫 번째 인수로 사용하여 명령을 실행합니다. 예를 들어, 진단 로그 수집을 로 출력하려면 /tmp다음 명령을 실행합니다.
/opt/sophos-spl/bin/sophos_diagnose /tmp
팁
Sophos Central에서 '재부팅' 명령을 실행할 수 없습니다. 진단을 참조하십시오.
Sophos Central의 SPL 로그
엔드포인트 장치의 로깅은 Sophos Central에 나타나는 로깅보다 더 자세한 정보를 제공합니다. 서버의 세부 정보 페이지의 이벤트 탭에서는 서버에서 감지된 이벤트를 확인할 수 있습니다. 서버 이벤트을 참조하십시오.
볼 수 있는 이벤트 중 일부는 다음과 같습니다.
- 이벤트 업데이트
- 맬웨어 및 PUA 보호
- 맬웨어 및 PUA 보호
- 온디맨드 검사 결과
팁
경고 페이지에서 여전히 경고를 볼 수 있습니다. 경고을 참조하십시오.