Sophos Firewall troubleshooting: servizi e log
In Sophos Firewall esistono due livelli importanti per il troubleshooting: gli eventi in Log viewer e i file di servizio o di log sulla firewall. Log Viewer è ideale per domande rapide, ad esempio se una connessione è stata permessa o bloccata. I file in /log diventano più importanti quando un servizio non si avvia, un tunnel VPN è instabile, il filtro web si comporta in modo inatteso o il supporto richiede dati dettagliati.
Questo articolo associa i servizi e i file di log più importanti ai problemi amministrativi più comuni. Aiuta anche quando nel dashboard, in Advanced Shell o in un caso di supporto appare un nome tecnico di servizio e non è subito chiaro quale funzione della firewall rappresenti. Nomi come zebra, warren, awed, garner o strongswan non sono intuitivi nel lavoro quotidiano.
Log Viewer o file di log?
Log viewer si apre nella console WebAdmin in alto a destra. Si aggiorna automaticamente, può essere filtrato per modulo, orario, valori dei campi e testo libero, e può esportare i log in CSV.
I troubleshooting log si trovano sulla firewall nella directory /log. L’accesso avviene tramite la console WebAdmin o via SSH. Per controlli brevi funziona Device Management > Advanced Shell nel browser, ma nella pratica SSH è spesso più comodo, stabile e adatto a sessioni più lunghe con tail, grep o less. La preparazione sicura di SSH è descritta in Connettersi a Sophos Firewall via SSH.
- Connettersi via SSH o aprire Device Management > Advanced Shell in WebAdmin.
- Passare alla directory dei log.
cd /log
Comandi utili:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
I principali comandi di Advanced Shell:
| Comando | Esempio | Scopo |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | mostra nuove righe di log in tempo reale |
less /log/<logfilename>.log | less /log/ips.log | apre un file di log statico per la lettura |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | cerca una parola chiave nel file di log |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | avvia, arresta, riavvia o attiva debug per un servizio |
Se i log devono essere salvati per supporto o analisi esterna, è utile Salvare i log di Sophos Firewall per analisi esterna.
Advanced Shell o Device Console?
In Sophos Firewall ci sono due aree console diverse, spesso confuse:
| Area | Uso |
|---|---|
| Device Console | Sophos CLI per comandi specifici della firewall, ad esempio priorità di routing, route IPsec o opzioni di sistema |
| Advanced Shell | shell simile a Linux per filesystem, file di log, tail, grep, less, service -S, riavvio servizi e comandi debug |
Non tutti i comandi funzionano in entrambe le aree. Se un articolo menziona esplicitamente Device Console, il comando va eseguito lì. Se si parla di /log, tail -f, grep, service -S o debug logging, di norma si intende Advanced Shell.
Questa distinzione è importante perché molti errori nascono solo dal fatto che un comando corretto viene inserito nel posto sbagliato.
Il logging deve essere attivo
Non tutte le informazioni attese appaiono automaticamente.
- Nelle firewall rules deve essere attivo Log firewall traffic.
- Nelle SSL/TLS inspection rules deve essere attivo il logging.
- In System services > Log settings va definito quali tipi di log vengono salvati localmente, inviati a Sophos Central o inviati a syslog.
Per una conservazione a lungo termine sono utili un server syslog o Sophos Central Firewall Reporting. Sophos Firewall può configurare fino a cinque server syslog esterni. Central Firewall Reporting conta anch’esso in questo limite.
Maggiori dettagli: Attivare Central Firewall Reporting.
Attivare debug solo in modo mirato
Il debug logging è molto utile, ma genera molti dati e può consumare spazio. Debug dovrebbe essere attivato solo per il servizio rilevante. Poi si riproduce il problema e si disattiva di nuovo debug.
Esempio:
service ips:debug -ds nosync
service ips:debug -ds nosync off
La sintassi esatta dipende dal servizio. Se il servizio interessato non è chiaro, conviene controllare prima il file di log normale.
Debug logging e comandi CLI di base sono spiegati più in dettaglio in Sophos Firewall troubleshooting - suggerimenti CLI. Per riavviare singoli servizi, vedere Riavviare i servizi Sophos Firewall.
Firewall, NAT e Packet Capture
| Funzione | Servizio / contesto | Primo file di log | Controllare anche |
|---|---|---|---|
| Matching di firewall rule | Firewall Rule Engine | firewall_rule.log | modulo Firewall in Log Viewer |
| Elaborazione generale firewall | Firewall log / percorso kernel | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID in Log Viewer |
| Packet Capture in WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / vecchia pubblicazione server | vhost | vhost.log | NAT e WAF |
Per problemi DNAT vanno sempre controllate insieme firewall rule e NAT rule. NAT traduce soltanto, non permette traffico. Maggiori dettagli: Capire NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Sophos Firewall usa IP tables, ARP table, IPset e conntrack per le connessioni firewall. IMQ viene usato per QoS e Bandwidth Management. Questo aiuta quando nei log o negli output del supporto compaiono termini tecnici del percorso di rete Linux.
IPS, Application Control e TLS Inspection
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI e TLS Inspection | DPI Engine | ips.log |
| Antivirus nel percorso di rete | avd | avd.log |
| Aggiornamenti firme | Signature Updater | sig_upgrade.log, sig_update.log |
| Migrazione firme | Signature Migration | sigmigration.log |
Molte funzioni moderne di protezione vedono abbastanza dettagli solo quando HTTPS viene decifrato. Se TLS Inspection non interviene, Web Filter, Application Control, IPS e Malware Scan sono meno significativi a seconda del traffico.
