Revisar los registros de auditoría de Sophos Firewall
Los registros de auditoría ayudan a rastrear cambios de configuración en Sophos Firewall. Esto es importante cuando, después de un cambio, una regla se aplica de manera diferente, se ha modificado una interfaz, falta un objeto de host o en una auditoría se pregunta quién cambió qué configuración y cuándo.
Desde Sophos Firewall v22, SFOS registra entradas detalladas en configuration-audit.log. Los registros no solo muestran que algo ha cambiado, sino también los valores antes y después del cambio. Con SFOS 22.0 MR1, se mejoró la trazabilidad de los cambios a través de Sophos Central, ya que se registra la identidad del usuario de Sophos Central en cambios individuales de firewall.
¿Qué artículo de registro es adecuado?
Los registros de auditoría son solo una parte de la solución de problemas. Dependiendo de la pregunta, otro punto de partida puede ser más rápido:
| Pregunta | Punto de partida adecuado |
|---|---|
| ¿Quién cambió una configuración? | Este artículo |
| ¿Sophos Central transfirió un cambio al firewall? | Revisar la cola de tareas de gestión de firewall de Sophos Central |
| ¿Qué regla de firewall permitió o bloqueó el tráfico? | Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture |
| ¿Qué archivo de registro pertenece a qué servicio? | Solución de problemas de Sophos Firewall: Servicios y registros |
| Asegurar registros para soporte o análisis externo | Asegurar registros de Sophos Firewall para soporte y análisis |
| Comparar o documentar configuraciones | Usar Sophos Firewall Config Studio |
Esta separación evita expectativas incorrectas. El registro de auditoría responde preguntas sobre cambios. Para el flujo de paquetes, NAT, VPN, Web Protection, IPS o errores de servicio, se necesitan Log Viewer, Packet Capture, Service-Logs, Central Reporting o Syslog.
Cuándo ayudan los registros de auditoría
Los registros de auditoría son especialmente útiles cuando la pregunta no es “¿por qué se bloqueó el tráfico?”, sino “¿quién o qué cambió la configuración?”.
Casos típicos:
- Se cambió, movió o eliminó una regla de firewall.
- Se ajustó un host IP, host FQDN u objeto de red.
- Una interfaz o configuración de VLAN se ve diferente a lo documentado.
- Después de una ventana de mantenimiento, no está claro qué cambio causó un problema.
- Un MSP o equipo interno debe asignar cambios a varios administradores.
- Para cumplimiento, NIS2, ISO 27001 o procesos internos de cambio se necesita evidencia.
Para el análisis normal de tráfico, otras herramientas siguen siendo más importantes. Si se quiere verificar qué regla permitió o bloqueó una conexión, es adecuado Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture. Los registros de auditoría complementan este análisis cuando se sospecha que un cambio de configuración es la causa.
Qué registra configuration-audit
configuration-audit registra cambios de configuración que los administradores realizan en WebAdmin o a través de la CLI. Se registran, entre otros:
- Configuración antes del cambio.
- Configuración después del cambio.
- Marca de tiempo.
- Identidad del administrador.
- Dirección IP del administrador.
- Consola utilizada o método de acceso.
Las entradas se guardan en configuration-audit.log y se escriben en formato XML. Por lo tanto, son muy detalladas, pero no siempre fáciles de leer. Para una revisión rápida, a menudo basta con buscar por nombre de objeto, administrador, dirección IP o intervalo de tiempo. Para análisis más grandes, puede ser útil buscar el archivo externamente o importarlo a una herramienta de análisis de registros.
Alcance actual de la función
El registro de auditoría actualmente cubre objetos de configuración importantes, en particular:
- Hosts IP.
- Reglas de firewall.
- Interfaces de red, incluidas interfaces físicas, virtuales, inalámbricas y de WAN celular.
- Desde SFOS v22, también se incluyen Hosts and services en las áreas compatibles.
Esto ya es muy útil para muchos análisis de cambios, pero aún no es un sistema completo de gestión de cambios. Los registros de auditoría no reemplazan la documentación de cambios, un ticket ni el principio de doble control.
⚠️ Los registros de auditoría demuestran que se registró un cambio. Sin embargo, los registros no explican automáticamente si el cambio fue técnicamente correcto, aprobado o completamente probado.
Verificar el estado de configuration-audit
La configuración se realiza en la Device Console, no en la Advanced Shell.
Se verifica el estado con:
system configuration-audit show
Si la función está activa, el firewall debería informar que Configuration Audit está habilitado. Si no está claro si se está trabajando en la consola correcta, la distinción en Solución de problemas de Sophos Firewall: Servicios y registros puede ayudar.
