Ir al contenido
Avanet

Activar Central Firewall Reporting

Con Central Firewall Reporting, Sophos Firewall envia logs seleccionados a Sophos Central. Esto permite analizar reports de forma centralizada, conservarlos y compartirlos con otras personas cuando sea necesario.

Esta guía KB muestra cómo activar Central Reporting, qué puntos conviene comprobar antes y cómo verificar si los logs llegan a Sophos Central.

Cuándo Central Firewall Reporting es útil

Central Firewall Reporting es especialmente útil cuando se gestionan varias firewalls o cuando los reports deben revisarse de forma regular.

Ejemplos tipicos:

  • Vista centralizada de varias firewalls.
  • Reports periodicos para management u operacion.
  • Analisis de eventos web, application, IPS, VPN o de red.
  • Mayor retención y búsqueda más sencilla en los logs.
  • Soporte en troubleshooting y security reviews.

Para un análisis en vivo directamente en la firewall, los logs locales suelen ser suficientes. Para evaluaciones a largo plazo, Central Reporting es claramente más comodo.

Requisitos

Antes de la activacion conviene comprobar:

  • La firewall está registrada en Sophos Central.
  • La firewall tiene acceso a Internet hacia los servicios Sophos necesarios.
  • DNS y hora funcionan correctamente.
  • La licencia utilizada admite la funcion de reporting deseada.
  • La firewall es visible en Sophos Central.

Si la firewall aún no está registrada en Sophos Central, primero hay que registrarla. Sin registro no se puede activar Central Firewall Reporting.

Activar Central Reporting

Central Firewall Reporting se activa en dos lugares: primero en la firewall y después en Sophos Central.

  1. Inicia sesión en el WebAdmin de Sophos Firewall.
  2. Abre System > Sophos Central.
  3. Comprueba en Sophos Central registration si la firewall está registrada.
  4. Si la firewall aún no está registrada, haz clic en Register e inicia sesión con la cuenta de Sophos Central correspondiente.
  5. Activa Sophos Central services o haz clic en Configure si el servicio ya está activo.
  6. Activa Send reports and logs to Sophos Central.
  7. Opcional: activa Manage from Sophos Central si la firewall también debe gestionarse de forma centralizada.
  8. Opcional: activa Send configuration backups to Sophos Central si los backups de configuración deben guardarse de forma centralizada.
  9. Haz clic en Apply.
Sophos Firewall - Activar Sophos Central services con Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Después de guardar, el servicio debe confirmarse en Sophos Central:

  1. Inicia sesión en Sophos Central.
  2. Abre My Products > Firewall Management > Firewalls.
  3. Busca la firewall con el estado o simbolo Approval pending.
  4. Haz clic en Accept services.

Sophos también describe este proceso en la guía oficial activar firewall reporting.

Tras la activacion, la firewall crea automaticamente una entrada Syslog para Central reporting y empieza a enviar logs a Sophos Central. Según Sophos, la firewall envia los datos al menos cada cinco minutos. Después, los datos se procesan en Sophos Central, lo que puede tardar algunos minutos más.

Que datos se transfieren

Los tipos de log que se envian a Sophos Central se definen directamente en la firewall.

La ruta de menu es Configure > System services > Log settings.

En Log settings hay una columna propia llamada Central reporting. Alli se puede decidir por cada tipo de log si se envia localmente, a Central o a ambos destinos.

Areas tipicas:

  • Reglas de firewall.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Eventos del sistema.
Sophos Firewall - Log settings con columna Central reporting
Sophos Firewall - System services > Log settings > Central reporting

No todos los entornos necesitan enviar todos los datos a Sophos Central. En entornos productivos se debe comprobar que tipos de log son realmente necesarios y si se cumplen los requisitos internos de proteccion de datos.

⚠️ Cuantos más tipos de log se envien a Sophos Central, más rápido se consumira el almacenamiento disponible. En entornos productivos conviene decidir conscientemente que logs se necesitan para operacion, seguridad y compliance.

Durante cuanto tiempo Sophos conserva los logs

La retención depende de la licencia y del almacenamiento disponible. Lo importante es que siempre se aplica el limite que se alcanza primero. Si el almacenamiento se llena, los datos más antiguos se eliminan según el principio FIFO.

Licencia / VarianteRetencionNota
Central Firewall Reporting sin licencia adicional de reportingHasta 7 díasDisponible con una Firewall-Subscription activa. El almacenamiento depende del modelo y es limitado.
Xstream Protection BundleHasta 30 díasSophos lo denomina una autorización limitada de Central Firewall Reporting Advanced.
Sophos Central Firewall Reporting AdvancedHasta 365 díasCada licencia proporciona 100 GB de almacenamiento adicional. Se pueden apilar varias licencias según las necesidades.

Sophos documenta los detalles en almacenamiento de firewall reporting por modelo de firewall y en las FAQ de firewall reporting.

La licencia Sophos Central Firewall Reporting Advanced puede adquirirse en Avanet: Sophos Central Firewall Reporting Advanced. La ficha técnica describe Central Firewall Reporting como reporting basado en cloud con búsqueda, reports y hasta 365 días de retención: ficha técnica de Sophos Central Firewall Reporting.

Comprobar la llegada de los logs

Después de la activacion, los datos no siempre aparecen inmediatamente en Sophos Central. Hay que contar con unos minutos de retraso.

Comprueba después:

  1. Inicia sesión en Sophos Central.
  2. Abre My Products > Firewall Management > Report Hub.
  3. Selecciona la firewall afectada.
  4. Comprueba si se ven eventos actuales.
  5. Crea un report sencillo como prueba.
Sophos Central - Report Hub de firewall reporting
Sophos Central - Firewall Management > Report Hub

Si no se ven datos, primero hay que comprobar conexión, licencia y configuración de logs.

Usar reports

Sophos Central puede mostrar y filtrar reports y, según la licencia, también programarlos.

Reports útiles para la operacion:

  • Top de aplicaciones bloqueadas.
  • Categorias web con mucho tráfico.
  • Conexiones VPN.
  • Eventos IPS.
  • Top de reglas por numero de hits.
  • Analisis por usuario o host.

Para controles operativos recurrentes, los reports pueden programarse o guardarse como plantilla.

Troubleshooting

No hay datos en Sophos Central

Comprueba si la firewall está online y puede comunicarse con Sophos Central. Además, deben revisarse DNS, default gateway y hora.

Solo faltan algunos tipos de log

Comprueba la configuración local de logs de la firewall. Si un área no se registra localmente, tampoco puede transferirse de forma útil a Central Reporting.

Los reports muestran datos antiguos

Central Reporting no siempre trabaja en tiempo real. Comprueba el período seleccionado en el report y espera unos minutos antes de volver a cambiar la configuración.

Demasiados o muy pocos datos

Ajusta la selección de logs y los filtros en Sophos Central. Para auditorias o casos de soporte puede tener sentido recopilar más datos. Para la operacion normal suelen bastar reports especificos.

Guardar logs para casos de soporte

Central Reporting no sustituye todos los análisis locales de logs. Si Sophos Support o Avanet necesita una coleccion completa de logs locales, también se pueden exportar los logs de la firewall.

Consulta: Guardar logs de Sophos Firewall para soporte o análisis

Recomendacion

Activa Central Firewall Reporting sobre todo si gestionas varias firewalls o si necesitas reports de forma regular. Para troubleshooting es útil combinar logs locales y Central Reporting: Central para la vista general y el historico, logs locales para el análisis detalládo directamente en la firewall.