Maggiori dettagli: Distribuire TLS Inspection su Sophos Firewall passo dopo passo.
Web, proxy, WAF e filtro web
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | access log awarrenhttp | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Se il traffico web appare bloccato in Log Viewer, la causa può trovarsi in più moduli: Web Policy, SSL/TLS inspection, Application Control, IPS o WAF. Perciò va sempre selezionato il modulo preciso in Log Viewer e controllato anche il file di log corretto.
Sophos blocca sempre le pagine web nella categoria highly objectionable criminal activity e nasconde il nome del dominio in log e report. Se una voce in quest’area appare volutamente anonimizzata, può essere normale.
VPN
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| IPsec da SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec versioni precedenti | servizio IPsec | ipsec.log |
| IPsec Test Connection | test IPsec | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| Stato SSL VPN | stato OpenVPN | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| Certificati VPN | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall usa strongSwan per IPsec VPN e OpenVPN per SSL VPN. Nei problemi IPsec sono decisivi orario, peer IP, proposal, local/remote subnets, NAT-T, routing e firewall rules.
Per problemi IPsec, Sophos Firewall IPsec troubleshooting è la guida passo-passo più adatta. Per route-based VPN e route IPsec manuali, vedere Creare una route IPsec su Sophos Firewall.
Authentication, User Portal e SSO
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Autenticazione utenti | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / contesto Access Server | in base al contesto del servizio e access_server.log |
Per regole basate sugli utenti, prima si verifica se l’utente è conosciuto. Se Match known users è attivo e l’autenticazione non funziona, la regola non fa match.
DNS, DHCP e rete
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / altri componenti DNS | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Servizio di rete | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
I problemi DNS e DHCP sembrano spesso problemi firewall. Perciò vanno controllati prima indirizzo IP, gateway, server DNS e se i client devono usare la firewall come server DNS o DHCP.
Se i domini interni non vengono risolti correttamente, di solito è rilevante Configurare DNS request routes su Sophos Firewall. Per opzioni DHCP speciali c’è Configurare Sophos Firewall DHCP Options.
Cellular WAN
| Funzione | Cosa controllare | File di log |
|---|---|---|
| WWAN / modem USB | inserimento e rimozione di dispositivi USB | mdev.log |
| Configurazione rete modem | interfacce e configurazione IP legate al modem | networkd.log |
| USB, modem e PPP | messaggi syslog per USB, modem e Point-to-Point Protocol | syslog.log |
Nei problemi Cellular WAN va anche verificato se il modem viene rilevato, se PIN/SIM/APN sono corretti e se la firewall crea un gateway adatto.
Routing
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Per problemi di routing, controllare anche Routing > SD-WAN routes, gateway e Packet Capture. Policy tester non sostituisce un vero test di routing.
Maggiori dettagli: Adattare la priorità di routing su Sophos Firewall.
GUI, CLI e accesso al sistema
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| Errori GUI/CLI | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validazione | Config Validation | validation.log, validationError.log |
Se WebAdmin o SSH non sono raggiungibili, non basta controllare solo questi log. L’accesso locale è controllato tramite Administration > Device access e Local Service ACL.
Maggiori dettagli: Connettersi a Sophos Firewall via SSH.
Sophos Central, Heartbeat e Central Management
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat verso Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | log di servizio corrispondenti |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | contesto ATR | in base a versione e modulo |
Per problemi Central, prima controllare se la firewall è registrata, se Central Services è attivo e se DNS/HTTPS in uscita funziona.
High Availability
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Stato e configurazione HA | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
Gli HA logs sono salvati sull’appliance che li genera. Per i raw log dell’auxiliary appliance bisogna collegarsi direttamente a quell’appliance, per esempio tramite admin port via SSH. Per report consolidati, Sophos Central Firewall Reporting è più pratico.
Mail e Anti-Spam
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| Errori SMTP | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Nei problemi mail, controllare sempre se MTA Mode, firewall rule, DNS, certificati e restrizioni del provider sono coerenti.
Sophos Firewall usa Avira e Sophos Antivirus. Il servizio Anti-Spam si avvia solo se esiste una spam policy in ingresso o in uscita. Questa dipendenza è importante se sasi.log resta vuoto o se il servizio Anti-Spam non è in esecuzione.
Wireless, RED, Hotspot e altri servizi
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Database e reporting
| Funzione | Servizio / contesto | File di log |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Se i report mancano, sono lenti o emergono problemi di spazio, sono rilevanti i log di reporting e database. Va controllato anche se i report vengono salvati localmente o inviati a Sophos Central.
Sequenza pratica di analisi
- Annotare il problema con precisione: ora, client, destinazione, porta, utente, azione.
- Filtrare in Log Viewer per source IP e orario.
- Controllare se Firewall Rule ID e NAT Rule ID sono visibili.
- Osservare il file di log corretto con
tail -f. - Riprodurre il problema.
- Attivare debug brevemente se necessario.
- Usare Packet Capture se il flusso dei pacchetti non è chiaro.
- Salvare i log mentre l’errore è stato appena riprodotto.
Per i casi di supporto, documentare tutti i messaggi di errore, i passaggi di riproduzione e le attività di troubleshooting già eseguite. Queste informazioni accelerano nettamente i casi di supporto.
Ulteriori informazioni
Le tabelle in questo articolo si basano su esperienza pratica e sulla panoramica ufficiale Sophos dei file di log per modulo. Le fonti ufficiali sono qui: