Sophos Firewall Riavviare la GUI WebAdmin
Se la GUI Sophos Firewall WebAdmin non è più accessibile, non è necessario riavviare immediatamente l’intero firewall. Spesso è sufficiente riavviare i servizi WebAdmin in modo controllato utilizzando Advanced Shell. Questo è significativamente meno invasivo di un riavvio completo e può far risparmiare tempo prezioso durante una finestra di supporto o manutenzione.
I sintomi tipici sono:
- La GUI WebAdmin mostra
Internal Server Error. - La pagina di accesso o la dashboard non vengono più caricate completamente.
- WebAdmin risponde molto lentamente o si blocca dopo un clic.
- Altri servizi come routing, VPN o regole firewall continuano a funzionare.
- SSH o la console locale sono ancora accessibili.
In pratica, ciò può verificarsi dopo un carico elevato della GUI, più sessioni di amministrazione simultanee, un utilizzo intenso dell’acquisizione di pacchetti o problemi generali delle risorse. Se il firewall è generalmente instabile, le partizioni sono piene o diversi servizi sono inattivi, la GUI WebAdmin non dovrebbe essere l’unica cosa da considerare. Allora vanno bene anche Sophos Firewall Servizi e log, Sophos Firewall Riavvia i servizi in sicurezza e Controlla lo spazio di archiviazione e gestisci i report.> ⚠️ Importante: Il riavvio del servizio è un intervento sul firewall. Prima di apportare modifiche produttive, dovrebbe essere chiaro chi è connesso, se è necessaria una finestra di manutenzione e se è disponibile un accesso alternativo tramite SSH, console locale o partner HA.
Requisiti
Per una ripartenza mirata ti servono:
- Accesso all’utente
admin. - Accesso SSH o accesso alla console locale.
- Accesso al Advanced Shell.
- Un chiaro quadro dell’errore: WebAdmin è interessato, ma non è necessario riavviare completamente il firewall.
- Il minor tempo possibile di manutenzione o diagnostica se sono interessati più amministratori.
Se SSH non è ancora pronto, Sophos Firewall connettersi tramite SSH aiuterà. L’accesso stesso è controllato tramite Administration > Device access. Configurare correttamente Device Access è l’articolo di base giusto per proteggere HTTPS/WebAdmin e SSH.
Controlla brevemente prima di riavviare
Prima di riavviare i servizi, dovresti isolare il problema:
- Verificare se è interessato solo WebAdmin o se anche le regole VPN, routing, DNS o firewall non funzionano.
- Se possibile, prova con un secondo browser o una finestra privata.
- Controlla se altri amministratori stanno attualmente lavorando nella GUI.
- Accedi tramite SSH e apri Advanced Shell.
- Facoltativamente, visualizzare brevemente i registri rilevanti.
I file di registro più importanti sono:
- Server web WebAdmin:
/log/apache.loge/log/apache_access.log. - Applicazione WebAdmin:
/log/tomcat.log. - Errore GUI/sistema:
/log/error_log.log.
Esempio di una rapida ispezione visiva:
tail -n 80 /log/tomcat.log
tail -n 80 /log/apache.log
Se desideri eseguire il backup dei registri per un caso di supporto, devi esportarli prima di ulteriori riavvii. Il processo è in Sophos Firewall Backup dei registri per supporto e analisi.
Classificare correttamente il modello di errore
Non tutti i problemi di WebAdmin sono causati da tomcat o apache. Prima di ripartire, una breve classificazione aiuterà:
Classificazione tipica:
- WebAdmin mostra
Internal Server Error: Spesso è dovuto all’applicazione GUI o al server web. Controllaretomcat.logeapache.loge riavviare i servizi in modo specifico. - Il browser segnala un avviso relativo al certificato: Controllare innanzitutto il certificato, il nome e la catena di attendibilità, non riavviare direttamente i servizi.
- La connessione è in timeout: Allora è più probabile che sia Device Access, routing, ACL, VPN o rete di gestione. Verifica disponibilità e Administration > Device access.
- L’accesso funziona, il dashboard si blocca in seguito: Controlla il caricamento della GUI, la sessione, i report, la memoria o il database.
- WebAdmin e SSH non sono accessibili: Quindi si tratta più del percorso di accesso, Device Access o dello stato del sistema. Controlla la console locale, il partner HA o la gestione centrale.
- Diversi servizi falliscono contemporaneamente: Ciò suggerisce un problema di sistema piuttosto che un puro problema della GUI. Esegui il backup dei registri, controlla lo spazio di archiviazione e valuta il riavvio o il caso di supporto.
Questa classificazione impedisce che i servizi WebAdmin vengano riavviati inutilmente in caso di problemi di accesso alla rete o al dispositivo. Se fallisce solo l’accesso da una rete specifica, Device Access e Local Service ACL a Sophos Firewall è solitamente più importante del riavvio del servizio.
Quando è meglio rimandare la ripartenza
Il riavvio di tomcat e apache è relativamente mirato, ma rappresenta pur sempre un intervento a livello amministrativo del firewall. In queste situazioni, dovresti prima stabilizzare o documentare brevemente:
- L’aggiornamento del firmware, l’hotfix o l’aggiornamento del pattern sono in esecuzione: Non intervenire contemporaneamente sui servizi WebAdmin finché è attivo il processo di aggiornamento.
- Il cluster HA è attualmente in fase di sincronizzazione: controlla prima il ruolo HA, la sincronizzazione e il nodo attivo.
- Supporto per il debug o la raccolta dei registri in esecuzione: Salvare prima i registri rilevanti, quindi riavviare i servizi.
- L’attività centrale è attualmente attiva: controlla la coda delle attività in modo che una modifica centrale in corso non venga confusa con un problema della GUI locale.
- È interessato solo un browser di amministrazione: Testare prima la sessione privata, il secondo browser o un altro client.
Questa breve pausa evita il lavoro di spiegazione successivo. Se subito dopo il riavvio non è più chiaro se l’errore provenga da WebAdmin, Central, HA o da un aggiornamento in corso, l’analisi diventa inutilmente difficile.
Riavviare i servizi WebAdmin
La GUI WebAdmin dipende principalmente da due servizi:
tomcat: Applicazione WebAdmin.apache: Server web WebAdmin.
Nella Advanced Shell è possibile riavviare uno dopo l’altro entrambi i servizi:
service tomcat:restart -ds nosync
service apache:restart -ds nosync
Quindi attendere qualche secondo e aprire nuovamente la GUI WebAdmin. Se il login funziona nuovamente, dovresti comunque verificare se ci sono errori ricorrenti visibili nel Log Viewer o nei log di sistema.
Controlla lo stato
Se il riavvio non è sufficiente puoi verificare lo stato dei servizi:
service tomcat:status -ds nosync
service apache:status -ds nosync
Puoi anche verificare se i servizi compaiono nell’elenco dei servizi:
service -S | grep -E 'tomcat|apache'
L’assegnazione generale dei servizi, dei moduli e dei file di log è in Sophos Firewall Risoluzione dei problemi: servizi e registri. Spiega anche quando Log Viewer, Advanced Shell o singoli file di registro sono la migliore fonte di analisi.
Convalida dopo il riavvio
Se WebAdmin si carica nuovamente, il problema non è stato ancora completamente risolto. Dovresti verificare brevemente se la GUI rimane stabile e se la causa diventa nuovamente visibile.
Controllo utile di follow-up:
- Aprire WebAdmin dalla rete di gestione prevista.
- Accedi con un account amministratore e test dashboard, Log Viewer e una pagina di configurazione non critica.
- Controllare nuovamente
tomcat.log,apache.logeerror_log.logper nuovi errori. - Controllare lo spazio di archiviazione e i report locali se la GUI era precedentemente lenta o vuota.
- Escludere come causa le sessioni di amministrazione aperte, la cache del browser o l’accesso di amministrazione parallelo.
- Limitare temporaneamente nuovamente l’accesso SSH consentito o l’accesso al dispositivo.
- Per i cluster HA, controlla se stai lavorando sul nodo previsto.
Se il problema si ripresenta, non riavviare tomcat e apache ogni giorno. Successivamente è necessaria un’analisi delle cause principali: spazio di archiviazione, stato del database, report, errori della GUI, carico del sistema, ruolo HA e recenti modifiche alla configurazione. Per modifiche poco prima dell’errore è utile Sophos Firewall Controllare i registri degli audit trail.
Se WebAdmin non è ancora disponibile
Se la GUI non è ancora disponibile dopo aver riavviato tomcat e apache, non dovresti riavviare tutti i servizi che desideri. Una limitazione strutturata ha più senso:
- Controlla Device Access: HTTPS/WebAdmin è consentito dalla zona e dall’origine correnti?
- Escludi browser: Prova cache, sessione privata o secondo browser.
- Verifica certificato: Un certificato scaduto o errato può rendere più difficile l’accesso, ma solitamente non produce un vero e proprio errore interno del server.
- Controlla il carico del sistema: Un utilizzo elevato di CPU, RAM o disco può influire su WebAdmin.
- Controlla lo spazio su disco: partizioni complete possono causare problemi con la GUI e con la segnalazione.
- Controlla i registri: scansiona
tomcat.log,apache.logeerror_log.logper gli errori correnti. - Nota contesto HA: Per i cluster HA, controlla su quale nodo stai lavorando e quale nodo è attivo.
- Controlla le modifiche recenti: Audit Trail e Config Studio possono mostrare se Device Access, il certificato, l’interfaccia o le impostazioni di amministrazione sono stati modificati di recente.
Se WebAdmin e SSH non sono accessibili, a seconda della posizione, rimangono solo la console locale, la gestione Sophos Central, il failover HA o un riavvio pianificato. Negli ambienti produttivi, questo caso dovrebbe essere preparato nel processo di funzionamento e ripristino.
Siti remoti e cluster HACon un singolo firewall nella posizione principale, il riavvio di WebAdmin è generalmente facile da controllare. Per le sedi remote o i cluster HA è necessario verificare in anticipo in modo più dettagliato quale percorso avviene l’accesso e quale livello di fallback è disponibile.
Domande importanti:
- L’accesso avviene direttamente dalla rete di gestione, tramite VPN, tramite Sophos Central o tramite jump host?
- SSH è realmente accessibile o funziona solo una sessione WebAdmin esistente?
- C’è qualcuno sul posto che può controllare l’apparecchio, se necessario?
- Per HA: su quale nodo stai lavorando e quale nodo è attualmente primario?
- Un failover pianificato creerà più rischi rispetto al riavvio mirato di
tomcateapache? - I registri e il tempo vengono documentati prima che un failover o un riavvio rendano difficile l’analisi?Negli ambienti HA, non è necessario eseguire il failover automatico solo perché WebAdmin è bloccato sul nodo attivo. Se il traffico continua, il riavvio mirato del servizio GUI è spesso meno invasivo. Tuttavia, se sono interessati più servizi, il nodo attivo appare instabile o l’accesso viene completamente perso, il caso rientra in un processo di ripristino HA o sito controllato.
Quando ha più senso un riavvio completo
Un riavvio non è la prima misura per una GUI WebAdmin sospesa. Ma può essere utile se:
- diversi servizi centrali non rispondono più
- il firewall rimane instabile dopo il riavvio del servizio
- I problemi di memoria o database sono stati risolti ed è necessario un avvio pulito
- Lo specifica il supporto Sophos o una finestra di manutenzione
- un cluster HA può eseguire il failover in modo controllato
Prima del riavvio, è necessario conoscere il backup, le finestre di manutenzione, l’accesso alla posizione e l’impatto su VPN, routing, RED, wireless e servizi pubblicati.
Lista di controllo- Immagine errore documentata: Internal Server Error, timeout o pagina WebAdmin vuota.
- SSH o console locale disponibile. -Advanced Shell aperto.
tomcat.logeapache.logcontrollati brevemente. -service tomcat:restart -ds nosynceseguito. -service apache:restart -ds nosynceseguito.- WebAdmin è stato nuovamente testato.
- Spazio di archiviazione controllato, Device Access e registri di sistema per errori ricorrenti.
- Log salvati per supporto in caso di interruzioni produttive.
- Controllo degli aggiornamenti in corso, della sincronizzazione HA, delle attività centrali o del debug del supporto prima del riavvio.
- Le condivisioni SSH temporanee o di accesso al dispositivo sono state nuovamente rimosse.
- Gli errori ricorrenti non vengono solo nascosti con il riavvio del servizio.
Domande frequenti
È necessario riavviare Sophos Firewall se WebAdmin non risponde?
tomcat e apache.Il riavvio di Tomcat e Apache influisce sul traffico di rete?
Perché dovresti controllare i log in anticipo?
Quali servizi appartengono alla GUI WebAdmin?
tomcat e apache sono particolarmente rilevanti per la GUI WebAdmin. Gli altri servizi non dovrebbero essere riavviati senza un chiaro messaggio di errore.