Aller au contenu
Avanet

Sauvegarder les journaux de Sophos Firewall pour le support et l'analyse

En cas de dysfonctionnements, de problèmes VPN ou d’événements de pare-feu peu clairs, des captures d’écran individuelles de l’interface Web ne suffisent souvent pas. Pour une analyse approfondie, un cas de support nécessite des indications temporelles traçables, des fichiers journaux appropriés et parfois en plus une capture de paquets.

Ce guide décrit comment empaqueter les journaux d’un Sophos Firewall dans une archive via le Shell avancé et les préparer en toute sécurité pour le support Sophos, Avanet ou une analyse externe. Cette procédure ne remplace pas la première délimitation dans le Log Viewer. Si le module concerné n’est pas encore clair, l’aperçu Dépannage de Sophos Firewall : Services et journaux est d’abord utile.

Quel article de dépannage convient ?

L’archive de journaux n’est qu’un outil dans le dépannage. Selon le type de problème, une autre entrée peut être plus rapide :

Cette séparation permet de gagner du temps. Une archive de journaux complète aide dans les analyses de service et de support, mais ne remplace pas un cas de test reproductible dans le Log Viewer ni une capture de paquets ciblée.

Quelles données le support nécessite-t-il ?

Tous les problèmes ne nécessitent pas immédiatement une archive de journaux complète. Plus le problème est clairement délimité, plus les données seront petites et utiles.

  • Une règle de pare-feu ou une règle NAT s’applique de manière inattendue: Heure, IP source, IP de destination, ID de règle, ID NAT, exportation du Log Viewer et, si nécessaire, Packet Capture.
  • Un service ne démarre pas ou WebAdmin affiche une erreur: Archive de journaux de /log, service concerné, heure et dernière étape de configuration.
  • Le tunnel IPsec ne se construit pas ou tombe: archive de journaux normale, données de diagnostic IPsec, IP du pair, réseaux locaux et distants, moment de la tentative de connexion.
  • Le trafic n’atteint pas la destination: Log Viewer, Packet Capture ou pour des analyses plus longues tcpdump-PCAP.
  • Problème après un changement de configuration: Audit Trail, moment approximatif du changement, administrateur impliqué et objets concernés.

Pour de nombreux tickets, la combinaison du moment du problème, d’une brève description de l’erreur, d’une archive de journaux et d’une preuve supplémentaire ciblée est meilleure qu’un ensemble de données très large sans contexte. Lorsqu’un ticket officiel Sophos est créé, il est également utile de consulter Ouvrir un ticket de support Sophos : Préparation et portail.

Prérequis

Pour ce guide, vous aurez besoin de :

  • Accès administratif au Sophos Firewall
  • Accès au Shell avancé
  • Un serveur cible ou un autre moyen sécurisé pour transférer l’archive de journaux
  • Suffisamment d’espace libre sur le pare-feu pour l’archive temporaire

Les commandes sont exécutées directement sur le pare-feu. Il est donc important de travailler avec soin et de ne pas supprimer de fichiers sans savoir à quoi ils servent.

Si l’accès au Shell n’est pas encore configuré, le guide Connecter Sophos Firewall via SSH explique comment établir une connexion SSH au pare-feu.

⚠️ Les archives de journaux et les fichiers PCAP peuvent contenir des informations sensibles. Ces fichiers ne doivent être conservés que brièvement sur le pare-feu, être transférés en toute sécurité et supprimés après une transmission réussie.

Ouvrir le Shell avancé

Connectez-vous au Sophos Firewall et ouvrez le Shell avancé :

  1. Ouvrez Device Management.
  2. Sélectionnez Advanced Shell.
  3. Confirmez l’accès si le pare-feu affiche une demande supplémentaire.

Après la connexion, vous vous trouvez sur le Shell du pare-feu. À partir de là, vous pouvez archiver les fichiers journaux.

Collecter les journaux avant la sauvegarde

Si un problème est reproductible, il doit être déclenché à nouveau juste avant d’archiver les journaux. Cela permet de s’assurer que les entrées pertinentes sont aussi récentes que possible dans les fichiers journaux.

Pour des problèmes plus complexes, les journaux normaux ne suffisent parfois pas. Dans ce cas, il peut être utile d’activer un journal de débogage pour le service concerné avant l’archivage. La procédure est décrite dans la section Activer un journal de débogage ciblé.

Quel fichier journal appartient à quel module de pare-feu est résumé dans Dépannage de Sophos Firewall : Services et journaux. Cet aperçu est utile si vous souhaitez vérifier spécifiquement si des journaux VPN, IPS, Web, Mail, GUI ou système sont pertinents pour un problème.

Si ce n’est pas un problème de service mais le flux de paquets lui-même qui est peu clair, une archive de journaux seule n’est souvent pas suffisante. Pour des tests courts, Packet Capture dans WebAdmin est approprié. Pour les fichiers PCAP, les captures plus longues ou les analyses de support, tcpdump sur Sophos Firewall est l’outil approprié.

Sauvegarder tous les fichiers journaux

Avant d’archiver, vérifiez s’il y a suffisamment d’espace libre sous /var :

df -h /var

Ensuite, créez une archive compressée avec les fichiers du répertoire /log :

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

La commande crée le fichier :

/var/Sophos-Firewall-Logs.tar.gz

Les éléments clés de la commande :

  • tar crée une archive.
  • -c crée une nouvelle archive.
  • -v affiche les fichiers traités.
  • -z compresse l’archive avec gzip.
  • -f spécifie le nom de fichier de l’archive.
  • -C / change pour le répertoire racine pour l’archivage.
  • log est le répertoire contenant les fichiers journaux de Sophos Firewall.

L’avantage de -C / est que la commande fonctionne indépendamment du répertoire de travail actuel. Un cd / préalable n’est donc pas nécessaire. Si le fichier existe déjà, il sera écrasé par la commande.

Selon la taille et la charge du pare-feu, l’archivage peut prendre un certain temps. La sortie de tar montre pendant ce temps quels fichiers sont écrits dans l’archive.

Ensuite, vous pouvez vérifier la taille de l’archive :

ls -lh /var/Sophos-Firewall-Logs.tar.gz

De plus, vous devriez vérifier brièvement si l’archive est lisible et contient bien le répertoire de journaux :

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

La sortie devrait montrer des chemins sous log/. Si la commande signale une erreur ou si l’archive est inhabituellement petite, elle ne doit pas être transmise. Vérifiez d’abord l’espace libre, les droits d’écriture et l’exécution précédente de tar.

Copier l’archive de journaux sur un serveur Linux

Si un serveur Linux est accessible via SSH, l’archive peut être transférée avec scp.

Exemple :

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

L’adresse IP, l’utilisateur et le chemin cible doivent être adaptés à votre environnement.

Après le transfert, l’archive se trouve sur le serveur cible sous :

/root/Sophos-Firewall-Logs.tar.gz

De là, elle peut être transmise en interne ou mise à disposition du support Sophos ou d’Avanet.

Sauvegarder séparément les données de diagnostic IPsec

En cas de problèmes VPN ou IPsec, les données de connexion IPsec de /tmp/ipsec/connections/ peuvent également être utiles.

Pour cela, créez une archive séparée :

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Ici aussi, vous pouvez vérifier brièvement le fichier généré :

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Cette archive peut également être copiée sur un serveur cible via scp :

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Surtout en cas de problèmes IPsec, il est judicieux de fournir cette archive avec les journaux de pare-feu normaux, afin que le statut du tunnel, les informations de connexion et les entrées de journal puissent être évalués ensemble.

Archive de journaux, Central Reporting ou Syslog ?

Une archive de journaux locale répond à une question différente de Central Reporting ou Syslog.

  • Archive de journaux de /log: Cas de support, erreur de service, débogage VPN, analyse de détail locale. Instantané du pare-feu local.
  • Central Firewall Reporting: Rapports, historique et recherche dans Sophos Central. ne remplace pas les journaux de support locaux complets.
  • Syslog ou SIEM: conservation à long terme, corrélation et processus SOC. nécessite un parseur, une exploitation et un journalisation activée au préalable.
  • Audit Trail Logs: Suivi des modifications de configuration. pas d’analyse de flux de paquets ou de service.

Pour un cas de support aigu, l’archive de journaux locale est souvent encore nécessaire, même si Central Reporting ou Syslog est activé. Inversement, pour une conservation à long terme, il ne faut pas espérer que les journaux locaux sur le pare-feu soient encore complètement disponibles plus tard.

Traiter séparément les captures de paquets

Les archives de journaux et les captures de paquets sont des preuves différentes. L’archive de journaux montre les messages de service, les erreurs, les états VPN et les événements système. Une capture de paquets ou tcpdump montre si les paquets arrivent réellement, sont transmis ou si des réponses manquent.

Pour les cas de support, il ne faut pas envoyer les captures de paquets sans filtre. Il est préférable de :

  1. Noter le cas de test avec IP source, IP de destination, port, protocole et heure.
  2. Vérifier d’abord le Log Viewer et la capture de paquets WebAdmin si cela suffit.
  3. Créer uniquement si nécessaire une capture tcpdump étroite en tant que PCAP.
  4. Transférer le fichier PCAP en toute sécurité.
  5. Supprimer le fichier PCAP du pare-feu après un transfert réussi.

Le fichier PCAP ne fait pas partie de l’archive /log, mais est créé et transféré séparément. Cela permet de garder clair quel fichier contient les journaux de service et quel fichier contient les paquets réseau.

Sécurité et protection des données

Les fichiers journaux peuvent contenir des informations sensibles, par exemple :

  • Adresses IP publiques et internes
  • Noms d’utilisateur
  • Noms d’hôte
  • Informations VPN
  • Messages d’erreur avec détails techniques
  • Indications sur les structures réseau internes

Les archives de journaux doivent donc être transférées uniquement par des canaux sécurisés et ne doivent être mises à disposition que des personnes ou organisations impliquées dans l’analyse. Si les journaux sont envoyés à un partenaire externe, il doit d’abord être clarifié en interne si le transfert est autorisé selon les politiques de protection des données et de sécurité internes.

Supprimer les archives temporaires

Après que l’archive a été transférée avec succès, elle doit être supprimée du pare-feu pour ne pas occuper inutilement de l’espace :

rm /var/Sophos-Firewall-Logs.tar.gz

Si une archive IPsec séparée a également été créée, elle doit également être supprimée :

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Avant de supprimer, vérifiez que les fichiers sont arrivés avec succès sur le système cible.

Liste de contrôle pour les cas de support

  • Problème brièvement décrit : Qu’est-ce qui ne fonctionne pas, depuis quand, à quelle fréquence ?
  • Heure exacte avec fuseau horaire notée.
  • IP source, IP de destination, utilisateur, service ou nom de tunnel concerné noté.
  • Module pertinent vérifié dans le Log Viewer.
  • Si nécessaire : débogage activé brièvement et désactivé à nouveau.
  • Archive de journaux de /log créée.
  • En cas de problèmes IPsec, données de diagnostic IPsec également sauvegardées.
  • En cas de problèmes de flux de paquets, Packet Capture ou tcpdump créé séparément.
  • Archive vérifiée brièvement avec tar -tzf pour la lisibilité.
  • Archive et PCAP transférés uniquement par des canaux sécurisés.
  • Fichiers temporaires sur le pare-feu supprimés après un transfert réussi.

FAQ

Un screenshot du Log Viewer suffit-il pour le support Sophos ?

Pour des cas simples, une capture d’écran peut aider. Pour des erreurs complexes, les fichiers journaux, des indications temporelles précises et, selon le problème, une capture de paquets ou un enregistrement tcpdump sont nettement plus éloquents.

Faut-il toujours sauvegarder tous les journaux de Sophos Firewall ?

Pas toujours. Si le problème est clairement délimité, des journaux ciblés et la période exacte suffisent souvent. Pour les cas de support, une archive complète de /log est cependant souvent utile, car plusieurs services peuvent être liés.

Un fichier PCAP doit-il être inclus dans l'archive de journaux ?

Non. Les fichiers PCAP sont créés séparément avec Packet Capture ou tcpdump et transférés séparément. Cela permet de garder les journaux de service et les captures de paquets bien séparés.

Central Reporting remplace-t-il une archive de journaux locale ?

Non. Central Reporting est utile pour l’historique, la recherche et les rapports dans Sophos Central. Pour les cas de support ou l’analyse de service, on a souvent encore besoin des fichiers journaux locaux de /log, car ils contiennent des informations détaillées sur les modules et les services.

Comment vérifier si l'archive de journaux a été créée ?

D’abord, vérifiez avec ls -lh /var/Sophos-Firewall-Logs.tar.gz si le fichier existe et a une taille plausible. Ensuite, vous pouvez contrôler avec tar -tzf /var/Sophos-Firewall-Logs.tar.gz si l’archive est lisible et contient des fichiers sous log/.