Sophos Firewall troubleshooting : services et logs
Sur Sophos Firewall, deux niveaux sont importants pour le troubleshooting : les événements dans Log viewer et les fichiers de services ou de logs sur la firewall. Log Viewer est idéal pour des questions rapides, par exemple savoir si une connexion a été autorisée ou bloquée. Les fichiers sous /log deviennent plus importants lorsqu’un service ne démarre pas, qu’un tunnel VPN est instable, que le filtrage web agit de manière inattendue ou que le support a besoin de données détaillées.
Cet article associe les principaux services et fichiers de logs aux problèmes admin typiques. Il aide aussi lorsqu’un nom de service technique apparaît dans le dashboard, dans Advanced Shell ou dans un cas support et qu’il n’est pas évident de savoir quelle fonction de la firewall se cache derrière. Des noms comme zebra, warren, awed, garner ou strongswan ne sont pas parlants au quotidien.
Log Viewer ou fichier de log ?
Log viewer s’ouvre dans la console WebAdmin en haut à droite. Il se met à jour automatiquement, peut être filtré par module, heure, valeurs de champ et texte libre, et peut exporter les logs en CSV.
Les troubleshooting logs se trouvent sur la firewall dans le répertoire /log. L’accès se fait via la console WebAdmin ou par SSH. Pour de courts contrôles, Device Management > Advanced Shell dans le navigateur fonctionne. En pratique, SSH est souvent plus confortable, plus stable et mieux adapté aux longues sessions tail, grep ou less. La préparation sécurisée de SSH est décrite dans Se connecter à Sophos Firewall par SSH.
- Se connecter par SSH ou ouvrir Device Management > Advanced Shell dans WebAdmin.
- Passer dans le répertoire des logs.
cd /log
Commandes utiles :
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Les principales commandes Advanced Shell :
| Commande | Exemple | Objectif |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | affiche les nouvelles lignes de log en direct |
less /log/<logfilename>.log | less /log/ips.log | ouvre un fichier de log statique en lecture |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | recherche un mot-clé dans un fichier de log |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | démarre, arrête, redémarre ou active le debug d’un service |
Si des logs doivent être sauvegardés pour le support ou une analyse externe, l’article Sauvegarder les logs Sophos Firewall pour une analyse externe est utile.
Advanced Shell ou Device Console ?
Sophos Firewall possède deux zones de console différentes, souvent confondues :
| Zone | Utilisation |
|---|---|
| Device Console | Sophos CLI pour les commandes propres à la firewall, par exemple priorité de routing, routes IPsec ou options système |
| Advanced Shell | shell proche de Linux pour système de fichiers, fichiers de logs, tail, grep, less, service -S, redémarrages de services et commandes debug |
Toutes les commandes ne fonctionnent pas dans les deux zones. Si un article mentionne explicitement Device Console, la commande doit être exécutée à cet endroit. S’il s’agit de /log, tail -f, grep, service -S ou debug logging, il s’agit généralement de Advanced Shell.
Cette distinction est importante, car de nombreuses erreurs viennent simplement d’une commande correcte saisie au mauvais endroit.
Le logging doit être actif
Toutes les informations attendues n’apparaissent pas automatiquement.
- Log firewall traffic doit être activé dans les firewall rules.
- Le logging doit être activé dans les SSL/TLS inspection rules.
- Sous System services > Log settings, il faut définir quels types de logs sont conservés localement, envoyés à Sophos Central ou envoyés à syslog.
Pour une conservation longue durée, un serveur syslog ou Sophos Central Firewall Reporting est utile. Sophos Firewall peut configurer jusqu’à cinq serveurs syslog externes. Central Firewall Reporting compte aussi dans cette limite.
Plus d’informations : Activer Central Firewall Reporting.
Activer le debug uniquement de façon ciblée
Le debug logging est très utile, mais il génère beaucoup de données et peut consommer de l’espace disque. Le debug doit être activé uniquement pour le service concerné. Ensuite, on reproduit le problème puis on désactive à nouveau le debug.
