Ir al contenido
Avanet

Guardar logs de Sophos Firewall para soporte y análisis

Sophos Firewall

En incidencias, problemas VPN o eventos poco claros del firewall, las capturas de pantalla de la interfaz web no suelen ser suficientes. Sophos Support, Avanet o un partner externo de seguridad normalmente necesita los logs relevantes del firewall.

Esta guía explica cómo archivar los logs de Sophos Firewall desde Advanced Shell y prepararlos para el análisis.

Requisitos

Para esta guía se necesita:

  • Acceso administrativo a Sophos Firewall
  • Acceso a Advanced Shell
  • Un servidor destino u otra forma segura de transferir el archivo
  • Espacio libre suficiente en el firewall para el archivo temporal

Los comandos se ejecutan directamente en el firewall. Hay que trabajar con cuidado y no borrar archivos si no está claro para qué sirven.

Si el acceso a la shell aún no está configurado, la guía Conectar a Sophos Firewall por SSH explica cómo establecer una conexión SSH.

Abrir Advanced Shell

Iniciar sesión en Sophos Firewall y abrir Advanced Shell:

  1. Abrir Device Management.
  2. Seleccionar Advanced Shell.
  3. Confirmar el acceso si el firewall muestra una consulta adicional.

Después del login, la shell está disponible y los logs pueden archivarse.

Recoger logs específicos antes de archivar

Si el problema se puede reproducir, conviene provocarlo de nuevo justo antes de crear el archivo. Así las entradas relevantes quedan recientes en los logs.

En problemas complejos, los logs normales pueden no ser suficientes. En ese caso puede ser útil activar el log de depuración para el servicio afectado antes de archivar. La página Sophos Firewall Troubleshooting explica este proceso en la sección de depuración.

Nuestra vista general Sophos Firewall troubleshooting: servicios y logs resume qué archivo de log corresponde a cada módulo del firewall. Esta lista ayuda a identificar si son relevantes logs de VPN, IPS, web, mail, GUI o sistema.

Guardar todos los logs

Antes de crear el archivo, comprobar si /var tiene suficiente espacio libre:

df -h /var

Crear después un archivo comprimido del directorio /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

El comando crea:

/var/Sophos-Firewall-Logs.tar.gz

Partes importantes del comando:

  • tar crea un archivo.
  • -c crea un archivo nuevo.
  • -v muestra los archivos procesados.
  • -z comprime con gzip.
  • -f define el nombre del archivo.
  • -C / cambia al directorio raíz para la operación.
  • log es el directorio con los logs de Sophos Firewall.

La ventaja de -C / es que el comando funciona independientemente del directorio actual. No hace falta ejecutar antes cd /. Si el archivo ya existe, se sobrescribe.

Según el tamaño de los logs y la carga del firewall, crear el archivo puede tardar. La salida de tar muestra qué archivos se escriben en el archivo.

Después comprobar el tamaño:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Copiar el archivo a un servidor Linux

Si un servidor Linux es accesible por SSH, el archivo se puede transferir con scp.

Ejemplo:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Ajustar la dirección IP, el usuario y la ruta destino al entorno.

Después de la transferencia, el archivo estará en el servidor destino:

/root/Sophos-Firewall-Logs.tar.gz

Desde ahí puede compartirse internamente o entregarse a Sophos Support o Avanet.

Guardar datos de diagnóstico IPsec por separado

En problemas VPN o IPsec, también pueden ser útiles los datos de conexión IPsec de /tmp/ipsec/connections/.

Crear un archivo separado:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Comprobar el archivo creado:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Transferir este archivo también con scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

En errores IPsec es útil entregar este archivo junto con los logs normales para analizar juntos el estado del túnel, la información de conexión y las entradas de log.

Seguridad y protección de datos

Los logs pueden contener información sensible, por ejemplo:

  • Direcciones IP públicas e internas
  • Nombres de usuario
  • Nombres de host
  • Información VPN
  • Mensajes de error con detalles técnicos
  • Información sobre estructuras internas de red

Transferir archivos de logs solo por canales seguros y entregarlos solo a personas u organizaciones implicadas en el análisis. Antes de enviar logs a un partner externo, aclarar internamente si está permitido según las políticas de protección de datos y seguridad.

Eliminar archivos temporales

Después de transferir correctamente el archivo, eliminarlo del firewall para liberar espacio:

rm /var/Sophos-Firewall-Logs.tar.gz

Si se creó un archivo IPsec separado, eliminarlo también:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Antes de borrar, verificar que los archivos llegaron correctamente al sistema destino.