Sophos Firewall troubleshooting: servicios y logs
En Sophos Firewall hay dos niveles importantes para troubleshooting: los eventos en Log viewer y los archivos de servicio o log en la firewall. Log Viewer es ideal para preguntas rápidas, por ejemplo si una conexión fue permitida o bloqueada. Los archivos en /log son más importantes cuando un servicio no arranca, un túnel VPN es inestable, el filtro web se comporta de forma inesperada o el soporte necesita datos detallados.
Este artículo asigna los servicios y archivos de log más importantes a problemas típicos de administración. También ayuda cuando aparece un nombre técnico de servicio en el dashboard, en Advanced Shell o en un caso de soporte y no queda claro qué función de la firewall hay detrás. Nombres como zebra, warren, awed, garner o strongswan no son autoexplicativos en el trabajo diario.
Log Viewer o archivo de log
Log viewer se abre en la consola WebAdmin, arriba a la derecha. Se actualiza automáticamente, permite filtrar por módulo, tiempo, valores de campo y texto libre, y puede exportar logs como CSV.
Los troubleshooting logs se encuentran en la firewall en el directorio /log. Se puede acceder mediante la consola WebAdmin o por SSH. Para comprobaciones breves funciona Device Management > Advanced Shell en el navegador, pero en la práctica SSH suele ser más cómodo, estable y adecuado para sesiones largas con tail, grep o less. La preparación segura de SSH está descrita en Conectarse a Sophos Firewall por SSH.
- Conectarse por SSH o abrir Device Management > Advanced Shell en WebAdmin.
- Cambiar al directorio de logs.
cd /log
Comandos útiles:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Los comandos más importantes de Advanced Shell:
| Comando | Ejemplo | Finalidad |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | muestra nuevas líneas de log en directo |
less /log/<logfilename>.log | less /log/ips.log | abre un archivo de log estático para lectura |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | busca un término en un archivo de log |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | inicia, detiene, reinicia o activa debug para un servicio |
Si los logs deben guardarse para soporte o análisis externo, ayuda Guardar logs de Sophos Firewall para análisis externo.
Advanced Shell o Device Console
En Sophos Firewall hay dos áreas de consola diferentes que se confunden con frecuencia:
| Área | Uso |
|---|---|
| Device Console | Sophos CLI para comandos específicos de la firewall, por ejemplo prioridad de routing, rutas IPsec u opciones del sistema |
| Advanced Shell | shell cercana a Linux para sistema de archivos, archivos de log, tail, grep, less, service -S, reinicios de servicios y comandos de debug |
No todos los comandos funcionan en ambas áreas. Si un artículo menciona explícitamente Device Console, el comando debe ejecutarse allí. Si se trata de /log, tail -f, grep, service -S o debug logging, normalmente se refiere a Advanced Shell.
Esta diferencia es importante porque muchos errores surgen simplemente porque un comando correcto se introduce en el lugar equivocado.
El logging debe estar activo
No toda la información esperada aparece automáticamente.
- En firewall rules debe estar activo Log firewall traffic.
- En SSL/TLS inspection rules debe estar activo el logging.
- En System services > Log settings debe definirse qué tipos de log se guardan localmente, se envían a Sophos Central o se envían a syslog.
Para retención a largo plazo conviene usar un servidor syslog o Sophos Central Firewall Reporting. Sophos Firewall puede configurar hasta cinco servidores syslog externos. Central Firewall Reporting también cuenta dentro de este límite.
Más información: Activar Central Firewall Reporting.
Activar debug solo de forma puntual
El debug logging es muy útil, pero genera muchos datos y puede consumir espacio. Debug solo debería activarse para el servicio relevante. Después se reproduce el problema y se desactiva debug de nuevo.
Ejemplo:
service ips:debug -ds nosync
service ips:debug -ds nosync off
La sintaxis exacta depende del servicio. Si el servicio afectado no está claro, primero conviene revisar el archivo de log normal.
Debug logging y comandos CLI básicos se explican con más detalle en Sophos Firewall troubleshooting - consejos para CLI. Para reiniciar servicios individuales ayuda Reiniciar servicios de Sophos Firewall.
Firewall, NAT y Packet Capture
| Función | Servicio / contexto | Primer archivo de log | Comprobar además |
|---|---|---|---|
| Matching de firewall rule | Firewall Rule Engine | firewall_rule.log | módulo Firewall en Log Viewer |
| Procesamiento general de firewall | Firewall log / ruta kernel | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID en Log Viewer |
| Packet Capture en WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / publicación antigua de servidores | vhost | vhost.log | NAT y WAF |
En problemas de DNAT siempre hay que revisar firewall rule y NAT rule juntas. NAT solo traduce, no permite tráfico. Más información: Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Sophos Firewall usa IP tables, ARP table, IPset y conntrack para conexiones de firewall. Para QoS o Bandwidth Management se usa IMQ. Esta información ayuda cuando los logs o la salida de soporte contienen términos técnicos del camino de red Linux.
IPS, Application Control y TLS Inspection
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI y TLS Inspection | DPI Engine | ips.log |
| Antivirus en el camino de red | avd | avd.log |
| Actualizaciones de firmas | Signature Updater | sig_upgrade.log, sig_update.log |
| Migración de firmas | Signature Migration | sigmigration.log |
Muchas funciones modernas de protección solo ven suficiente detalle cuando HTTPS se descifra. Si TLS Inspection no aplica, Web Filter, Application Control, IPS y Malware Scan son menos concluyentes según el tráfico.