Exemple :
service ips:debug -ds nosync
service ips:debug -ds nosync off
La syntaxe exacte dépend du service. Si le service concerné n’est pas clair, il faut d’abord vérifier le fichier de log normal.
Le debug logging et les commandes CLI de base sont décrits plus en détail dans Sophos Firewall troubleshooting - conseils CLI. Pour redémarrer des services individuels, voir Redémarrer les services Sophos Firewall.
Firewall, NAT et Packet Capture
| Fonction | Service / contexte | Premier fichier de log | Vérifier aussi |
|---|---|---|---|
| Matching de firewall rule | Firewall Rule Engine | firewall_rule.log | module Firewall dans Log Viewer |
| Traitement général de la firewall | Firewall log / chemin kernel | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID dans Log Viewer |
| Packet Capture dans WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / ancienne publication serveur | vhost | vhost.log | NAT et WAF |
Pour les problèmes DNAT, il faut toujours vérifier ensemble la firewall rule et la NAT rule. NAT traduit uniquement, mais n’autorise pas le trafic. Plus d’informations : Comprendre NAT sur Sophos Firewall : SNAT, DNAT, MASQ, PAT.
Sophos Firewall utilise IP tables, ARP table, IPset et conntrack pour les connexions firewall. IMQ est utilisé pour QoS et Bandwidth Management. Cette information aide lorsque des logs ou sorties support contiennent des termes techniques du chemin réseau Linux.
IPS, Application Control et TLS Inspection
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI et TLS Inspection | DPI Engine | ips.log |
| Antivirus dans le chemin réseau | avd | avd.log |
| Mises à jour de signatures | Signature Updater | sig_upgrade.log, sig_update.log |
| Migration de signatures | Signature Migration | sigmigration.log |
De nombreuses fonctions de protection modernes ne voient suffisamment de détails que lorsque HTTPS est déchiffré. Si TLS Inspection ne s’applique pas, Web Filter, Application Control, IPS et Malware Scan sont moins parlants selon le trafic.
Plus d’informations : Déployer TLS Inspection sur Sophos Firewall étape par étape.
Web, proxy, WAF et filtre web
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | access log awarrenhttp | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Si le trafic web apparaît bloqué dans Log Viewer, la cause peut venir de plusieurs modules : Web Policy, SSL/TLS inspection, Application Control, IPS ou WAF. Il faut donc sélectionner le module exact dans Log Viewer et vérifier aussi le fichier de log correspondant.
Sophos bloque toujours les pages web de la catégorie highly objectionable criminal activity et masque le nom de domaine dans les logs et rapports. Si une entrée de cette catégorie semble volontairement anonymisée, cela peut être normal.
VPN
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| IPsec depuis SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec anciennes versions | service IPsec | ipsec.log |
| IPsec Test Connection | test IPsec | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| Statut SSL VPN | statut OpenVPN | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| Certificats VPN | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall utilise strongSwan pour IPsec VPN et OpenVPN pour SSL VPN. Pour les problèmes IPsec, l’heure, la peer IP, la proposal, les local/remote subnets, NAT-T, le routing et les firewall rules sont décisifs.
Pour IPsec, Sophos Firewall IPsec troubleshooting est le meilleur guide pas à pas. Pour route-based VPN et routes IPsec manuelles, voir Créer une route IPsec sur Sophos Firewall.
Authentication, User Portal et SSO
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Authentification utilisateur | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / contexte Access Server | selon le contexte du service et access_server.log |
Pour les règles basées sur les utilisateurs, il faut d’abord vérifier que l’utilisateur est connu. Si Match known users est actif et que l’authentification ne fonctionne pas, la règle ne matche pas.
