Salvataggio dei log di Sophos Firewall per supporto e analisi
In caso di malfunzionamenti, problemi VPN o eventi firewall poco chiari, spesso non bastano singoli screenshot dall’interfaccia web. Per un’analisi approfondita, un caso di supporto richiede indicazioni temporali tracciabili, file di log appropriati e talvolta anche una cattura di pacchetti.
Questa guida descrive come raccogliere i log di un Sophos Firewall tramite la Advanced Shell in un archivio e prepararli in modo sicuro per il supporto Sophos, Avanet o un’analisi esterna. Questo processo non sostituisce la prima delimitazione nel Log Viewer. Se non è ancora chiaro quale modulo sia interessato, è utile prima consultare la panoramica Sophos Firewall Troubleshooting: Servizi e Log.
Quale articolo di troubleshooting è adatto?
L’archivio log è solo uno strumento nel troubleshooting. A seconda del tipo di errore, un altro punto di partenza può essere più rapido:
- Quale regola, regola NAT o percorso colpisce un tentativo di connessione specifico?: Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture.
- Quale file di log locale appartiene a VPN, Web, IPS, GUI o servizi di sistema?: Sophos Firewall Troubleshooting: Servizi e Log.
- Un caso di supporto richiede file di log locali, dati IPsec o output di debug: Questo articolo.
- Report storici o eventi ricorrenti devono essere verificati in Sophos Central: Central Firewall Reporting.
- I log devono essere conservati a lungo termine esternamente o correlati con un SOC/SIEM: Configurare Syslog o SIEM con Sophos Firewall.
- Devono essere visibili modelli di traffico, top talker o flussi di interfaccia: Configurare il monitoraggio sFlow su Sophos Firewall.
- È necessaria una cattura di pacchetti mirata: Packet Capture o tcpdump-PCAP.
Questa separazione fa risparmiare tempo. Un archivio log completo aiuta nelle analisi di servizio e supporto, ma non sostituisce un caso di test riproducibile nel Log Viewer e una cattura di pacchetti mirata.
Quali dati servono al supporto?
Non ogni problema richiede immediatamente un archivio log completo. Più chiaramente è delimitato l’errore, più piccoli e utili saranno i dati.
- La regola del firewall o la regola NAT si attiva inaspettatamente: Ora, IP sorgente, IP di destinazione, ID regola, ID NAT, esportazione Log Viewer e, se necessario, Packet Capture.
- Il servizio non si avvia o WebAdmin mostra errori: Archivio log da
/log, servizio interessato, ora e ultimo passaggio di configurazione. - Il tunnel IPsec non si stabilisce o cade: Archivio log normale, dati diagnostici IPsec, IP peer, reti locali e remote, momento del tentativo di connessione.
- Il traffico non arriva a destinazione: Log Viewer, Packet Capture o per analisi più lunghe tcpdump-PCAP.
- Problema dopo una modifica di configurazione: Audit Trail, momento approssimativo della modifica, amministratore coinvolto e oggetti interessati.
Per molti ticket, la combinazione di momento del problema, breve descrizione dell’errore, archivio log e una prova aggiuntiva mirata è migliore di un pacchetto di dati molto ampio senza contesto. Se viene creato un ticket ufficiale Sophos, è utile anche Aprire un ticket di supporto Sophos: preparazione e portale.
Prerequisiti
Per questa guida sono necessari:
- Accesso amministrativo al Sophos Firewall
- Accesso alla Advanced Shell
- Un server di destinazione o un altro metodo sicuro per trasferire l’archivio log
- Spazio libero sufficiente sulla firewall per l’archivio temporaneo
I comandi vengono eseguiti direttamente sulla firewall. Pertanto, è necessario lavorare con attenzione e non eliminare file se non è chiaro a cosa servono.
Se l’accesso alla shell non è ancora configurato, la guida Collegarsi a Sophos Firewall tramite SSH spiega come stabilire una connessione SSH alla firewall.
⚠️ Gli archivi log e i file PCAP possono contenere informazioni sensibili. Tali file dovrebbero essere conservati sulla firewall solo per breve tempo, trasferiti in modo sicuro e rimossi dopo la consegna riuscita.
Aprire la Advanced Shell
Accedere al Sophos Firewall e aprire la Advanced Shell:
- Aprire Device Management.
- Selezionare Advanced Shell.