Más información: Desplegar TLS Inspection en Sophos Firewall paso a paso.
Web, proxy, WAF y filtro web
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | access log de awarrenhttp | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Si el tráfico web aparece bloqueado en Log Viewer, la causa puede estar en varios módulos: Web Policy, SSL/TLS inspection, Application Control, IPS o WAF. Por eso conviene seleccionar siempre el módulo concreto en Log Viewer y revisar además el archivo de log correspondiente.
Sophos bloquea siempre páginas web de la categoría highly objectionable criminal activity y oculta el nombre de dominio en logs e informes. Si una entrada de este ámbito parece anonimizada deliberadamente, puede ser un comportamiento esperado.
VPN
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| IPsec desde SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec versiones antiguas | servicio IPsec | ipsec.log |
| IPsec Test Connection | prueba IPsec | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| Estado SSL VPN | estado OpenVPN | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| Certificados VPN | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall usa strongSwan para IPsec VPN y OpenVPN para SSL VPN. En problemas de IPsec son decisivos hora, peer IP, proposal, local/remote subnets, NAT-T, routing y firewall rules.
Para problemas IPsec, Sophos Firewall IPsec troubleshooting es la guía paso a paso más adecuada. Para route-based VPN y rutas IPsec manuales ayuda Crear una ruta IPsec en Sophos Firewall.
Authentication, User Portal y SSO
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Autenticación de usuarios | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / contexto Access Server | según el contexto del servicio y access_server.log |
En reglas basadas en usuario, primero hay que comprobar si el usuario es conocido. Si Match known users está activo y la autenticación no funciona, la regla no hace match.
DNS, DHCP y red
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / otros componentes DNS | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Servicio de red | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
Los problemas DNS y DHCP suelen parecer problemas de firewall. Por eso conviene comprobar primero dirección IP, gateway, servidor DNS y si los clientes deben usar la firewall como servidor DNS o DHCP.
Si los dominios internos no se resuelven correctamente, suele ser relevante Configurar DNS request routes en Sophos Firewall. Para opciones DHCP especiales existe Configurar Sophos Firewall DHCP Options.
Cellular WAN
| Función | Qué comprobar | Archivo de log |
|---|---|---|
| WWAN / módem USB | conexión y retirada de dispositivos USB | mdev.log |
| Configuración de red del módem | interfaces e IP relacionados con el módem | networkd.log |
| USB, módem y PPP | mensajes syslog de USB, módem y Point-to-Point Protocol | syslog.log |
En problemas de Cellular WAN también hay que comprobar si el módem se detecta, si PIN/SIM/APN son correctos y si la firewall crea un gateway adecuado.
Routing
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
En problemas de routing, revisar también Routing > SD-WAN routes, gateways y Packet Capture. Policy tester no sustituye una prueba real de routing.
Más información: Ajustar la prioridad de routing en Sophos Firewall.
GUI, CLI y acceso al sistema
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| Errores GUI/CLI | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validación | Config Validation | validation.log, validationError.log |
Si WebAdmin o SSH no son accesibles, no basta con revisar solo estos logs. El acceso local se controla mediante Administration > Device access y Local Service ACL.
Más información: Conectarse a Sophos Firewall por SSH.
Sophos Central, Heartbeat y Central Management
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat hacia Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | logs de servicio correspondientes |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | contexto ATR | según versión y módulo |
En problemas con Central, primero revisar si la firewall está registrada, si Central Services está activo y si DNS/HTTPS saliente funciona.
High Availability
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Estado y configuración HA | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
Los HA logs se guardan en el appliance donde se generan. Para logs brutos del equipo auxiliar hay que conectarse directamente a ese equipo, por ejemplo por SSH a su admin port. Para reports consolidados, Sophos Central Firewall Reporting es más práctico.
Mail y Anti-Spam
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| Errores SMTP | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
En problemas de correo, siempre revisar si MTA Mode, firewall rule, DNS, certificados y restricciones del provider encajan.
Sophos Firewall usa Avira y Sophos Antivirus. El servicio Anti-Spam solo arranca si existe una spam policy entrante o saliente. Esta dependencia es importante cuando sasi.log permanece vacío o el servicio Anti-Spam no se ejecuta.
Wireless, RED, Hotspot y otros servicios
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Base de datos y reporting
| Función | Servicio / contexto | Archivo de log |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Si faltan reports, son lentos o hay problemas de espacio, los logs de reporting y base de datos son relevantes. También hay que comprobar si los reports se guardan localmente o se envían a Sophos Central.
Orden práctico de análisis
- Anotar el problema con precisión: hora, cliente, destino, puerto, usuario, acción.
- Filtrar en Log Viewer por source IP y hora.
- Comprobar si Firewall Rule ID y NAT Rule ID son visibles.
- Observar el archivo de log correspondiente con
tail -f. - Reproducir el problema.
- Activar debug brevemente si es necesario.
- Usar Packet Capture si el flujo de paquetes no está claro.
- Guardar logs mientras el fallo acaba de reproducirse.
Para casos de soporte conviene documentar todos los mensajes de error, pasos de reproducción y troubleshooting ya realizado. Esta información acelera claramente los casos de soporte.
Más información
Las tablas de este artículo se basan en experiencia práctica y en la vista oficial de Sophos sobre log files por módulo. Las fuentes oficiales están aquí: