Vai al contenuto
Avanet

Salvataggio dei log di Sophos Firewall per supporto e analisi

In caso di malfunzionamenti, problemi VPN o eventi firewall poco chiari, spesso non bastano singoli screenshot dall’interfaccia web. Per un’analisi approfondita, un caso di supporto richiede indicazioni temporali tracciabili, file di log appropriati e talvolta anche una cattura di pacchetti.

Questa guida descrive come raccogliere i log di un Sophos Firewall tramite la Advanced Shell in un archivio e prepararli in modo sicuro per il supporto Sophos, Avanet o un’analisi esterna. Questo processo non sostituisce la prima delimitazione nel Log Viewer. Se non è ancora chiaro quale modulo sia interessato, è utile prima consultare la panoramica Sophos Firewall Troubleshooting: Servizi e Log.

Quale articolo di troubleshooting è adatto?

L’archivio log è solo uno strumento nel troubleshooting. A seconda del tipo di errore, un altro punto di partenza può essere più rapido:

Questa separazione fa risparmiare tempo. Un archivio log completo aiuta nelle analisi di servizio e supporto, ma non sostituisce un caso di test riproducibile nel Log Viewer e una cattura di pacchetti mirata.

Quali dati servono al supporto?

Non ogni problema richiede immediatamente un archivio log completo. Più chiaramente è delimitato l’errore, più piccoli e utili saranno i dati.

  • La regola del firewall o la regola NAT si attiva inaspettatamente: Ora, IP sorgente, IP di destinazione, ID regola, ID NAT, esportazione Log Viewer e, se necessario, Packet Capture.
  • Il servizio non si avvia o WebAdmin mostra errori: Archivio log da /log, servizio interessato, ora e ultimo passaggio di configurazione.
  • Il tunnel IPsec non si stabilisce o cade: Archivio log normale, dati diagnostici IPsec, IP peer, reti locali e remote, momento del tentativo di connessione.
  • Il traffico non arriva a destinazione: Log Viewer, Packet Capture o per analisi più lunghe tcpdump-PCAP.
  • Problema dopo una modifica di configurazione: Audit Trail, momento approssimativo della modifica, amministratore coinvolto e oggetti interessati.

Per molti ticket, la combinazione di momento del problema, breve descrizione dell’errore, archivio log e una prova aggiuntiva mirata è migliore di un pacchetto di dati molto ampio senza contesto. Se viene creato un ticket ufficiale Sophos, è utile anche Aprire un ticket di supporto Sophos: preparazione e portale.

Prerequisiti

Per questa guida sono necessari:

  • Accesso amministrativo al Sophos Firewall
  • Accesso alla Advanced Shell
  • Un server di destinazione o un altro metodo sicuro per trasferire l’archivio log
  • Spazio libero sufficiente sulla firewall per l’archivio temporaneo

I comandi vengono eseguiti direttamente sulla firewall. Pertanto, è necessario lavorare con attenzione e non eliminare file se non è chiaro a cosa servono.

Se l’accesso alla shell non è ancora configurato, la guida Collegarsi a Sophos Firewall tramite SSH spiega come stabilire una connessione SSH alla firewall.

⚠️ Gli archivi log e i file PCAP possono contenere informazioni sensibili. Tali file dovrebbero essere conservati sulla firewall solo per breve tempo, trasferiti in modo sicuro e rimossi dopo la consegna riuscita.

Aprire la Advanced Shell

Accedere al Sophos Firewall e aprire la Advanced Shell:

  1. Aprire Device Management.
  2. Selezionare Advanced Shell.
  3. Confermare l’accesso se la firewall mostra una richiesta aggiuntiva.

Dopo il login, ci si trova sulla shell della firewall. Da lì è possibile archiviare i file di log.

Raccogliere log mirati prima del salvataggio

Se un problema è riproducibile, dovrebbe essere riprodotto nuovamente subito prima di archiviare i log. In questo modo, le voci rilevanti saranno il più possibile aggiornate nei file di log.

Per problemi più complessi, i log normali a volte non sono sufficienti. In questo caso, può essere utile attivare un log di debug per il servizio interessato prima di archiviare. Come fare è descritto nella sezione Attivare il log di debug mirato.

Quale file di log appartiene a quale modulo firewall è riassunto in Sophos Firewall Troubleshooting: Servizi e Log. Questa panoramica è utile se si desidera verificare specificamente se per un problema sono più rilevanti i log VPN, IPS, Web, Mail, GUI o di sistema.

Se non si tratta di un problema di servizio, ma il flusso di pacchetti stesso è poco chiaro, un archivio log da solo spesso non è sufficiente. Per test brevi è adatto Packet Capture in WebAdmin. Per file PCAP, catture più lunghe o analisi di supporto, tcpdump su Sophos Firewall è lo strumento giusto.

Salvare tutti i file di log

Prima di archiviare, dovrebbe essere verificato se sotto /var c’è spazio libero sufficiente:

df -h /var

Successivamente, creare un archivio compresso con i file dalla directory /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Il comando crea il file:

/var/Sophos-Firewall-Logs.tar.gz

I componenti principali del comando:

  • tar crea un archivio.
  • -c crea un nuovo archivio.
  • -v mostra i file elaborati.
  • -z comprime l’archivio con gzip.
  • -f specifica il nome del file dell’archivio.
  • -C / cambia nella directory root per l’operazione di archiviazione.
  • log è la directory con i file di log di Sophos Firewall.

Il vantaggio di -C / è che il comando funziona indipendentemente dalla directory di lavoro corrente. Un precedente cd / non è quindi necessario. Se il file esiste già, verrà sovrascritto dal comando.

A seconda delle dimensioni e del carico della firewall, l’operazione di archiviazione può richiedere del tempo. L’output di tar mostra nel frattempo quali file vengono scritti nell’archivio.

Successivamente, è possibile verificare la dimensione dell’archivio:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Inoltre, si dovrebbe verificare brevemente se l’archivio è leggibile e contiene effettivamente la directory dei log:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

L’output dovrebbe mostrare percorsi sotto log/. Se il comando segnala un errore o l’archivio è insolitamente piccolo, non dovrebbe essere trasmesso. In tal caso, verificare prima lo spazio libero, i permessi di scrittura e l’esecuzione precedente di tar.

Copiare l’archivio log su un server Linux

Se un server Linux è raggiungibile tramite SSH, l’archivio può essere trasferito con scp.

Esempio:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

In questo caso, l’indirizzo IP, l’utente e il percorso di destinazione devono essere adattati al proprio ambiente.

Dopo il trasferimento, l’archivio si trova sul server di destinazione sotto:

/root/Sophos-Firewall-Logs.tar.gz

Da lì può essere distribuito internamente o messo a disposizione del supporto Sophos o di Avanet.

Salvare separatamente i dati diagnostici IPsec

In caso di problemi VPN o IPsec, i dati di connessione IPsec da /tmp/ipsec/connections/ possono essere utili.

Per questo, creare un archivio separato:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Anche in questo caso, è possibile verificare brevemente il file generato:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Questo archivio può essere copiato su un server di destinazione tramite scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Soprattutto in caso di errori IPsec, è utile fornire questo archivio insieme ai log normali della firewall, in modo che lo stato del tunnel, le informazioni di connessione e le voci di log possano essere valutati insieme.

Archivio log, Central Reporting o Syslog?

Un archivio log locale risponde a una domanda diversa rispetto a Central Reporting o Syslog.

  • Archivio log da /log: Caso di supporto, errore di servizio, debug VPN, analisi dettagliata locale. Immagine istantanea della firewall locale.
  • Central Firewall Reporting: Report, cronologia e ricerca in Sophos Central. non sostituisce i log di supporto locali completi.
  • Syslog o SIEM: conservazione a lungo termine, correlazione e processi SOC. richiede parser, operatività e logging attivato in precedenza.
  • Audit Trail Logs: Tracciare le modifiche di configurazione. nessuna analisi del flusso di pacchetti o del servizio.

Per un caso di supporto acuto, l’archivio log locale è spesso ancora necessario, anche se Central Reporting o Syslog sono attivi. Al contrario, per la conservazione a lungo termine non si dovrebbe sperare che i log locali sulla firewall siano ancora completamente disponibili in seguito.

Trattare separatamente le catture di pacchetti

Gli archivi log e le catture di pacchetti sono prove diverse. L’archivio log mostra messaggi di servizio, errori, stati VPN ed eventi di sistema. Un Packet Capture o tcpdump mostra invece se i pacchetti arrivano davvero, vengono inoltrati o se mancano risposte.