- Confermare l’accesso se la firewall mostra una richiesta aggiuntiva.
Dopo il login, ci si trova sulla shell della firewall. Da lì è possibile archiviare i file di log.
Raccogliere log mirati prima del salvataggio
Se un problema è riproducibile, dovrebbe essere riprodotto nuovamente subito prima di archiviare i log. In questo modo, le voci rilevanti saranno il più possibile aggiornate nei file di log.
Per problemi più complessi, i log normali a volte non sono sufficienti. In questo caso, può essere utile attivare un log di debug per il servizio interessato prima di archiviare. Come fare è descritto nella sezione Attivare il log di debug mirato.
Quale file di log appartiene a quale modulo firewall è riassunto in Sophos Firewall Troubleshooting: Servizi e Log. Questa panoramica è utile se si desidera verificare specificamente se per un problema sono più rilevanti i log VPN, IPS, Web, Mail, GUI o di sistema.
Se non si tratta di un problema di servizio, ma il flusso di pacchetti stesso è poco chiaro, un archivio log da solo spesso non è sufficiente. Per test brevi è adatto Packet Capture in WebAdmin. Per file PCAP, catture più lunghe o analisi di supporto, tcpdump su Sophos Firewall è lo strumento giusto.
Salvare tutti i file di log
Prima di archiviare, dovrebbe essere verificato se sotto /var c’è spazio libero sufficiente:
df -h /var
Successivamente, creare un archivio compresso con i file dalla directory /log:
tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log
Il comando crea il file:
/var/Sophos-Firewall-Logs.tar.gz
I componenti principali del comando:
- tar crea un archivio.
- -c crea un nuovo archivio.
- -v mostra i file elaborati.
- -z comprime l’archivio con gzip.
- -f specifica il nome del file dell’archivio.
- -C / cambia nella directory root per l’operazione di archiviazione.
- log è la directory con i file di log di Sophos Firewall.
Il vantaggio di -C / è che il comando funziona indipendentemente dalla directory di lavoro corrente. Un precedente cd / non è quindi necessario. Se il file esiste già, verrà sovrascritto dal comando.
A seconda delle dimensioni e del carico della firewall, l’operazione di archiviazione può richiedere del tempo. L’output di tar mostra nel frattempo quali file vengono scritti nell’archivio.
Successivamente, è possibile verificare la dimensione dell’archivio:
ls -lh /var/Sophos-Firewall-Logs.tar.gz
Inoltre, si dovrebbe verificare brevemente se l’archivio è leggibile e contiene effettivamente la directory dei log:
tar -tzf /var/Sophos-Firewall-Logs.tar.gz
L’output dovrebbe mostrare percorsi sotto log/. Se il comando segnala un errore o l’archivio è insolitamente piccolo, non dovrebbe essere trasmesso. In tal caso, verificare prima lo spazio libero, i permessi di scrittura e l’esecuzione precedente di tar.
Copiare l’archivio log su un server Linux
Se un server Linux è raggiungibile tramite SSH, l’archivio può essere trasferito con scp.
Esempio:
scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/
In questo caso, l’indirizzo IP, l’utente e il percorso di destinazione devono essere adattati al proprio ambiente.
Dopo il trasferimento, l’archivio si trova sul server di destinazione sotto:
/root/Sophos-Firewall-Logs.tar.gz
Da lì può essere distribuito internamente o messo a disposizione del supporto Sophos o di Avanet.
Salvare separatamente i dati diagnostici IPsec
In caso di problemi VPN o IPsec, i dati di connessione IPsec da /tmp/ipsec/connections/ possono essere utili.
Per questo, creare un archivio separato:
tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections
Anche in questo caso, è possibile verificare brevemente il file generato:
ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz
Questo archivio può essere copiato su un server di destinazione tramite scp:
scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/
Soprattutto in caso di errori IPsec, è utile fornire questo archivio insieme ai log normali della firewall, in modo che lo stato del tunnel, le informazioni di connessione e le voci di log possano essere valutati insieme.
Archivio log, Central Reporting o Syslog?
Un archivio log locale risponde a una domanda diversa rispetto a Central Reporting o Syslog.
- Archivio log da
/log: Caso di supporto, errore di servizio, debug VPN, analisi dettagliata locale. Immagine istantanea della firewall locale. - Central Firewall Reporting: Report, cronologia e ricerca in Sophos Central. non sostituisce i log di supporto locali completi.