DNS, DHCP et réseau
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / autres composants DNS | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Service réseau | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
Les problèmes DNS et DHCP ressemblent souvent à des problèmes firewall. Il faut donc vérifier d’abord l’adresse IP, la gateway, le serveur DNS et si les clients doivent utiliser la firewall comme serveur DNS ou DHCP.
Si les domaines internes ne sont pas résolus correctement, Configurer DNS request routes sur Sophos Firewall est souvent pertinent. Pour les options DHCP spéciales, voir Configurer Sophos Firewall DHCP Options.
Cellular WAN
| Fonction | Ce qu’il faut vérifier | Fichier de log |
|---|---|---|
| WWAN / modem USB | insertion et retrait de périphériques USB | mdev.log |
| Configuration réseau modem | interfaces et configuration IP liées au modem | networkd.log |
| USB, modem et PPP | messages syslog pour USB, modem et Point-to-Point Protocol | syslog.log |
Pour les problèmes Cellular WAN, il faut aussi vérifier si le modem est détecté, si PIN/SIM/APN sont corrects et si la firewall crée une gateway adaptée.
Routing
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Pour les problèmes de routing, vérifier aussi Routing > SD-WAN routes, les gateways et Packet Capture. Policy tester ne remplace pas un vrai test de routing.
Plus d’informations : Adapter la priorité de routing sur Sophos Firewall.
GUI, CLI et accès système
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| Erreurs GUI/CLI | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validation | Config Validation | validation.log, validationError.log |
Si WebAdmin ou SSH ne sont pas accessibles, il ne faut pas vérifier uniquement ces logs. L’accès local est contrôlé via Administration > Device access et Local Service ACL.
Plus d’informations : Se connecter à Sophos Firewall par SSH.
Sophos Central, Heartbeat et Central Management
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat vers Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | logs de service correspondants |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | contexte ATR | selon version et module |
Pour les problèmes Central, vérifier d’abord si la firewall est enregistrée, si Central Services est actif et si DNS/HTTPS sortant fonctionne.
High Availability
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Statut et configuration HA | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
Les HA logs sont stockés sur l’appliance qui les génère. Pour les logs bruts de l’auxiliary appliance, il faut se connecter directement à cet appareil, par exemple via son admin port en SSH. Pour les rapports consolidés, Sophos Central Firewall Reporting est plus pratique.
Mail et Anti-Spam
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| Erreurs SMTP | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Pour les problèmes mail, vérifier toujours si MTA Mode, firewall rule, DNS, certificats et restrictions provider sont cohérents.
Sophos Firewall utilise Avira et Sophos Antivirus. Le service Anti-Spam ne démarre que si une spam policy entrante ou sortante existe. Cette dépendance est importante si sasi.log reste vide ou si le service Anti-Spam ne fonctionne pas.
Wireless, RED, Hotspot et autres services
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Base de données et reporting
| Fonction | Service / contexte | Fichier de log |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Si des rapports manquent, sont lents ou si des problèmes d’espace apparaissent, les logs reporting et base de données sont pertinents. Il faut aussi vérifier si les rapports sont stockés localement ou envoyés à Sophos Central.
Ordre d’analyse pratique
- Noter précisément le problème : heure, client, destination, port, user, action.
- Filtrer dans Log Viewer par source IP et heure.
- Vérifier si Firewall Rule ID et NAT Rule ID sont visibles.
- Observer le fichier de log correspondant avec
tail -f. - Reproduire le problème.
- Activer brièvement le debug si nécessaire.
- Utiliser Packet Capture si le flux des paquets n’est pas clair.
- Sauvegarder les logs tant que l’erreur vient d’être reproduite.
Pour les cas support, il faut documenter tous les messages d’erreur, étapes de reproduction et actions de troubleshooting déjà réalisées. Ces informations accélèrent nettement les cas support.
Informations complémentaires
Les tableaux de cet article se basent sur l’expérience pratique et l’aperçu officiel Sophos des fichiers de logs par module. Les sources officielles sont ici :