Ir al contenido
Avanet

Revisar la cola de tareas de gestión de firewall de Sophos Central

Sophos Firewall

Cuando se guarda un cambio en Sophos Central pero no llega al Sophos Firewall, el firewall local no siempre es la primera fuente de error. En firewalls gestionados centralmente, también se debe revisar la cola de tareas en Sophos Central. Allí se puede ver si Central aún está procesando, aplicando parcialmente, omitiendo o finalizando con error una política de grupo, una tarea de firewall basada en API u otro cambio central.

Esto es especialmente importante cuando se gestionan varios firewalls en un grupo. Una sola tarea fallida puede retrasar cambios posteriores o confundir la búsqueda de errores, ya que la configuración en Sophos Central puede parecer diferente a la del firewall afectado.

Cuándo es relevante la cola de tareas

La cola de tareas es relevante tan pronto como los cambios no se ejecutan directamente en el firewall local, sino a través de Sophos Central. Esto afecta principalmente a entornos donde los firewalls están conectados a Sophos Central y se utiliza activamente la gestión de firewall de Central.

Situaciones típicas:

  • se cambió una política de grupo en Sophos Central
  • un cambio llegó a algunos firewalls, pero no a otros
  • se planificó o inició una actualización de firmware a través de Sophos Central
  • las tareas de firewall basadas en MDR o API no se implementan completamente
  • una tarea permanece mucho tiempo en Pending o In Progress
  • una tarea está Failed, Skipped, Invalid license o solo parcialmente exitosa
  • después de un error, los cambios posteriores no se procesan como se esperaba

Para la búsqueda de errores en vivo localmente, el Firewall Log Viewer sigue siendo importante. Sin embargo, la cola de tareas responde a otra pregunta: ¿Sophos Central logró llevar el cambio hasta el firewall con éxito?

Dónde encontrar la cola de tareas

La ruta en Sophos Central es:

My Products > Firewall Management > Tasks Queue

Sophos distingue entre Task Queue y Firewall Task Queue.

VistaPara qué está pensada
Task QueueEstado de las políticas de grupo de firewall aplicadas a través de Sophos Central en los firewalls
Firewall Task QueueTareas de firewall de MDR Settings, MDR IOCs y Firewall Configuration API

Para problemas clásicos de gestión de firewall de Central, generalmente primero es interesante la Task Queue. La Firewall Task Queue se vuelve más importante cuando los cambios se desencadenan a través de la API de configuración de firewall o funciones de firewall relacionadas con MDR.

Qué información es importante

Una tarea individual solo es útil si se clasifica correctamente. Antes de un cambio o un reintento, se deben anotar al menos estos campos:

  • Número de tarea
  • grupo o firewall afectado
  • Estado
  • Momento
  • Administrador o ID de credencial
  • Entidad y subentidad
  • Mensaje de error mostrado
  • Número de firewalls exitosos y fallidos

El momento no siempre es sinónimo del inicio del procesamiento en cada firewall. En políticas de grupo, Sophos Central primero muestra el momento de la creación o cambio y lo actualiza más tarde cuando la política se aplica a los firewalls. Por lo tanto, en despliegues largos, no solo se debe mirar la primera hora.

Interpretar correctamente el estado

EstadoSignificado en la práctica
PendingLa tarea aún espera ser procesada. Si dura mucho, verificar conectividad, licencia y conexión a Central.
In ProgressCentral aún está procesando la tarea. No iniciar varias correcciones en paralelo cuando la tarea está en curso.
SuccessCentral informa la tarea como exitosa. Luego, validar en el firewall si el efecto esperado es visible.
Partial SuccessUna parte se aplicó, otra no. Esto es especialmente importante en grupos o múltiples objetos.
FailedEl cambio no se completó con éxito. Documentar el mensaje de error y el firewall afectado.
SkippedLa tarea se omitió deliberadamente. Luego se necesita una revisión técnica.
Invalid licenseLa licencia o permiso no coincide con la acción planificada. No intentar resolverlo con reintentos repetidos.

Sophos Central puede eliminar automáticamente tareas con el estado Pending después de varias semanas. Para documentación operativa, casos de soporte o revisiones de cambios, se deben asegurar los errores relevantes a tiempo.

Proceso de revisión limpio

En caso de un cambio bloqueado en Central, un proceso tranquilo ayuda más que hacer clic repetidamente en Retry.

  1. Abrir My Products > Firewall Management > Tasks Queue en Sophos Central.
  2. Delimitar el período y el firewall o grupo de firewalls afectado.
  3. Desplegar la tarea y revisar los firewalls afectados.
  4. Documentar estado, mensaje de error, entidad, subentidad y momento.
  5. Verificar en el firewall si el cambio es visible o solo está guardado en Central.
  6. En cambios de configuración, revisar adicionalmente los Audit Trail Logs.
  7. En problemas de tráfico, evaluar Log Viewer, Policy Test y logs de servicio relevantes.
  8. Solo después decidir si Retry, Skip o un caso de soporte es adecuado.

Si no está claro qué log local es relevante, Solución de problemas de Sophos Firewall: Servicios y Logs puede ayudar. Para análisis de reglas y tráfico, también es adecuado Probar regla de firewall con Log Viewer, Policy Test y Packet Capture.

¿Omitir o reintentar?

Sophos Central ofrece las acciones Skip y Retry según el estado. Ambas son útiles, pero no deben entenderse como una simple acción de limpieza.