Activar o desactivar el registro de auditoría
El registro de auditoría está activado por defecto. Si se ha desactivado, se puede volver a activar en la Device Console:
system configuration-audit enable
Es técnicamente posible desactivarlo:
system configuration-audit disable
En entornos productivos, el registro de auditoría debería permanecer activo normalmente. Si se desactiva por una razón específica, debería documentarse y ser temporal.
⚠️ El registro de auditoría no debería desactivarse como primera medida solo porque el archivo es grande o difícil de leer. Especialmente en caso de problemas después de cambios, estos datos suelen ser la evidencia crucial.
Descargar configuration-audit.log
El archivo se llama:
configuration-audit.log
La descarga se realiza a través de los registros de solución de problemas. La ruta en WebAdmin es:
Diagnostics > Tools > Troubleshooting logs
Allí se pueden descargar archivos de registro individuales o generar un Consolidated troubleshooting report (CTR). Para un análisis de auditoría específico, la descarga individual del archivo de auditoría suele ser más práctica que un CTR completo.
Si se deben recopilar registros para soporte o análisis externo, también es adecuado Asegurar registros de Sophos Firewall para soporte y análisis. Para análisis directos en la Shell, es relevante Conectar Sophos Firewall por SSH.
Evaluar el registro de auditoría
Para un análisis limpio, primero se debe delimitar el período de tiempo.
Procedimiento práctico:
- Determinar el momento del problema o cambio.
- Descargar
configuration-audit.log. - Buscar por administrador, nombre de objeto, nombre de regla, interfaz o dirección IP.
- Comparar el valor antes y después del cambio.
- Comparar el cambio con el ticket, ventana de mantenimiento o documentación de cambios.
- En caso de problemas de tráfico, también revisar Log Viewer y Packet Capture.
Los registros de auditoría son especialmente útiles en problemas de reglas. Si una regla de repente no se aplica, Log Viewer solo muestra el estado actual. El registro de auditoría puede mostrar si poco antes se cambió la fuente, el destino, el servicio, la característica de seguridad, la posición de la regla o el contenido del objeto.
Uso correcto del registro de auditoría en caso de soporte
En casos de soporte, el registro de auditoría es más efectivo cuando se combina con un período de tiempo concreto y un síntoma reproducible. Un configuration-audit.log completo sin contexto es difícil de evaluar. Es mejor un breve protocolo de cambios que proporcione los anclajes más importantes.
| Información | Por qué ayuda |
|---|---|
| Hora exacta con zona horaria | Log Viewer, Central Logs y Audit Trail se pueden correlacionar claramente |
| Objeto afectado | Encontrar más rápido el nombre de la regla, objeto de host, interfaz, VLAN, servicio o grupo |
| Comportamiento esperado | El soporte ve si se trata de tráfico, inicio de sesión, enrutamiento, informes o sincronización con Central |
| Comportamiento real | La imagen del error se separa del mero cambio de configuración |
| Administrador o usuario de Central involucrado | Los cambios se pueden verificar con la persona, rol o contexto del inquilino |
| Valor antes/después | El fragmento XML relevante se reconoce más rápido |
| Ticket o ventana de mantenimiento | Se separan los cambios aprobados de los espontáneos |
Si un cambio fue iniciado a través de Sophos Central, también se debe revisar la Central Task Queue. La cola de tareas muestra si Central procesó la tarea. El registro de auditoría muestra después lo que es rastreable localmente en el firewall.
Cambios a través de Sophos Central
SFOS 22.0 MR1 mejora la trazabilidad de los cambios de configuración a través de Sophos Central. Cuando se configura un firewall individual a través de Sophos Central, la identidad del usuario de Sophos Central aparece en el contexto de auditoría. Esta información está disponible en el Log Viewer del firewall y en los registros y reportes de Sophos Central.
Esto es importante para entornos con varios administradores o en operación MSP. Un acceso genérico a Central no es suficiente para una trazabilidad clara. Debe estar claro:
- ¿Qué personas tienen acceso a Sophos Central?
- ¿Los administradores trabajan con cuentas de usuario propias en lugar de inicios de sesión compartidos?
- ¿Está activa la MFA en Sophos Central y en el firewall?
- ¿Se conservan los registros de Central durante suficiente tiempo?
- ¿Existe un proceso para conciliar cambios de Central con tickets?
La conexión entre el firewall y Central se detalla en el artículo Conectar Sophos Firewall con Sophos Central. Para una conservación más prolongada de registros, es adecuado Activar Central Firewall Reporting.