- Syslog o SIEM: conservazione a lungo termine, correlazione e processi SOC. richiede parser, operatività e logging attivato in precedenza.
- Audit Trail Logs: Tracciare le modifiche di configurazione. nessuna analisi del flusso di pacchetti o del servizio.
Per un caso di supporto acuto, l’archivio log locale è spesso ancora necessario, anche se Central Reporting o Syslog sono attivi. Al contrario, per la conservazione a lungo termine non si dovrebbe sperare che i log locali sulla firewall siano ancora completamente disponibili in seguito.
Trattare separatamente le catture di pacchetti
Gli archivi log e le catture di pacchetti sono prove diverse. L’archivio log mostra messaggi di servizio, errori, stati VPN ed eventi di sistema. Un Packet Capture o tcpdump mostra invece se i pacchetti arrivano davvero, vengono inoltrati o se mancano risposte.
Per i casi di supporto, non si dovrebbero inviare catture di pacchetti non filtrate. È meglio:
- Annotare il caso di test con IP sorgente, IP di destinazione, porta, protocollo e ora.
- Verificare prima Log Viewer e WebAdmin Packet Capture, se sufficiente.
- Creare solo se necessario una cattura
tcpdumpmirata come PCAP. - Trasferire in modo sicuro il file PCAP.
- Rimuovere il file PCAP dalla firewall dopo il trasferimento riuscito.
Il file PCAP non appartiene all’archivio /log, ma viene creato e trasferito separatamente. In questo modo rimane chiaro quale file contiene i log di servizio e quale file contiene i pacchetti di rete.
Sicurezza e privacy
I file di log possono contenere informazioni sensibili, ad esempio:
- Indirizzi IP pubblici e interni
- Nomi utente
- Nomi host
- Informazioni VPN
- Messaggi di errore con dettagli tecnici
- Indicazioni sulle strutture di rete interne
Gli archivi log dovrebbero quindi essere trasferiti solo tramite canali sicuri e forniti solo a persone o organizzazioni coinvolte nell’analisi. Se i log vengono inviati a un partner esterno, dovrebbe essere chiarito internamente se la trasmissione è consentita secondo le proprie politiche di privacy e sicurezza.
Rimuovere gli archivi temporanei
Dopo che l’archivio è stato trasferito con successo, dovrebbe essere eliminato dalla firewall per non occupare spazio inutilmente:
rm /var/Sophos-Firewall-Logs.tar.gz
Se è stato creato anche un archivio IPsec separato, dovrebbe essere rimosso anch’esso:
rm /var/Sophos-Firewall-IPsec-Connections.tar.gz
Prima di eliminare, si dovrebbe verificare se i file sono arrivati con successo sul sistema di destinazione.
Checklist per i casi di supporto
- Problema descritto brevemente: cosa non funziona, da quando, quanto spesso?
- Ora esatta con fuso orario annotata.
- IP sorgente, IP di destinazione, utente, servizio o nome del tunnel interessati annotati.
- Modulo rilevante nel Log Viewer verificato.
- Se necessario: debug attivato solo brevemente e poi disattivato.
- Archivio log da
/logcreato. - In caso di problemi IPsec, dati diagnostici IPsec aggiuntivi salvati.
- In caso di problemi di flusso di pacchetti, Packet Capture o tcpdump creati separatamente.
- Archivio verificato brevemente con
tar -tzfper la leggibilità. - Archivio e PCAP trasferiti solo tramite canali sicuri.
- File temporanei sulla firewall rimossi dopo il trasferimento riuscito.
FAQ
Un screenshot dal Log Viewer è sufficiente per il supporto Sophos?
Bisogna sempre salvare tutti i log di Sophos Firewall?
/log è però spesso utile, perché più servizi possono essere interconnessi.Un file PCAP appartiene all'archivio log?
Central Reporting sostituisce un archivio log locale?
/log, perché contengono informazioni dettagliate su moduli e servizi.Come si verifica se l'archivio log è stato creato?
ls -lh /var/Sophos-Firewall-Logs.tar.gz se il file esiste ed è di dimensioni plausibili. Poi si può controllare con tar -tzf /var/Sophos-Firewall-Logs.tar.gz se l’archivio è leggibile e contiene file sotto log/.