Per i casi di supporto, non si dovrebbero inviare catture di pacchetti non filtrate. È meglio:

  1. Annotare il caso di test con IP sorgente, IP di destinazione, porta, protocollo e ora.
  2. Verificare prima Log Viewer e WebAdmin Packet Capture, se sufficiente.
  3. Creare solo se necessario una cattura tcpdump mirata come PCAP.
  4. Trasferire in modo sicuro il file PCAP.
  5. Rimuovere il file PCAP dalla firewall dopo il trasferimento riuscito.

Il file PCAP non appartiene all’archivio /log, ma viene creato e trasferito separatamente. In questo modo rimane chiaro quale file contiene i log di servizio e quale file contiene i pacchetti di rete.

Sicurezza e privacy

I file di log possono contenere informazioni sensibili, ad esempio:

  • Indirizzi IP pubblici e interni
  • Nomi utente
  • Nomi host
  • Informazioni VPN
  • Messaggi di errore con dettagli tecnici
  • Indicazioni sulle strutture di rete interne

Gli archivi log dovrebbero quindi essere trasferiti solo tramite canali sicuri e forniti solo a persone o organizzazioni coinvolte nell’analisi. Se i log vengono inviati a un partner esterno, dovrebbe essere chiarito internamente se la trasmissione è consentita secondo le proprie politiche di privacy e sicurezza.

Rimuovere gli archivi temporanei

Dopo che l’archivio è stato trasferito con successo, dovrebbe essere eliminato dalla firewall per non occupare spazio inutilmente:

rm /var/Sophos-Firewall-Logs.tar.gz

Se è stato creato anche un archivio IPsec separato, dovrebbe essere rimosso anch’esso:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Prima di eliminare, si dovrebbe verificare se i file sono arrivati con successo sul sistema di destinazione.

Checklist per i casi di supporto

  • Problema descritto brevemente: cosa non funziona, da quando, quanto spesso?
  • Ora esatta con fuso orario annotata.
  • IP sorgente, IP di destinazione, utente, servizio o nome del tunnel interessati annotati.
  • Modulo rilevante nel Log Viewer verificato.
  • Se necessario: debug attivato solo brevemente e poi disattivato.
  • Archivio log da /log creato.
  • In caso di problemi IPsec, dati diagnostici IPsec aggiuntivi salvati.
  • In caso di problemi di flusso di pacchetti, Packet Capture o tcpdump creati separatamente.
  • Archivio verificato brevemente con tar -tzf per la leggibilità.
  • Archivio e PCAP trasferiti solo tramite canali sicuri.
  • File temporanei sulla firewall rimossi dopo il trasferimento riuscito.

FAQ

Un screenshot dal Log Viewer è sufficiente per il supporto Sophos?

Per casi semplici, uno screenshot può aiutare. In caso di errori complessi, i file di log, indicazioni temporali precise e, a seconda del problema, una cattura di pacchetti o un dump tcpdump sono decisamente più significativi.

Bisogna sempre salvare tutti i log di Sophos Firewall?

Non sempre. Se il problema è chiaramente delimitato, spesso bastano log mirati e il periodo esatto. Per i casi di supporto, un archivio completo di /log è però spesso utile, perché più servizi possono essere interconnessi.

Un file PCAP appartiene all'archivio log?

No. I file PCAP vengono creati separatamente con Packet Capture o tcpdump e trasferiti separatamente. In questo modo, i log di servizio e le catture di pacchetti rimangono chiaramente separati.

Central Reporting sostituisce un archivio log locale?

No. Central Reporting è utile per cronologia, ricerca e report in Sophos Central. Per i casi di supporto o l’analisi dei servizi, spesso sono comunque necessari i file di log locali da /log, perché contengono informazioni dettagliate su moduli e servizi.

Come si verifica se l'archivio log è stato creato?

Prima si verifica con ls -lh /var/Sophos-Firewall-Logs.tar.gz se il file esiste ed è di dimensioni plausibili. Poi si può controllare con tar -tzf /var/Sophos-Firewall-Logs.tar.gz se l’archivio è leggibile e contiene file sotto log/.