Consideraciones para clústeres HA
En entornos HA, según la documentación de Sophos, los registros de auditoría solo se generan en el dispositivo que está activo en ese momento. Por lo tanto, en análisis después de un failover, se debe prestar atención al cambio de roles.
Preguntas importantes:
- ¿Qué firewall estaba activo en el momento del cambio?
- ¿Hubo un failover poco antes o después?
- ¿Son relevantes los archivos de registro de ambos dispositivos?
- ¿Se sincronizó correctamente el cambio en el clúster?
Para la operación HA y la interpretación de registros, es adecuado Configurar alta disponibilidad en Sophos Firewall.
Validación después de un cambio
El registro de auditoría muestra que se cambió un objeto. Sin embargo, después se debe verificar si el cambio tiene el efecto deseado y no genera efectos secundarios. Especialmente en reglas de firewall, interfaces, VPNs y objetos de host, no se debe detener en el registro de auditoría.
Un procedimiento sensato después de cambios críticos:
- Encontrar el cambio en el registro de auditoría por intervalo de tiempo y nombre de objeto.
- Comparar el valor antes/después con el ticket o documentación de cambios.
- Verificar la regla de firewall, regla NAT, ruta o interfaz afectada en WebAdmin.
- Generar tráfico de prueba concreto.
- Verificar Log Viewer, Policy Test y Packet Capture.
- En cambios de Central, también revisar Task Queue y Central Logs.
- En clústeres HA, controlar el estado de los roles y la sincronización.
De esta manera, el registro de auditoría se convierte en una evidencia sólida en lugar de solo un hallazgo de registro. Si el registro de auditoría muestra un cambio, pero el tráfico de prueba sigue funcionando incorrectamente, la causa a menudo radica en el orden de las reglas, NAT, enrutamiento, asignación de usuarios, característica de seguridad o ruta de retorno.
Límites y trampas típicas
El registro de auditoría no es un respaldo
El registro de auditoría muestra cambios, pero no reemplaza una copia de seguridad de configuración. Antes de cambios mayores, todavía se necesita una copia de seguridad completa y un plan de reversión. Esto se describe en el artículo Crear o restaurar una copia de seguridad de Sophos Firewall.
XML es detallado, pero no bonito
El archivo es bueno para máquinas y comparaciones precisas, pero difícil de leer rápidamente. Si se deben comparar muchos cambios, Sophos Firewall Config Studio o una herramienta externa de comparación de registros puede ser más útil.
No todo análisis pertenece al registro de auditoría
Si una conexión no funciona, primero verifique el tráfico. Los registros de auditoría son relevantes cuando se sospecha que un cambio es la causa. Para la solución de problemas en vivo, Log Viewer, Policy Test, Packet Capture y Service-Logs suelen ser más directos.
Las cuentas de administrador compartidas debilitan la evidencia
Si varias personas usan la misma cuenta de administrador, el registro de auditoría es menos concluyente. Los administradores nombrados, roles, MFA y usuarios de Central limpios son parte del modelo operativo, no solo un extra de seguridad.
Lista de verificación operativa
- Verificar
system configuration-audit show. - Mantener el registro de auditoría activado.
- Usar cuentas de administrador nombradas en lugar de inicios de sesión compartidos.
- Verificar MFA para WebAdmin, VPN Portal y Remote Access.
- Documentar cambios con ticket o ventana de mantenimiento.
- Crear una copia de seguridad antes de cambios mayores.
- Después de problemas, buscar en
configuration-audit.logpor intervalo de tiempo y nombre de objeto. - Comparar valores antes/después con el cambio esperado.
- En problemas de reglas, NAT o VPN, complementar con Log Viewer y Packet Capture.
- En clústeres HA, considerar el nodo activo y el momento del failover.
- Conciliar cambios de Central con registros y reportes de Sophos Central.
Para MFA en el firewall, es adecuado Activar MFA para Sophos Firewall WebAdmin, VPN Portal y Remote Access. Para accesos de gestión, también se debe revisar Configurar correctamente Device Access.
FAQ
¿Qué es configuration-audit en Sophos Firewall?
configuration-audit es la función de registro de auditoría de Sophos Firewall. La función registra cambios de configuración seleccionados con valores antes/después, marca de tiempo, información del administrador, dirección IP y consola utilizada.¿Cómo se determina si el registro de auditoría está activo?
system configuration-audit show. Se puede activar con system configuration-audit enable.¿Dónde se encuentra el archivo configuration-audit.log?
Diagnostics > Tools > Troubleshooting logs. Alternativamente, se puede considerar en un análisis más profundo a través de los archivos de registro del firewall.