Vai al contenuto
Avanet

Verifica della coda delle attività di gestione del firewall di Sophos Central

Sophos Firewall

Quando una modifica viene salvata in Sophos Central ma non arriva al Sophos Firewall, il firewall locale non è sempre la prima fonte di errore. Nei firewall gestiti centralmente, è opportuno controllare anche la Tasks Queue in Sophos Central. Qui si può vedere se Central sta ancora elaborando, applicando parzialmente, saltando o terminando con errore una politica di gruppo, un’attività del firewall basata su API o un’altra modifica centralizzata.

Questo è particolarmente importante quando più firewall sono gestiti in un gruppo. Un singolo task fallito può ritardare modifiche successive o confondere la ricerca degli errori, poiché la configurazione in Sophos Central appare diversa rispetto al firewall interessato.

Quando la coda delle attività è rilevante

La coda delle attività è rilevante non appena le modifiche non vengono eseguite direttamente sul firewall locale, ma tramite Sophos Central. Questo riguarda soprattutto gli ambienti in cui i firewall sono collegati a Sophos Central e la gestione del firewall Central è attivamente utilizzata.

Situazioni tipiche:

  • una politica di gruppo è stata modificata in Sophos Central
  • una modifica è arrivata su alcuni firewall, ma non su altri
  • un aggiornamento del firmware è stato pianificato o avviato tramite Sophos Central
  • le attività del firewall basate su MDR o API non sono completamente implementate
  • un’attività rimane a lungo su Pending o In Progress
  • un’attività è Failed, Skipped, Invalid license o solo parzialmente riuscita
  • dopo un errore, le modifiche successive non vengono elaborate come previsto

Per la ricerca degli errori in tempo reale locale, il Log Viewer del firewall rimane importante. Tuttavia, la coda delle attività risponde a un’altra domanda: Sophos Central ha portato la modifica fino al firewall con successo?

Dove trovare la coda delle attività

Il percorso in Sophos Central è:

My Products > Firewall Management > Tasks Queue

Sophos distingue tra Task Queue e Firewall Task Queue.

VistaScopo
Task QueueStato delle politiche di gruppo del firewall applicate tramite Sophos Central sui firewall
Firewall Task QueueAttività del firewall da MDR Settings, MDR IOCs e Firewall Configuration API

Per i problemi classici di gestione del firewall Central, di solito è interessante prima la Task Queue. La Firewall Task Queue diventa più importante quando le modifiche sono state attivate tramite l’API di configurazione del firewall o funzioni del firewall relative a MDR.

Quali informazioni sono importanti

Un singolo task è utile solo se viene classificato correttamente. Prima di una modifica o di un ritentativo, è necessario annotare almeno questi campi:

  • Numero del task
  • Gruppo o firewall interessato
  • Stato
  • Momento
  • Amministratore o ID delle credenziali
  • Entità e sotto-entità
  • Messaggio di errore visualizzato
  • Numero di firewall riusciti e falliti

Il momento non è sempre sinonimo dell’inizio dell’elaborazione su ogni firewall. Per le politiche di gruppo, Sophos Central mostra prima il momento della creazione o modifica e lo aggiorna successivamente quando la politica viene applicata ai firewall. Pertanto, nei rollout più lunghi, non bisogna guardare solo al primo orario.

Interpretare correttamente lo stato

StatoSignificato pratico
PendingL’attività è in attesa di elaborazione. Se dura a lungo, controllare connettività, licenza e connessione Central.
In ProgressCentral sta ancora elaborando l’attività. Non avviare correzioni parallele mentre l’attività è in corso.
SuccessCentral segnala l’attività come riuscita. Successivamente, verificare comunque sul firewall se l’effetto previsto è visibile.
Partial SuccessUna parte è stata applicata, un’altra no. Questo è particolarmente importante per gruppi o più oggetti.
FailedLa modifica non è stata completata con successo. Documentare il messaggio di errore e il firewall interessato.
SkippedL’attività è stata consapevolmente saltata. Successivamente è necessaria una verifica tecnica.
Invalid licenseLa licenza o l’autorizzazione non è adatta all’azione pianificata. Non cercare di risolvere con ripetuti ritentativi.

Sophos Central può rimuovere automaticamente le attività con stato Pending dopo diverse settimane. Per la documentazione operativa, i casi di supporto o le revisioni delle modifiche, è quindi importante salvare tempestivamente gli errori rilevanti.

Procedura di verifica pulita

In caso di modifica Central bloccata, un approccio calmo aiuta più che cliccare ripetutamente su Retry.

  1. Aprire My Products > Firewall Management > Tasks Queue in Sophos Central.
  2. Limitare il periodo e il firewall o il gruppo di firewall interessato.
  3. Espandere l’attività e controllare i firewall interessati.
  4. Documentare stato, messaggio di errore, entità, sotto-entità e momento.
  5. Verificare sul firewall se la modifica è visibile o solo salvata in Central.
  6. Per le modifiche di configurazione, controllare anche i Log di audit trail.
  7. In caso di problemi di traffico, valutare Log Viewer, Policy Test e log di servizio rilevanti.
  8. Solo dopo decidere se Retry, Skip o un caso di supporto è appropriato.

Se non è chiaro quale log locale sia rilevante, aiuta Risoluzione dei problemi di Sophos Firewall: Servizi e Log. Per l’analisi delle regole e del traffico, è utile anche Test delle regole del firewall con Log Viewer, Policy Test e Packet Capture.

Skip o Retry?

Sophos Central offre le azioni Skip e Retry a seconda dello stato. Entrambe sono utili, ma non dovrebbero essere intese come semplici azioni di pulizia.

AzioneUtile quandoVerificare prima
Retryla causa è stata risolta, ad esempio connessione, licenza, conflitto di oggetti o interruzione temporanea di CentralÈ chiaro perché l’attività è fallita?
Skipun’attività fallita o non più rilevante blocca attività successive e l’impatto tecnico è compresoCiò comporta che una modifica della politica pianificata non venga applicata consapevolmente?
Attenderel’attività è in corso o Central sta elaborando molti firewallCi sono indicazioni di un vero blocco o solo un normale ritardo?
Caso di supportol’errore si ripete, riguarda più firewall produttivi o il messaggio non è chiaroSono stati salvati i dettagli dell’attività, l’orario, il nome del firewall e i log?

⚠️ Non si dovrebbe saltare un’attività fallita solo per rendere pulita la coda. Skip è una decisione operativa: la modifica non applicata deve essere successivamente verificata o implementata separatamente.

Errori tipici

La modifica è visibile in Central, ma non sul firewall

In questo caso, controllare prima se l’attività corrispondente è stata completata con successo. Se l’attività è ancora Pending, In Progress, Failed o Partial Success, il problema non risiede necessariamente nella regola del firewall locale. Solo quando Central segnala l’attività come riuscita, si dovrebbe approfondire l’analisi delle politiche locali, degli oggetti o dei log.

Solo alcuni firewall in un gruppo sono interessati

Con le politiche di gruppo, una modifica può avere successo su più firewall e fallire su uno. In tal caso, non si dovrebbe modificare l’intero gruppo in modo indiscriminato, ma espandere il firewall interessato e controllare le differenze: licenza, versione del firmware, connessione Central, conflitti di oggetti locali, piattaforma e problemi noti.

L’attività del firmware tramite Central non parte correttamente

Se un Aggiornamento del firmware di Sophos Firewall è stato pianificato tramite Sophos Central, la coda delle attività dovrebbe far parte della verifica successiva. Se il firewall rimane sulla vecchia versione, controllare prima se Central ha avviato e completato l’attività. Per i rilasci principali, la Verifica dell’aggiornamento a SFOS 22 fa parte della preparazione.

Sincronizzazione della politica Web o TLS fallisce

Con Web Protection, gruppi di URL o esclusioni TLS, una sincronizzazione Central può sembrare particolarmente confusa, poiché Central ha accettato una modifica che il firewall non ha elaborato completamente. In tal caso, si dovrebbe confrontare l’entità interessata dalla coda delle attività con la configurazione locale. Per la classificazione tecnica, sono adatti Introduzione corretta all’ispezione TLS di Sophos Firewall e Creazione della politica di protezione Web di Sophos Firewall.

XGS 88/w e Local TLS Exclusion List

Nella lista dei problemi noti è documentato un problema specifico sui modelli XGS 88/w: durante la sincronizzazione di una politica di Sophos Central, l’elaborazione della Local TLS exclusion list può fallire. Il messaggio di errore visualizzato si riferisce a un gruppo di URL che non è stato possibile aggiornare. In questo caso, si può saltare la transazione fallita dalla coda delle attività, in modo che le attività successive possano continuare.

Nella pratica, però, non si dovrebbe semplicemente andare avanti. È importante una verifica successiva:

  • L’eccezione TLS desiderata è presente localmente sul firewall?
  • Le politiche Web e TLS sul firewall sono ancora tecnicamente corrette?
  • Il problema riguarda solo un XGS 88/w o più firewall?
  • La modifica deve essere temporaneamente implementata localmente o posticipata?
  • Esiste un Maintenance Release o un avviso Sophos per la versione interessata?

Verifica successiva sul firewall

Un’attività Central riuscita è un buon segnale, ma non ancora un test operativo completo. A seconda della modifica, si dovrebbe verificare localmente:

  • La regola, la politica, la lista o la versione del firmware modificata è visibile?
  • Il Log Viewer mostra eventi previsti?
  • La modifica è stata registrata nell’Audit Trail?
  • La connessione Central e il reporting sono ancora attivi?
  • Gli utenti, le VPN, gli accessi Web o le applicazioni interessate funzionano?

Per le modifiche rilevanti per la sicurezza, si dovrebbe anche definire un breve punto di rollback. Questo vale soprattutto per Web Protection, TLS Inspection, regole del firewall, VPN, cluster HA e aggiornamenti del firmware.

Checklist operativa

  • Prima delle modifiche tramite Sophos Central, chiarire quali firewall o gruppi sono interessati.
  • Dopo le modifiche Central, controllare la coda delle attività.
  • Documentare le attività fallite con messaggio di errore, orario e nome del firewall.
  • Non trattare Partial Success come completamente risolto.
  • Usare Retry solo dopo aver verificato le cause.
  • Usare Skip solo se l’impatto tecnico è compreso.
  • Per le attività del firmware, pianificare finestre di manutenzione, backup e accesso locale.
  • In caso di errori ripetuti, salvare informazioni su Audit Trail, Log Viewer e supporto Sophos.

FAQ

Cosa mostra la coda delle attività di Sophos Central?

La coda delle attività mostra lo stato delle politiche di gruppo del firewall applicate tramite Sophos Central sui firewall. Si possono vedere, tra l’altro, gruppi interessati, firewall, stato, amministratore, entità, sotto-entità e momento.

Cos'è la Firewall Task Queue?

La Firewall Task Queue mostra le attività del firewall che provengono da MDR Settings, MDR IOCs o dall’API di configurazione del firewall. Qui sono rilevanti, ad esempio, stato, ID delle credenziali, entità, azione e momento.

Si può saltare un'attività fallita?

Sì, tecnicamente è possibile saltare determinate attività. Operativamente, si dovrebbe fare solo se è chiaro quale modifica non è stata applicata e come verrà verificato il firewall interessato.

Quando è utile Retry?

Retry è utile quando la causa dell’errore è stata risolta. Esempi sono una connessione Central ripristinata, una licenza corretta, un conflitto di oggetti risolto o un errore temporaneo che non esiste più.

La coda delle attività sostituisce il Log Viewer?

No. La coda delle attività mostra se Central ha elaborato una modifica. Il Log Viewer mostra eventi locali del firewall ed è ancora necessario per l’analisi del traffico, delle politiche e dei servizi.