Vai al contenuto
Avanet

Salvare i log Sophos Firewall per supporto e analisi

Sophos Firewall

In caso di guasti, problemi VPN o eventi firewall poco chiari, gli screenshot dell’interfaccia web spesso non bastano. Sophos Support, Avanet o un partner di sicurezza esterno necessita normalmente dei log rilevanti del firewall.

Questa guida spiega come archiviare i log di Sophos Firewall tramite Advanced Shell e prepararli per l’analisi.

Requisiti

Per questa guida servono:

  • Accesso amministrativo a Sophos Firewall
  • Accesso a Advanced Shell
  • Un server di destinazione o un altro metodo sicuro per trasferire l’archivio
  • Spazio libero sufficiente sul firewall per l’archivio temporaneo

I comandi vengono eseguiti direttamente sul firewall. È necessario lavorare con attenzione e non eliminare file se non è chiaro a cosa servano.

Se l’accesso alla shell non è ancora configurato, la guida Connettersi a Sophos Firewall tramite SSH spiega come stabilire una connessione SSH.

Aprire Advanced Shell

Accedere a Sophos Firewall e aprire Advanced Shell:

  1. Aprire Device Management.
  2. Selezionare Advanced Shell.
  3. Confermare l’accesso se il firewall mostra un’ulteriore richiesta.

Dopo il login, la shell è disponibile e i log possono essere archiviati.

Raccogliere log mirati prima dell’archiviazione

Se il problema è riproducibile, conviene provocarlo di nuovo subito prima di creare l’archivio. In questo modo le voci rilevanti saranno recenti nei file di log.

Per problemi complessi, i log normali potrebbero non bastare. In quel caso può essere utile attivare il debug log per il servizio interessato prima dell’archiviazione. La pagina Sophos Firewall Troubleshooting spiega il procedimento nella sezione debug.

La nostra panoramica Sophos Firewall troubleshooting: servizi e log riepiloga quale file di log appartiene a quale modulo firewall. Questa lista aiuta a capire se sono rilevanti log VPN, IPS, web, mail, GUI o di sistema.

Salvare tutti i log

Prima di creare l’archivio, verificare che /var abbia spazio libero sufficiente:

df -h /var

Creare poi un archivio compresso dalla directory /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Il comando crea:

/var/Sophos-Firewall-Logs.tar.gz

Parti importanti del comando:

  • tar crea un archivio.
  • -c crea un nuovo archivio.
  • -v mostra i file elaborati.
  • -z comprime con gzip.
  • -f definisce il nome del file archivio.
  • -C / passa alla directory root per l’operazione.
  • log è la directory con i log di Sophos Firewall.

Il vantaggio di -C / è che il comando funziona indipendentemente dalla directory corrente. Non è necessario eseguire prima cd /. Se il file esiste già, viene sovrascritto.

A seconda della dimensione dei log e del carico del firewall, la creazione dell’archivio può richiedere tempo. L’output di tar mostra quali file vengono scritti nell’archivio.

Controllare poi la dimensione dell’archivio:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Copiare l’archivio su un server Linux

Se un server Linux è raggiungibile via SSH, l’archivio può essere trasferito con scp.

Esempio:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Adattare indirizzo IP, utente e percorso di destinazione all’ambiente.

Dopo il trasferimento, l’archivio si trova sul server di destinazione:

/root/Sophos-Firewall-Logs.tar.gz

Da lì può essere condiviso internamente o fornito a Sophos Support o Avanet.

Salvare separatamente i dati diagnostici IPsec

In caso di problemi VPN o IPsec, possono essere utili anche i dati di connessione IPsec da /tmp/ipsec/connections/.

Creare un archivio separato:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Controllare il file creato:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Trasferire anche questo archivio con scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Per errori IPsec è utile fornire questo archivio insieme ai normali log del firewall, così stato del tunnel, informazioni di connessione e voci di log possono essere analizzati insieme.

Sicurezza e protezione dei dati

I log possono contenere informazioni sensibili, ad esempio:

  • Indirizzi IP pubblici e interni
  • Nomi utente
  • Nomi host
  • Informazioni VPN
  • Messaggi di errore con dettagli tecnici
  • Indicazioni sulle strutture di rete interne

Trasferire gli archivi log solo tramite canali sicuri e fornirli solo a persone o organizzazioni coinvolte nell’analisi. Prima di inviare log a un partner esterno, verificare internamente se ciò è consentito dalle policy di sicurezza e protezione dei dati.

Rimuovere gli archivi temporanei

Dopo che l’archivio è stato trasferito correttamente, rimuoverlo dal firewall per liberare spazio:

rm /var/Sophos-Firewall-Logs.tar.gz

Se è stato creato un archivio IPsec separato, rimuoverlo anche:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Prima della cancellazione, verificare che i file siano arrivati correttamente sul sistema di destinazione.