AcciónÚtil cuandoVerificar antes
Retryse ha solucionado la causa, por ejemplo, conexión, licencia, conflicto de objetos o interrupción temporal de Central¿Está claro por qué falló la tarea?
Skipuna tarea fallida o ya no relevante bloquea tareas posteriores y se entiende el impacto técnico¿Se omite deliberadamente un cambio de política planificado?
Esperarla tarea está en curso o Central está procesando muchos firewalls¿Hay indicios de un verdadero bloqueo o solo un retraso normal?
Caso de soporteel error se repite, afecta a varios firewalls productivos o el mensaje no es claro¿Se han asegurado los detalles de la tarea, hora, nombre del firewall y logs?

⚠️ No se debe omitir una tarea fallida solo para que la cola de espera se vea limpia. Omitir es una decisión operativa: el cambio no aplicado debe revisarse conscientemente o implementarse por separado después.

Escenarios de error típicos

El cambio es visible en Central, pero no en el firewall

En este caso, primero verificar si la tarea correspondiente se completó con éxito. Si la tarea aún está Pending, In Progress, Failed o Partial Success, el problema no necesariamente reside en la regla del firewall local. Solo cuando Central informa la tarea como exitosa, se debe profundizar en el análisis de políticas, objetos o logs locales.

Solo algunos firewalls en un grupo están afectados

En políticas de grupo, un cambio puede ser exitoso en varios firewalls y fallar en uno. Entonces, no se debe cambiar todo el grupo de manera general, sino desplegar el firewall afectado y verificar diferencias: licencia, versión de firmware, conexión a Central, conflictos de objetos locales, plataforma y problemas conocidos.

La tarea de firmware a través de Central no se inicia correctamente

Si se planificó una actualización de firmware de Sophos Firewall a través de Sophos Central, la cola de tareas debe ser parte del seguimiento. Si el firewall permanece en la versión antigua, primero se verifica si Central activó y completó la tarea. Para lanzamientos importantes, también se incluye la verificación de actualización de SFOS 22 como preparación.

Falla la sincronización de políticas web o TLS

En Web Protection, grupos de URL o exclusiones de TLS, una sincronización de Central puede parecer especialmente confusa, ya que Central ha aceptado un cambio que el firewall no procesa completamente. Entonces, se debe comparar la entidad afectada de la cola de tareas con la configuración local. Para la clasificación técnica, son adecuados Introducción correcta a la inspección TLS de Sophos Firewall y Crear política de protección web de Sophos Firewall.

XGS 88/w y lista de exclusión de TLS local

En la lista de problemas conocidos, se documenta un problema específico en modelos XGS 88/w: al sincronizar una política de Sophos Central, puede fallar el procesamiento de la lista de exclusión de TLS local. El mensaje de error mostrado se refiere a un grupo de URL que no se pudo actualizar. En este caso, se puede omitir la transacción fallida de la cola de tareas para que las tareas posteriores continúen.

En la práctica, no se debe simplemente continuar después. Es importante una revisión:

  • ¿Está presente la excepción TLS deseada en el firewall local?
  • ¿Son las políticas web y TLS en el firewall aún técnicamente correctas?
  • ¿El problema afecta solo a un XGS 88/w o a varios firewalls?
  • ¿Debe implementarse o posponerse temporalmente el cambio localmente?
  • ¿Existe una versión de mantenimiento o un aviso de Sophos para la versión afectada?

Revisión en el firewall

Una tarea central exitosa es una buena señal, pero aún no es una prueba operativa completa. Dependiendo del cambio, se debe verificar localmente:

  • ¿Es visible la regla, política, lista o versión de firmware cambiada?
  • ¿El Log Viewer muestra eventos esperados?
  • ¿Se registró el cambio en el Audit Trail?
  • ¿Siguen activas la conexión y el reporte de Central?
  • ¿Funcionan los usuarios, VPNs, accesos web o aplicaciones afectados?

En cambios de seguridad, se debe definir adicionalmente un punto de reversión breve. Esto es especialmente válido para Web Protection, inspección TLS, reglas de firewall, VPN, clústeres HA y actualizaciones de firmware.

Lista de verificación operativa

  • Antes de cambios a través de Sophos Central, aclarar qué firewalls o grupos están afectados.
  • Después de cambios en Central, revisar la cola de tareas.
  • Documentar tareas fallidas con mensaje de error, hora y nombre del firewall.
  • No tratar Partial Success como completamente resuelto.
  • Usar Retry solo después de verificar las causas.
  • Usar Skip solo si se entiende el impacto técnico.
  • En tareas de firmware, planificar ventanas de mantenimiento, respaldo y acceso local.
  • En errores repetidos, asegurar información de Audit Trail, Log Viewer y soporte de Sophos.

Preguntas frecuentes

¿Qué muestra la cola de tareas de Sophos Central?

La cola de tareas muestra el estado de las políticas de grupo de firewall aplicadas a través de Sophos Central en los firewalls. Se pueden ver, entre otros, los grupos afectados, firewalls, estado, administrador, entidad, subentidad y momento.

¿Qué es la cola de tareas de firewall?

La cola de tareas de firewall muestra tareas de firewall que provienen de MDR Settings, MDR IOCs o la API de configuración de firewall. Allí son relevantes, por ejemplo, el estado, ID de credencial, entidad, acción y momento.

¿Se puede omitir una tarea fallida?

Sí, técnicamente se pueden omitir ciertas tareas. Operativamente, solo se debe hacer si está claro qué cambio no se aplicó y cómo se verificará el firewall afectado después.

¿Cuándo es útil Retry?

Retry es útil cuando se ha solucionado la causa del error. Ejemplos son una conexión a Central restaurada, una licencia corregida, un conflicto de objetos resuelto o un error temporal que ya no existe.

¿La cola de tareas reemplaza al Log Viewer?

No. La cola de tareas muestra si Central ha procesado un cambio. El Log Viewer muestra eventos locales del firewall y sigue siendo necesario para el análisis de tráfico, políticas y servicios.