Vai al contenuto
Avanet

Central Firewall Reporting su Sophos Firewall

Con Central Firewall Reporting, Sophos Firewall invia log selezionati a Sophos Central. In questo modo i report possono essere analizzati centralmente, conservati e condivisi con altre persone quando necessario.

Questa guida mostra come attivare Central Reporting, quali punti verificare prima e come controllare se i log arrivano in Sophos Central.

Quando Central Firewall Reporting e utile

Central Firewall Reporting e particolarmente utile quando si gestiscono piu Firewall o quando i report devono essere analizzati regolarmente.

Esempi tipici:

  • Vista centralizzata su piu Firewalls.
  • Report periodici per management o operations.
  • Analisi di eventi Web, Application, IPS, VPN o di rete.
  • Conservazione piu lunga e ricerca piu semplice nei log.
  • Supporto per troubleshooting e security review.

Per una semplice analisi live direttamente sulla Firewall, spesso bastano i log locali. Per analisi a lungo termine, Central Reporting e pero molto piu comodo.

Prerequisiti

Prima dell’attivazione occorre verificare:

  • La Firewall e registrata in Sophos Central.
  • La Firewall ha accesso Internet ai servizi Sophos necessari.
  • DNS e ora funzionano correttamente.
  • La licenza utilizzata supporta la funzione di Reporting desiderata.
  • La Firewall e visibile in Sophos Central.

Se la Firewall non e ancora registrata in Sophos Central, bisogna prima completare questo passaggio. Senza registrazione, Central Firewall Reporting non puo essere attivato.

Attivare Central Reporting

Central Firewall Reporting si attiva in due punti: prima sulla Firewall e poi in Sophos Central.

  1. Accedi al WebAdmin della Sophos Firewall.
  2. Apri System > Sophos Central.
  3. In Sophos Central registration, verifica se la Firewall e registrata.
  4. Se la Firewall non e ancora registrata, clicca su Register e accedi con l’account Sophos Central corretto.
  5. Attiva Sophos Central services oppure clicca su Configure se il servizio e gia attivo.
  6. Attiva Send reports and logs to Sophos Central.
  7. Opzionale: attiva Manage from Sophos Central se la Firewall deve anche essere gestita centralmente.
  8. Opzionale: attiva Send configuration backups to Sophos Central se i backup di configurazione devono essere salvati centralmente.
  9. Clicca su Apply.
Sophos Firewall - attivazione di Sophos Central services con Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Dopo il salvataggio, il servizio deve essere confermato in Sophos Central:

  1. Accedi a Sophos Central.
  2. Apri My Products > Firewall Management > Firewalls.
  3. Cerca la Firewall con stato o simbolo Approval pending.
  4. Clicca su Accept services.

Sophos descrive lo stesso processo nella guida ufficiale Turn on firewall reporting.

Dopo l’attivazione, la Firewall crea automaticamente una voce Syslog per Central reporting e inizia a inviare i log a Sophos Central. Secondo Sophos, la Firewall invia i dati almeno ogni cinque minuti. I dati vengono poi elaborati in Sophos Central, cosa che puo richiedere ancora alcuni minuti.

Quali dati vengono trasmessi

I tipi di log inviati a Sophos Central si definiscono direttamente sulla Firewall.

Il percorso e Configure > System services > Log settings.

In Log settings esiste una colonna dedicata Central reporting. Qui si puo decidere per ogni tipo di log se inviarlo localmente, a Central o a entrambe le destinazioni.

Aree tipiche:

  • Firewall rules.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Eventi di sistema.
Sophos Firewall - Log settings con colonna Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Non ogni ambiente deve inviare tutti i dati a Sophos Central. In ambienti produttivi occorre verificare quali tipi di log servono davvero e se vengono rispettate le policy interne di protezione dei dati.

⚠️ Piu tipi di log vengono inviati a Sophos Central, piu rapidamente viene consumato lo spazio disponibile. In ambienti produttivi bisogna decidere consapevolmente quali log sono davvero necessari per operations, security e compliance.

Per quanto tempo Sophos conserva i log

Il periodo di conservazione dipende da licenza e spazio disponibile. Importante: vale sempre il limite raggiunto per primo. Se lo spazio e pieno, i dati piu vecchi vengono rimossi secondo il principio FIFO.

Licenza / varianteConservazioneNota
Central Firewall Reporting senza licenza Reporting aggiuntivaFino a 7 giorniDisponibile con una Firewall subscription attiva. Lo spazio dipende dal modello ed e limitato.
Xstream Protection BundleFino a 30 giorniSophos la definisce una limitata autorizzazione Central-Firewall-Reporting-Advanced.
Sophos Central Firewall Reporting AdvancedFino a 365 giorniOgni licenza fornisce 100 GB di spazio aggiuntivo. Piu licenze possono essere accumulate in base alle necessita.

Sophos documenta i dettagli in Firewall reporting storage by firewall model e nelle Firewall reporting FAQs.

La licenza Sophos Central Firewall Reporting Advanced puo essere acquistata presso Avanet: Sophos Central Firewall Reporting Advanced. Il datasheet descrive Central Firewall Reporting anche come Reporting cloud-based con ricerca, report e fino a 365 giorni di conservazione: Datasheet Sophos Central Firewall Reporting.

Verificare l’arrivo dei log

Dopo l’attivazione, i dati non compaiono sempre subito in Sophos Central. Prevedi alcuni minuti di ritardo.

Poi verifica:

  1. Accedi a Sophos Central.
  2. Apri My Products > Firewall Management > Report Hub.
  3. Seleziona la Firewall interessata.
  4. Controlla se sono visibili eventi recenti.
  5. Crea un report semplice come test.
Sophos Central - Report Hub di Firewall reporting
Sophos Central - Firewall Management > Report Hub

Se non sono visibili dati, bisogna prima controllare connettivita, licenza e impostazioni di log.

Usare i report

Sophos Central puo visualizzare, filtrare e, a seconda della licenza, anche pianificare i report.

Report utili per le operations:

  • Top applicazioni bloccate.
  • Categorie web con traffico elevato.
  • Connessioni VPN.
  • Eventi IPS.
  • Top rules per numero di hit.
  • Analisi per utente o host.

Per controlli operativi ricorrenti, i report possono essere pianificati o salvati come modello.

Troubleshooting

Nessun dato in Sophos Central

Verifica che la Firewall sia online e possa comunicare con Sophos Central. Inoltre controlla DNS, default gateway e ora.

Mancano solo alcuni tipi di log

Controlla le impostazioni di log locali della Firewall. Se un’area non viene loggata localmente, non puo essere trasmessa in modo utile a Central Reporting.

I report mostrano dati vecchi

Central Reporting non lavora sempre in tempo reale. Controlla il periodo selezionato nel report e attendi alcuni minuti prima di modificare di nuovo la configurazione.

Troppi o troppo pochi dati

Adatta la selezione dei log e i filtri in Sophos Central. Per audit o casi di supporto puo essere utile raccogliere piu dati. Per l’operativita quotidiana spesso bastano report mirati.

Salvare i log per casi di supporto

Central Reporting non sostituisce ogni analisi locale dei log. Se Sophos Support o Avanet richiedono una raccolta completa dei log locali, e possibile esportare anche i log della Firewall.

Vedi: Salvare i log di Sophos Firewall per supporto o analisi

Raccomandazione

Attiva Central Firewall Reporting soprattutto quando gestisci piu Firewalls o quando i report servono regolarmente. Per il troubleshooting e utile usare insieme log locali e Central Reporting: Central per panoramica e storico, log locali per analisi dettagliata direttamente sulla Firewall.