Aller au contenu
Avanet

Sauvegarder les journaux Sophos Firewall pour support et analyse

Sophos Firewall

En cas de panne, de problème VPN ou d’événement firewall peu clair, les captures d’écran de l’interface web ne suffisent souvent pas. Le support Sophos, Avanet ou un partenaire de sécurité externe a généralement besoin des journaux pertinents du pare-feu.

Ce guide explique comment archiver les journaux Sophos Firewall via Advanced Shell et les préparer pour l’analyse.

Prérequis

Pour cette procédure, il faut:

  • Un accès administrateur à Sophos Firewall
  • Un accès à Advanced Shell
  • Un serveur cible ou une autre méthode sécurisée pour transférer l’archive
  • Suffisamment d’espace libre sur le pare-feu pour l’archive temporaire

Les commandes sont exécutées directement sur le pare-feu. Il faut travailler avec prudence et ne pas supprimer de fichiers si leur rôle n’est pas clair.

Si l’accès shell n’est pas encore configuré, le guide Se connecter à Sophos Firewall via SSH explique comment établir une connexion SSH.

Ouvrir Advanced Shell

Se connecter à Sophos Firewall et ouvrir Advanced Shell:

  1. Ouvrir Device Management.
  2. Sélectionner Advanced Shell.
  3. Confirmer l’accès si le pare-feu affiche une demande supplémentaire.

Après la connexion, le shell est disponible et les journaux peuvent être archivés.

Collecter des journaux ciblés avant l’archivage

Si le problème est reproductible, il est recommandé de le déclencher à nouveau juste avant de créer l’archive. Les entrées importantes seront ainsi récentes dans les fichiers journaux.

Pour les problèmes complexes, les journaux normaux peuvent être insuffisants. Dans ce cas, il peut être utile d’activer un journal de débogage pour le service concerné avant l’archivage. La page Dépannage de Sophos Firewall décrit le principe dans la section de débogage.

Notre aperçu Sophos Firewall troubleshooting : services et journaux résume quel fichier journal correspond à quel module firewall. Cette liste aide à déterminer si les journaux VPN, IPS, web, mail, GUI ou système sont pertinents.

Sauvegarder tous les journaux

Avant de créer l’archive, vérifier que /var dispose de suffisamment d’espace libre:

df -h /var

Créer ensuite une archive compressée du répertoire /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

La commande crée:

/var/Sophos-Firewall-Logs.tar.gz

Éléments importants de la commande:

  • tar crée une archive.
  • -c crée une nouvelle archive.
  • -v affiche les fichiers traités.
  • -z compresse l’archive avec gzip.
  • -f définit le nom du fichier d’archive.
  • -C / passe au répertoire racine pour l’opération d’archivage.
  • log est le répertoire contenant les journaux Sophos Firewall.

L’avantage de -C / est que la commande fonctionne quel que soit le répertoire courant. Un cd / préalable n’est pas nécessaire. Si le fichier existe déjà, il est remplacé.

Selon la taille des journaux et la charge du pare-feu, la création de l’archive peut prendre du temps. La sortie de tar montre les fichiers ajoutés à l’archive.

Vérifier ensuite la taille de l’archive:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Copier l’archive sur un serveur Linux

Si un serveur Linux est joignable par SSH, l’archive peut être transférée avec scp.

Exemple:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Adapter l’adresse IP, l’utilisateur et le chemin cible à l’environnement.

Après le transfert, l’archive se trouve sur le serveur cible:

/root/Sophos-Firewall-Logs.tar.gz

Elle peut ensuite être transmise en interne ou fournie au support Sophos ou à Avanet.

Sauvegarder séparément les données IPsec

En cas de problèmes VPN ou IPsec, les données de connexion IPsec sous /tmp/ipsec/connections/ peuvent également être utiles.

Créer une archive séparée:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Vérifier le fichier créé:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Transférer aussi cette archive avec scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Pour les erreurs IPsec, il est utile de fournir cette archive avec les journaux normaux afin d’analyser ensemble l’état des tunnels, les informations de connexion et les entrées de logs.

Sécurité et protection des données

Les journaux peuvent contenir des informations sensibles, par exemple:

  • Adresses IP publiques et internes
  • Noms d’utilisateur
  • Noms d’hôtes
  • Informations VPN
  • Messages d’erreur avec détails techniques
  • Indications sur les structures réseau internes

Les archives de journaux doivent être transférées uniquement par des canaux sécurisés et fournies seulement aux personnes ou organisations impliquées dans l’analyse. Avant d’envoyer des journaux à un partenaire externe, il faut vérifier en interne si cela est conforme aux règles de protection des données et de sécurité.

Supprimer les archives temporaires

Une fois l’archive transférée avec succès, la supprimer du pare-feu afin de libérer l’espace disque:

rm /var/Sophos-Firewall-Logs.tar.gz

Si une archive IPsec séparée a été créée, la supprimer également:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Avant la suppression, vérifier que les fichiers sont bien arrivés sur le système cible.