Ir al contenido
Avanet

Asegurar los registros de Sophos Firewall para soporte y análisis

En caso de fallos, problemas de VPN o eventos de firewall poco claros, las capturas de pantalla individuales de la interfaz web a menudo no son suficientes. Para un análisis exhaustivo, un caso de soporte necesita marcas de tiempo rastreables, archivos de registro adecuados y, a veces, una captura de paquetes adicional.

Esta guía describe cómo empaquetar los registros de un Sophos Firewall en un archivo a través de la Advanced Shell y prepararlos de manera segura para el soporte de Sophos, Avanet o un análisis externo. Este proceso no reemplaza la primera delimitación en el Log Viewer. Si aún no está claro qué módulo está afectado, primero ayuda la visión general Solución de problemas de Sophos Firewall: Servicios y registros.

¿Qué artículo de solución de problemas es adecuado?

El archivo de registros es solo una herramienta en la solución de problemas. Dependiendo del tipo de error, otro punto de partida puede ser más rápido:

Esta separación ahorra tiempo. Un archivo de registro completo ayuda en los análisis de servicio y soporte, pero no reemplaza un caso de prueba reproducible en el Log Viewer ni una captura de paquetes específica.

¿Qué datos necesita el soporte?

No todos los problemas requieren inmediatamente un archivo de registro completo. Cuanto más claro esté delimitado el error, más pequeños y útiles serán los datos.

  • La regla de firewall o la regla NAT actúa inesperadamente: Hora, IP de origen, IP de destino, ID de regla, ID de NAT, exportación del Log Viewer y, si es necesario, Packet Capture.
  • El servicio no se inicia o WebAdmin muestra errores: Archivo de registro de /log, servicio afectado, hora y último paso de configuración.
  • El túnel IPsec no se establece o falla: Archivo de registro normal, datos de diagnóstico de IPsec, IP del par, redes locales y remotas, momento del intento de conexión.
  • El tráfico no llega al destino: Log Viewer, Packet Capture o para análisis más largos tcpdump-PCAP.
  • Problema después de un cambio de configuración: Audit Trail, momento aproximado del cambio, administrador involucrado y objetos afectados.

Para muchos tickets, la combinación de momento del problema, breve descripción del error, archivo de registro y una prueba adicional específica es mejor que un paquete de datos muy amplio sin contexto. Si se crea un ticket oficial de Sophos, también es útil Abrir un ticket de soporte de Sophos: Preparación y portal.

Requisitos previos

Para esta guía se necesita:

  • Acceso administrativo al Sophos Firewall
  • Acceso a la Advanced Shell
  • Un servidor de destino u otra forma segura de transferir el archivo de registro
  • Suficiente espacio libre en el firewall para el archivo temporal

Los comandos se ejecutan directamente en el firewall. Por lo tanto, se debe trabajar con cuidado y no eliminar archivos a menos que se sepa para qué se utilizan.

Si el acceso a la Shell aún no está configurado, la guía Conectar Sophos Firewall por SSH explica cómo establecer una conexión SSH con el firewall.

⚠️ Los archivos de registro y los archivos PCAP pueden contener información sensible. Dichos archivos solo deben permanecer brevemente en el firewall, transferirse de manera segura y eliminarse después de una transferencia exitosa.

Abrir Advanced Shell

Iniciar sesión en el Sophos Firewall y abrir la Advanced Shell:

  1. Abrir Device Management.
  2. Seleccionar Advanced Shell.
  3. Confirmar el acceso si el firewall muestra una consulta adicional.

Después de iniciar sesión, se encuentra en la Shell del firewall. Desde allí se pueden archivar los archivos de registro.

Recopilar registros específicos antes de asegurar

Si un problema es reproducible, debe desencadenarse nuevamente justo antes de archivar los registros. Esto asegura que las entradas relevantes estén lo más actualizadas posible en los archivos de registro.

En problemas más complejos, los registros normales a veces no son suficientes. En este caso, puede ser útil activar un registro de depuración para el servicio afectado antes de archivar. Cómo hacerlo se describe en la sección Activar registro de depuración de manera específica.

Qué archivo de registro pertenece a qué módulo de firewall se resume en Solución de problemas de Sophos Firewall: Servicios y registros. Esta visión general es útil si se desea verificar específicamente si para un problema son más relevantes los registros de VPN, IPS, Web, correo, GUI o sistema.

Si no es un problema de servicio, sino el flujo de paquetes el que no está claro, un archivo de registro por sí solo a menudo no es suficiente. Para pruebas cortas, Packet Capture en WebAdmin es adecuado. Para archivos PCAP, capturas más largas o análisis de soporte, tcpdump en Sophos Firewall es la herramienta adecuada.

Asegurar todos los archivos de registro

Antes de archivar, se debe verificar si hay suficiente espacio libre en /var:

df -h /var

Luego, crear un archivo comprimido con los archivos del directorio /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

El comando crea el archivo:

/var/Sophos-Firewall-Logs.tar.gz

Los componentes más importantes del comando:

  • tar crea un archivo.
  • -c crea un nuevo archivo.
  • -v muestra los archivos procesados.
  • -z comprime el archivo con gzip.
  • -f especifica el nombre del archivo del archivo.
  • -C / cambia al directorio raíz para el proceso de archivo.
  • log es el directorio con los archivos de registro de Sophos Firewall.

La ventaja de -C / es que el comando funciona independientemente del directorio de trabajo actual. Por lo tanto, no es necesario un cd / previo. Si el archivo ya existe, el comando lo sobrescribirá.

Dependiendo del tamaño y la carga del firewall, el proceso de archivo puede tardar algún tiempo. La salida de tar muestra durante este tiempo qué archivos se están escribiendo en el archivo.

Luego, se puede verificar el tamaño del archivo:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Además, se debe verificar brevemente si el archivo es legible y realmente contiene el directorio de registros:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

La salida debe mostrar rutas bajo log/. Si el comando informa un error o el archivo es inusualmente pequeño, no se debe transferir el archivo. Primero verificar el espacio libre, los permisos de escritura y la ejecución previa de tar.

Copiar el archivo de registro a un servidor Linux

Si un servidor Linux es accesible por SSH, el archivo se puede transferir con scp.

Ejemplo:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Se deben ajustar la dirección IP, el usuario y la ruta de destino a su entorno.

Después de la transferencia, el archivo estará en el servidor de destino en:

/root/Sophos-Firewall-Logs.tar.gz

Desde allí se puede distribuir internamente o poner a disposición del soporte de Sophos o Avanet.

Asegurar datos de diagnóstico de IPsec por separado

En caso de problemas de VPN o IPsec, los datos de conexión de IPsec de /tmp/ipsec/connections/ pueden ser útiles.

Para ello, crear un archivo separado:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

También aquí se puede verificar brevemente el archivo generado:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Este archivo también se puede copiar a un servidor de destino con scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Especialmente en caso de errores de IPsec, es útil proporcionar este archivo junto con los registros normales del firewall, para que el estado del túnel, la información de conexión y las entradas de registro se puedan evaluar conjuntamente.

¿Archivo de registro, Central Reporting o Syslog?

Un archivo de registro local responde a una pregunta diferente que Central Reporting o Syslog.

  • Archivo de registro de /log: Caso de soporte, error de servicio, depuración de VPN, análisis de detalles locales. Instantánea del firewall local.
  • Central Firewall Reporting: Informes, historial y búsqueda en Sophos Central. no reemplaza los registros de soporte locales completos.
  • Syslog o SIEM: almacenamiento a largo plazo propio, correlación y procesos SOC. requiere parsers, operación y registro activado previamente.
  • Audit Trail Logs: Rastrear cambios de configuración. no análisis de flujo de paquetes o servicio.

Para un caso de soporte agudo, el archivo de registro local a menudo sigue siendo necesario, incluso si Central Reporting o Syslog están activos. Por otro lado, para el almacenamiento a largo plazo, no se debe confiar en que los registros locales en el firewall estarán completos más adelante.

Tratar las capturas de paquetes por separado

Los archivos de registro y las capturas de paquetes son pruebas diferentes. El archivo de registro muestra mensajes de servicio, errores, estados de VPN y eventos del sistema. Una captura de paquetes o tcpdump muestra si los paquetes realmente llegan, se reenvían o si faltan respuestas.

Para casos de soporte, no se deben enviar capturas de paquetes sin filtrar. Es mejor:

  1. Anotar el caso de prueba con IP de origen, IP de destino, puerto, protocolo y hora.
  2. Primero verificar Log Viewer y WebAdmin Packet Capture si es suficiente.
  3. Solo si es necesario, crear una captura tcpdump específica como PCAP.
  4. Transferir el archivo PCAP de manera segura.
  5. Eliminar el archivo PCAP del firewall después de una transferencia exitosa.

El archivo PCAP no pertenece al archivo /log, sino que se crea y transfiere por separado. Esto mantiene claro qué archivo contiene registros de servicio y qué archivo contiene paquetes de red.

Seguridad y privacidad

Los archivos de registro pueden contener información sensible, como:

  • Direcciones IP públicas e internas
  • Nombres de usuario
  • Nombres de host
  • Información de VPN
  • Mensajes de error con detalles técnicos
  • Indicaciones sobre estructuras de red internas

Por lo tanto, los archivos de registro solo deben transferirse a través de canales seguros y solo proporcionarse a personas u organizaciones involucradas en el análisis. Si los registros se envían a un socio externo, primero debe aclararse internamente si la transferencia está permitida según las políticas de privacidad y seguridad propias.

Eliminar archivos temporales

Después de que el archivo se haya transferido con éxito, debe eliminarse del firewall para no ocupar espacio innecesario:

rm /var/Sophos-Firewall-Logs.tar.gz

Si también se creó un archivo IPsec separado, este también debe eliminarse:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Antes de eliminar, se debe verificar si los archivos llegaron con éxito al sistema de destino.

Lista de verificación para casos de soporte

  • Problema descrito brevemente: ¿Qué no funciona, desde cuándo, con qué frecuencia?
  • Hora exacta con zona horaria anotada.
  • IP de origen, IP de destino, usuario, servicio o nombre del túnel afectados anotados.
  • Módulo relevante verificado en el Log Viewer.
  • Si es necesario: Depuración activada solo brevemente y desactivada nuevamente.
  • Archivo de registro de /log creado.
  • En caso de problemas de IPsec, datos de diagnóstico de IPsec asegurados adicionalmente.
  • En caso de problemas de flujo de paquetes, Packet Capture o tcpdump creado por separado.
  • Archivo verificado brevemente con tar -tzf para legibilidad.
  • Archivo y PCAP transferidos solo a través de canales seguros.
  • Archivos temporales eliminados del firewall después de una transferencia exitosa.

FAQ

¿Es suficiente una captura de pantalla del Log Viewer para el soporte de Sophos?

Para casos simples, una captura de pantalla puede ayudar. En errores complejos, los archivos de registro, las marcas de tiempo exactas y, según el problema, una captura de paquetes o una captura de tcpdump son mucho más informativos.

¿Siempre se deben asegurar todos los registros de Sophos Firewall?

No siempre. Si el problema está claramente delimitado, a menudo son suficientes registros específicos y el período exacto. Para casos de soporte, un archivo completo de /log es a menudo útil porque varios servicios pueden estar relacionados.

¿Debe incluirse un archivo PCAP en el archivo de registro?

No. Los archivos PCAP se crean por separado con Packet Capture o tcpdump y se transfieren por separado. Esto mantiene los registros de servicio y las capturas de paquetes claramente separados.

¿Central Reporting reemplaza un archivo de registro local?

No. Central Reporting es útil para historial, búsqueda e informes en Sophos Central. Para casos de soporte o análisis de servicios, a menudo se necesitan archivos de registro locales de /log, ya que contienen información detallada de módulos y servicios.

¿Cómo se verifica si se ha creado el archivo de registro?

Primero se verifica con ls -lh /var/Sophos-Firewall-Logs.tar.gz si el archivo existe y tiene un tamaño plausible. Luego se puede verificar con tar -tzf /var/Sophos-Firewall-Logs.tar.gz si el archivo es legible y contiene archivos bajo log/.