Sophos Anti-Virus fuer Linux - Versteckte On-Access Scanner Debug Option

> posts > 2021 > May

Published: | English

Ich musste lernen, dass es eine ziemliche Herausforderung sein kann, Performance Probleme im Zusammenhang mit Sophos Anti-Virus fuer Linux zu beheben oder Pfade mit hoher I/O-Last zu identifizieren, die eine angepasste Policy oder Exclusion brauchen koennten.

In einer Situation, in der SAV Prozesse eine 100%ige Last auf einem oder mehreren CPU-Kernen erzeugen, stimmt aber definitiv etwas nicht und muss genauer untersucht werden.

Sophos bietet zwar viele Einstellungen, aber nur sehr begrenzte Debug Moeglichkeiten, zumindest wenn man dem offiziellen Handbuch und der Knowledge Base glaubt.

Es gibt allerdings einen versteckten und nicht oeffentlich dokumentierten Parameter zur Protokollierung aller On-Access Scanner Aktivitaeten. Das kann allerdings eine Menge Daten generieren und sollte daher nur eine begrenzte Zeit waehrend dem Troubleshooting aktiviert werden.

Aktivieren:

/opt/sophos-av/bin/savconfig set OnAccessRecordAllScans enable

systemctl restart sav-protect

Log Dateien werden nach /opt/sophos-av/tmp/ geschrieben, du solltest sav-protect beenden und die Logs an einen anderen Ort kopieren, bevor du den Debug Modus deaktivierst.

Deaktivieren:

/opt/sophos-av/bin/savconfig set OnAccessRecordAllScans disable

systemctl restart sav-protect

Es waere um einiges einfacher, wenn Sophos so etwas in der eigenen Dokumentation behandeln wuerde.

[ Show Source | Download PDF ]