Sophos Firewall : activer Central Firewall Reporting
Avec Central Firewall Reporting, la Sophos Firewall envoie des données de logs sélectionnées vers Sophos Central. Les rapports peuvent ainsi être analysés de manière centralisée, conservés et partagés avec d’autres personnes si nécessaire.
Ce guide montre comment activer Central Reporting, quels points vérifier au préalable et comment contrôler si les données de logs arrivent dans Sophos Central.
Quand Central Firewall Reporting est utile
Central Firewall Reporting est particulièrement utile lorsque plusieurs firewalls sont exploitées ou lorsque les rapports doivent être consultés régulièrement.
Exemples typiques :
- Vue centralisée de plusieurs firewalls.
- Rapports réguliers pour le management ou l’exploitation.
- Analyse des événements Web, Application, IPS, VPN ou réseau.
- Conservation plus longue et recherche plus simple dans les données de logs.
- Support pour le troubleshooting et les Security Reviews.
Pour une simple analyse live directement sur la firewall, les logs locaux suffisent souvent. Pour les évaluations à plus long terme, Central Reporting est toutefois nettement plus confortable.
Prérequis
Avant l’activation, il faut vérifier les points suivants :
- La firewall est enregistrée dans Sophos Central.
- La firewall dispose d’un accès Internet vers les services Sophos nécessaires.
- DNS et l’heure fonctionnent correctement.
- La licence utilisée prend en charge la fonction de reporting souhaitée.
- La firewall est visible dans Sophos Central.
Si la firewall n’est pas encore enregistrée dans Sophos Central, cette étape doit être effectuée en premier. Sans enregistrement, Central Firewall Reporting ne peut pas être activé.
Activer Central Reporting
Central Firewall Reporting s’active à deux endroits : d’abord sur la firewall, puis dans Sophos Central.
- Connecte-toi au WebAdmin de la Sophos Firewall.
- Ouvre System > Sophos Central.
- Sous Sophos Central registration, vérifie si la firewall est enregistrée.
- Si la firewall n’est pas encore enregistrée, clique sur Register et connecte-toi avec le compte Sophos Central approprié.
- Active Sophos Central services ou clique sur Configure si le service est déjà actif.
- Active Send reports and logs to Sophos Central.
- Optionnel : active Manage from Sophos Central si la firewall doit également être administrée de façon centralisée.
- Optionnel : active Send configuration backups to Sophos Central si les sauvegardes de configuration doivent être stockées de façon centralisée.
- Clique sur Apply.
Après l’enregistrement, le service doit être confirmé dans Sophos Central :
- Connecte-toi à Sophos Central.
- Ouvre My Products > Firewall Management > Firewalls.
- Recherche la firewall avec le statut ou le symbole Approval pending.
- Clique sur Accept services.
Sophos décrit également ce processus dans le guide officiel Turn on firewall reporting.
Après l’activation, la firewall crée automatiquement une entrée Syslog pour Central reporting et commence à envoyer les données de logs à Sophos Central. Selon Sophos, la firewall envoie les données au moins toutes les cinq minutes. Les données sont ensuite traitées dans Sophos Central, ce qui peut encore prendre quelques minutes.
Quelles données sont transférées
Les types de logs envoyés à Sophos Central se définissent directement sur la firewall.
Le chemin de menu est Configure > System services > Log settings.
Sous Log settings, il existe une colonne dédiée Central reporting. Pour chaque type de log, on peut décider si ce log doit être envoyé localement, à Central ou aux deux destinations.
Domaines typiques :
- Règles firewall.
- Web Protection.
- Application Control.
- IPS.
- ATP.
- VPN.
- Événements système.
Tous les environnements n’ont pas besoin d’envoyer toutes les données à Sophos Central. En production, il faut vérifier quels types de logs sont réellement nécessaires et si les exigences internes de protection des données sont respectées.
⚠️ Plus il y a de types de logs envoyés à Sophos Central, plus l’espace disponible est consommé rapidement. En production, il faut décider consciemment quels logs sont réellement nécessaires pour l’exploitation, la sécurité et la conformité.
Combien de temps Sophos conserve les logs
La durée de conservation dépend de la licence et de l’espace disponible. Point important : c’est toujours la limite atteinte en premier qui s’applique. Si l’espace est plein, les données les plus anciennes sont supprimées selon le principe FIFO.
| Licence / variante | Conservation | Remarque |
|---|---|---|
| Central Firewall Reporting sans licence de reporting supplémentaire | Jusqu’à 7 jours | Disponible avec une subscription firewall active. L’espace dépend du modèle et reste limité. |
| Xstream Protection Bundle | Jusqu’à 30 jours | Sophos parle d’un droit Central Firewall Reporting Advanced limité. |
| Sophos Central Firewall Reporting Advanced | Jusqu’à 365 jours | Chaque licence fournit 100 Go d’espace supplémentaire. Plusieurs licences peuvent être cumulées selon les besoins. |
Sophos documente les détails sous Firewall reporting storage by firewall model et dans les Firewall reporting FAQs.
La licence Sophos Central Firewall Reporting Advanced est disponible chez Avanet : Sophos Central Firewall Reporting Advanced. La fiche technique décrit également Central Firewall Reporting comme une solution de reporting cloud avec recherche, rapports et jusqu’à 365 jours de conservation : Fiche technique Sophos Central Firewall Reporting.
Vérifier l’arrivée des logs
Après l’activation, les données n’apparaissent pas toujours immédiatement dans Sophos Central. Il faut prévoir quelques minutes de délai.
Vérifie ensuite :
- Connecte-toi à Sophos Central.
- Ouvre My Products > Firewall Management > Report Hub.
- Sélectionne la firewall concernée.
- Vérifie si des événements récents sont visibles.
- Crée un rapport simple à titre de test.
Si aucune donnée n’est visible, il faut d’abord vérifier la connexion, la licence et les paramètres de logs.
Utiliser les rapports
Sophos Central peut afficher, filtrer et, selon la licence, planifier des rapports.
Rapports utiles pour l’exploitation :
- Applications les plus bloquées.
- Catégories web avec trafic élevé.
- Connexions VPN.
- Événements IPS.
- Règles les plus touchées.
- Analyses par utilisateur ou par hôte.
Pour les contrôles d’exploitation récurrents, on peut planifier des rapports ou les enregistrer comme modèles.
Troubleshooting
Aucune donnée dans Sophos Central
Vérifie que la firewall est en ligne et qu’elle peut communiquer avec Sophos Central. DNS, passerelle par défaut et heure doivent également être contrôlés.
Seuls certains types de logs manquent
Vérifie les paramètres de logs locaux de la firewall. Si une catégorie n’est pas loguée localement, elle ne peut pas être transmise correctement à Central Reporting.
Les rapports montrent d’anciennes données
Central Reporting ne fonctionne pas toujours en temps réel. Vérifie la période sélectionnée dans le rapport et attends quelques minutes avant de modifier à nouveau la configuration.
Trop ou trop peu de données
Ajuste la sélection des logs et les filtres dans Sophos Central. Pour les audits ou les cas de support, il peut être utile de collecter davantage de données. Pour l’exploitation normale, des rapports ciblés suffisent souvent.
Sauvegarder les logs pour les cas de support
Central Reporting ne remplace pas toute analyse locale des logs. Si le support Sophos ou Avanet a besoin d’une collecte complète des logs locaux, les logs de la firewall peuvent aussi être exportés.
Voir : Sauvegarder les logs Sophos Firewall pour le support ou l’analyse
Recommandation
Active Central Firewall Reporting surtout lorsqu’il y a plusieurs firewalls ou lorsque des rapports sont régulièrement nécessaires. Pour le troubleshooting, il est utile d’utiliser ensemble les logs locaux et Central Reporting : Central pour la vue d’ensemble et l’historique, les logs locaux pour l’analyse détaillée directement sur la firewall.