Vai al contenuto
Avanet

Sophos Firewall Riavviare la GUI WebAdmin

Se la GUI Sophos Firewall WebAdmin non è più accessibile, non è necessario riavviare immediatamente l’intero firewall. Spesso è sufficiente riavviare i servizi WebAdmin in modo controllato utilizzando Advanced Shell. Questo è significativamente meno invasivo di un riavvio completo e può far risparmiare tempo prezioso durante una finestra di supporto o manutenzione.

I sintomi tipici sono:

  • La GUI WebAdmin mostra Internal Server Error.
  • La pagina di accesso o la dashboard non vengono più caricate completamente.
  • WebAdmin risponde molto lentamente o si blocca dopo un clic.
  • Altri servizi come routing, VPN o regole firewall continuano a funzionare.
  • SSH o la console locale sono ancora accessibili.

In pratica, ciò può verificarsi dopo un carico elevato della GUI, più sessioni di amministrazione simultanee, un utilizzo intenso dell’acquisizione di pacchetti o problemi generali delle risorse. Se il firewall è generalmente instabile, le partizioni sono piene o diversi servizi sono inattivi, la GUI WebAdmin non dovrebbe essere l’unica cosa da considerare. Allora vanno bene anche Sophos Firewall Servizi e log, Sophos Firewall Riavvia i servizi in sicurezza e Controlla lo spazio di archiviazione e gestisci i report.> ⚠️ Importante: Il riavvio del servizio è un intervento sul firewall. Prima di apportare modifiche produttive, dovrebbe essere chiaro chi è connesso, se è necessaria una finestra di manutenzione e se è disponibile un accesso alternativo tramite SSH, console locale o partner HA.

Requisiti

Per una ripartenza mirata ti servono:

  • Accesso all’utente admin.
  • Accesso SSH o accesso alla console locale.
  • Accesso al Advanced Shell.
  • Un chiaro quadro dell’errore: WebAdmin è interessato, ma non è necessario riavviare completamente il firewall.
  • Il minor tempo possibile di manutenzione o diagnostica se sono interessati più amministratori.

Se SSH non è ancora pronto, Sophos Firewall connettersi tramite SSH aiuterà. L’accesso stesso è controllato tramite Administration > Device access. Configurare correttamente Device Access è l’articolo di base giusto per proteggere HTTPS/WebAdmin e SSH.

Controlla brevemente prima di riavviare

Prima di riavviare i servizi, dovresti isolare il problema:

  1. Verificare se è interessato solo WebAdmin o se anche le regole VPN, routing, DNS o firewall non funzionano.
  2. Se possibile, prova con un secondo browser o una finestra privata.
  3. Controlla se altri amministratori stanno attualmente lavorando nella GUI.
  4. Accedi tramite SSH e apri Advanced Shell.
  5. Facoltativamente, visualizzare brevemente i registri rilevanti.

I file di registro più importanti sono:

  • Server web WebAdmin: /log/apache.log e /log/apache_access.log.
  • Applicazione WebAdmin: /log/tomcat.log.
  • Errore GUI/sistema: /log/error_log.log.

Esempio di una rapida ispezione visiva:

tail -n 80 /log/tomcat.log
tail -n 80 /log/apache.log

Se desideri eseguire il backup dei registri per un caso di supporto, devi esportarli prima di ulteriori riavvii. Il processo è in Sophos Firewall Backup dei registri per supporto e analisi.

Classificare correttamente il modello di errore

Non tutti i problemi di WebAdmin sono causati da tomcat o apache. Prima di ripartire, una breve classificazione aiuterà:

Classificazione tipica:

  • WebAdmin mostra Internal Server Error: Spesso è dovuto all’applicazione GUI o al server web. Controllare tomcat.log e apache.log e riavviare i servizi in modo specifico.
  • Il browser segnala un avviso relativo al certificato: Controllare innanzitutto il certificato, il nome e la catena di attendibilità, non riavviare direttamente i servizi.
  • La connessione è in timeout: Allora è più probabile che sia Device Access, routing, ACL, VPN o rete di gestione. Verifica disponibilità e Administration > Device access.
  • L’accesso funziona, il dashboard si blocca in seguito: Controlla il caricamento della GUI, la sessione, i report, la memoria o il database.
  • WebAdmin e SSH non sono accessibili: Quindi si tratta più del percorso di accesso, Device Access o dello stato del sistema. Controlla la console locale, il partner HA o la gestione centrale.
  • Diversi servizi falliscono contemporaneamente: Ciò suggerisce un problema di sistema piuttosto che un puro problema della GUI. Esegui il backup dei registri, controlla lo spazio di archiviazione e valuta il riavvio o il caso di supporto.

Questa classificazione impedisce che i servizi WebAdmin vengano riavviati inutilmente in caso di problemi di accesso alla rete o al dispositivo. Se fallisce solo l’accesso da una rete specifica, Device Access e Local Service ACL a Sophos Firewall è solitamente più importante del riavvio del servizio.

Quando è meglio rimandare la ripartenza

Il riavvio di tomcat e apache è relativamente mirato, ma rappresenta pur sempre un intervento a livello amministrativo del firewall. In queste situazioni, dovresti prima stabilizzare o documentare brevemente:

  • L’aggiornamento del firmware, l’hotfix o l’aggiornamento del pattern sono in esecuzione: Non intervenire contemporaneamente sui servizi WebAdmin finché è attivo il processo di aggiornamento.
  • Il cluster HA è attualmente in fase di sincronizzazione: controlla prima il ruolo HA, la sincronizzazione e il nodo attivo.
  • Supporto per il debug o la raccolta dei registri in esecuzione: Salvare prima i registri rilevanti, quindi riavviare i servizi.
  • L’attività centrale è attualmente attiva: controlla la coda delle attività in modo che una modifica centrale in corso non venga confusa con un problema della GUI locale.
  • È interessato solo un browser di amministrazione: Testare prima la sessione privata, il secondo browser o un altro client.

Questa breve pausa evita il lavoro di spiegazione successivo. Se subito dopo il riavvio non è più chiaro se l’errore provenga da WebAdmin, Central, HA o da un aggiornamento in corso, l’analisi diventa inutilmente difficile.

Riavviare i servizi WebAdmin

La GUI WebAdmin dipende principalmente da due servizi:

  • tomcat: Applicazione WebAdmin.
  • apache: Server web WebAdmin.

Nella Advanced Shell è possibile riavviare uno dopo l’altro entrambi i servizi:

service tomcat:restart -ds nosync
service apache:restart -ds nosync

Quindi attendere qualche secondo e aprire nuovamente la GUI WebAdmin. Se il login funziona nuovamente, dovresti comunque verificare se ci sono errori ricorrenti visibili nel Log Viewer o nei log di sistema.

Controlla lo stato

Se il riavvio non è sufficiente puoi verificare lo stato dei servizi:

service tomcat:status -ds nosync
service apache:status -ds nosync

Puoi anche verificare se i servizi compaiono nell’elenco dei servizi:

service -S | grep -E 'tomcat|apache'

L’assegnazione generale dei servizi, dei moduli e dei file di log è in Sophos Firewall Risoluzione dei problemi: servizi e registri. Spiega anche quando Log Viewer, Advanced Shell o singoli file di registro sono la migliore fonte di analisi.

Convalida dopo il riavvio

Se WebAdmin si carica nuovamente, il problema non è stato ancora completamente risolto. Dovresti verificare brevemente se la GUI rimane stabile e se la causa diventa nuovamente visibile.

Controllo utile di follow-up:

  1. Aprire WebAdmin dalla rete di gestione prevista.
  2. Accedi con un account amministratore e test dashboard, Log Viewer e una pagina di configurazione non critica.
  3. Controllare nuovamente tomcat.log, apache.log e error_log.log per nuovi errori.
  4. Controllare lo spazio di archiviazione e i report locali se la GUI era precedentemente lenta o vuota.
  5. Escludere come causa le sessioni di amministrazione aperte, la cache del browser o l’accesso di amministrazione parallelo.
  6. Limitare temporaneamente nuovamente l’accesso SSH consentito o l’accesso al dispositivo.
  7. Per i cluster HA, controlla se stai lavorando sul nodo previsto.

Se il problema si ripresenta, non riavviare tomcat e apache ogni giorno. Successivamente è necessaria un’analisi delle cause principali: spazio di archiviazione, stato del database, report, errori della GUI, carico del sistema, ruolo HA e recenti modifiche alla configurazione. Per modifiche poco prima dell’errore è utile Sophos Firewall Controllare i registri degli audit trail.

Se WebAdmin non è ancora disponibile

Se la GUI non è ancora disponibile dopo aver riavviato tomcat e apache, non dovresti riavviare tutti i servizi che desideri. Una limitazione strutturata ha più senso:

  • Controlla Device Access: HTTPS/WebAdmin è consentito dalla zona e dall’origine correnti?
  • Escludi browser: Prova cache, sessione privata o secondo browser.
  • Verifica certificato: Un certificato scaduto o errato può rendere più difficile l’accesso, ma solitamente non produce un vero e proprio errore interno del server.
  • Controlla il carico del sistema: Un utilizzo elevato di CPU, RAM o disco può influire su WebAdmin.
  • Controlla lo spazio su disco: partizioni complete possono causare problemi con la GUI e con la segnalazione.
  • Controlla i registri: scansiona tomcat.log, apache.log e error_log.log per gli errori correnti.
  • Nota contesto HA: Per i cluster HA, controlla su quale nodo stai lavorando e quale nodo è attivo.
  • Controlla le modifiche recenti: Audit Trail e Config Studio possono mostrare se Device Access, il certificato, l’interfaccia o le impostazioni di amministrazione sono stati modificati di recente.

Se WebAdmin e SSH non sono accessibili, a seconda della posizione, rimangono solo la console locale, la gestione Sophos Central, il failover HA o un riavvio pianificato. Negli ambienti produttivi, questo caso dovrebbe essere preparato nel processo di funzionamento e ripristino.

Siti remoti e cluster HACon un singolo firewall nella posizione principale, il riavvio di WebAdmin è generalmente facile da controllare. Per le sedi remote o i cluster HA è necessario verificare in anticipo in modo più dettagliato quale percorso avviene l’accesso e quale livello di fallback è disponibile.

Domande importanti:

  • L’accesso avviene direttamente dalla rete di gestione, tramite VPN, tramite Sophos Central o tramite jump host?
  • SSH è realmente accessibile o funziona solo una sessione WebAdmin esistente?
  • C’è qualcuno sul posto che può controllare l’apparecchio, se necessario?
  • Per HA: su quale nodo stai lavorando e quale nodo è attualmente primario?
  • Un failover pianificato creerà più rischi rispetto al riavvio mirato di tomcat e apache?
  • I registri e il tempo vengono documentati prima che un failover o un riavvio rendano difficile l’analisi?Negli ambienti HA, non è necessario eseguire il failover automatico solo perché WebAdmin è bloccato sul nodo attivo. Se il traffico continua, il riavvio mirato del servizio GUI è spesso meno invasivo. Tuttavia, se sono interessati più servizi, il nodo attivo appare instabile o l’accesso viene completamente perso, il caso rientra in un processo di ripristino HA o sito controllato.

Quando ha più senso un riavvio completo

Un riavvio non è la prima misura per una GUI WebAdmin sospesa. Ma può essere utile se:

  • diversi servizi centrali non rispondono più
  • il firewall rimane instabile dopo il riavvio del servizio
  • I problemi di memoria o database sono stati risolti ed è necessario un avvio pulito
  • Lo specifica il supporto Sophos o una finestra di manutenzione
  • un cluster HA può eseguire il failover in modo controllato

Prima del riavvio, è necessario conoscere il backup, le finestre di manutenzione, l’accesso alla posizione e l’impatto su VPN, routing, RED, wireless e servizi pubblicati.

Lista di controllo- Immagine errore documentata: Internal Server Error, timeout o pagina WebAdmin vuota.

  • SSH o console locale disponibile. -Advanced Shell aperto.
  • tomcat.log e apache.log controllati brevemente. -service tomcat:restart -ds nosync eseguito. -service apache:restart -ds nosync eseguito.
  • WebAdmin è stato nuovamente testato.
  • Spazio di archiviazione controllato, Device Access e registri di sistema per errori ricorrenti.
  • Log salvati per supporto in caso di interruzioni produttive.
  • Controllo degli aggiornamenti in corso, della sincronizzazione HA, delle attività centrali o del debug del supporto prima del riavvio.
  • Le condivisioni SSH temporanee o di accesso al dispositivo sono state nuovamente rimosse.
  • Gli errori ricorrenti non vengono solo nascosti con il riavvio del servizio.

Domande frequenti

È necessario riavviare Sophos Firewall se WebAdmin non risponde?

Non sempre. Se è interessato solo WebAdmin e SSH continua a funzionare, spesso è sufficiente un riavvio mirato di tomcat e apache.

Il riavvio di Tomcat e Apache influisce sul traffico di rete?

Il riavvio influisce principalmente sulla GUI WebAdmin. Si tratta comunque di un intervento sul firewall e non dovrebbe essere effettuato spesso inutilmente o senza diagnosi.

Perché dovresti controllare i log in anticipo?

I registri mostrano se si tratta solo di un problema della GUI o se sono coinvolti memoria, database, carico di sistema o altri servizi. Per i casi di supporto, i nuovi log sono spesso più importanti di uno screenshot successivo.

Quali servizi appartengono alla GUI WebAdmin?

tomcat e apache sono particolarmente rilevanti per la GUI WebAdmin. Gli altri servizi non dovrebbero essere riavviati senza un chiaro messaggio di errore.

Cosa fare se anche SSH non è accessibile?

Quindi controlla prima Device Access, il percorso di rete e le opzioni di accesso locale. Se l’accesso remoto non è più possibile, a seconda dell’ambiente potrebbero essere necessari una console locale, un failover HA o una finestra di manutenzione pianificata.