Dépannage de Sophos Firewall – Conseils et astuces pour la CLI
En tant qu’administrateur informatique responsable de l’administration de Sophos Firewall, une connaissance approfondie de l’interface de ligne de commande (CLI) est essentielle. La CLI fournit des outils et des commandes puissants qui permettent non seulement de naviguer efficacement dans les répertoires système, mais aussi d’effectuer des analyses et des dépannages détaillés. Dans cet article, nous allons vous montrer comment utiliser au mieux la CLI de Sophos Firewall pour parcourir les journaux, surveiller les connexions réseau, transférer des fichiers en toute sécurité et lancer des services en mode de débogage. Ce guide vous aidera à comprendre les commandes les plus importantes et à les utiliser de manière ciblée dans votre travail quotidien.
Thèmes
Naviguer dans le Sophos Shell
Dans le Sophos Shell, vous pouvez parcourir la structure des répertoires en utilisant de simples commandes Linux.
Par exemple, pour afficher les fichiers journaux existants dans le répertoire /log, vous pouvez utiliser la commande suivante :
cd /log
ls -la
- cd /log: Se positionne dans le répertoire /log qui contient les fichiers journaux de Sophos Firewall.
- ls -la: Dresse la liste détaillée de tous les fichiers du répertoire courant, y compris les fichiers cachés. Le -l affiche des informations détaillées telles que la taille des fichiers et l’horodatage, tandis que le -a liste tous les fichiers, y compris ceux qui sont cachés.
Pour afficher les fichiers triés par taille, vous pouvez étendre la commande ls comme suit :
ls -lSrh
- -lSrh: ces options listent les fichiers de manière détaillée, triés par taille (-S) et sous une forme lisible (-h pour « human-readable »).
Afficher et rechercher dans les logs
L’exploration et l’analyse des fichiers journaux est l’une des tâches les plus courantes dans le dépannage. Pour cela, les commandes cat, tail et grep sont extrêmement utiles.
tail – Surveiller les logs en temps réel
Pour suivre le contenu d’un fichier journal en temps réel, vous pouvez utiliser la commande tail:
tail -f smtpd_main.log
- tail -f: Affiche les dernières lignes du fichier smtpd_main.log et le met à jour en temps réel lorsque de nouvelles entrées sont ajoutées.
grep – Filtrer les logs
Pour rechercher un terme spécifique, par exemple un domaine ou une adresse électronique, dans un fichier journal, vous pouvez utiliser grep:
cat smtpd_main.log | grep "avanet.com"
Ou vous voulez surveiller le journal IPsec en temps réel et afficher les entrées d’une adresse IP.
tail -f strongswan.log | grep 46.33.21.12
- grep: recherche dans le fichier smtpd_main.log les lignes contenant le terme « avanet.com ».
Autres options utiles pour grep :
- -i: ignore les majuscules et les minuscules dans la recherche.
- -n: Affiche les numéros de ligne des occurrences.
- -m 1: arrête la recherche après la première occurrence.
Conntrack et TCP Dump
Sophos Firewall offre de puissants outils d’analyse des connexions et du trafic réseau.
Conntrack
Avec conntrack, vous pouvez surveiller les connexions actives :
conntrack -L | grep "10.128.138.150"
- conntrack -L: liste toutes les connexions actives sur le pare-feu.
- grep « Adresse IP »: filtre les connexions associées à l’adresse IP spécifiée.
tcpdump
Pour analyser directement le trafic réseau, vous pouvez utiliser tcpdump:
tcpdump -i any port 80
- tcpdump -i any: surveille tout le trafic réseau sur toutes les interfaces.
- port 80: filtre le trafic passant par le port 80 (HTTP).
Le sujet de tcpdump fait l’objet d’un article séparé car il est très vaste : Sophos Firewall – collecte des journaux avec TCPDump pour analyse.
Télécharger et charger des fichiers
Pour télécharger des fichiers depuis le pare-feu, vous pouvez utiliser des outils tels que WinSCP ou, sur macOS, Cyberduck. Tout d’abord, il faut s’assurer que l’accès SSH au pare-feu est autorisé. Dans ce cas, vous ne pouvez pas vous connecter à l’outil et transférer des fichiers facilement.
Pour télécharger des fichiers sur un serveur FTP, vous pouvez utiliser ftpput :
ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
- ftpput: transfère un fichier vers un serveur FTP.
- -u username -p password: S’authentifie avec les identifiants de connexion FTP spécifiés.
- ftp.server.com: adresse du serveur FTP.
- /path/to/upload/file.log: Chemin d’accès au fichier local à télécharger.
Vous pouvez également utiliser la commande curl pour charger des fichiers sur un FTP :
curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}
Liste de tous les services de pare-feu et de leurs journaux
Sophos a une excellente liste de tous les services et des journaux correspondants : Sophos KB : détails des fichiers journaux.
Lister les services de pare-feu
Cette commande Advanced Shell répertorie tous les services actifs et leur état :
service -S
Ou bien vous n’avez besoin que de l’état d’un seul service. Vous pouvez également vérifier l’état d’un service en utilisant service -S en combinaison avec grep :
service -S | grep strongswan
Cependant, cette commande fait la même chose sur la console du pare-feu :
system diagnostics show subsystem-info
Journal de débogage
Le mode de débogage est essentiel lorsque les journaux normaux ne fournissent pas suffisamment d’informations pour comprendre un problème. Par rapport au mode de journalisation normal, qui n’enregistre que les événements de base et les messages d’erreur, le mode de débogage offre une journalisation plus approfondie et plus détaillée. Il capture des données plus complètes et des processus internes qui ne sont pas visibles en fonctionnement normal. Cela permet d’identifier avec précision les erreurs complexes ou rares, ce qui est particulièrement utile pour diagnostiquer des problèmes qui pourraient passer inaperçus en mode Log normal.
Pour lancer un service spécifique en mode de débogage, vous pouvez utiliser la commande suivante :
service ips:debug -ds nosync
Pour quitter le mode de débogage afin que le journal ne remplisse pas le disque dur, vous devez le désactiver après un certain temps :
service ips:debug -ds nosync
Pour plus d’informations sur les services et le redémarrage, reportez-vous à l’article Redémarrer les services Sophos Firewall.
Derniers mots
La navigation et le travail sur le Sophos Shell peuvent sembler complexes au premier abord, mais avec les bonnes commandes, vous pouvez identifier et résoudre les problèmes rapidement et efficacement. Ce guide a pour but de vous aider à comprendre les commandes les plus importantes et à les utiliser efficacement. Une solide connaissance de la CLI peut considérablement améliorer votre capacité à résoudre les problèmes, sinon notre support est bien sûr également disponible.