Carrello

Nessun prodotto nel carrello.

Sophos Firewall Troubleshooting – Suggerimenti e trucchi per la CLI

In qualità di amministratore IT responsabile della gestione di Sophos Firewall, una conoscenza approfondita dell’interfaccia a riga di comando (CLI) è essenziale. La CLI fornisce potenti strumenti e comandi che non solo ti permettono di navigare in modo efficiente nelle directory di sistema, ma anche di eseguire analisi dettagliate e di risolvere i problemi. In questo articolo ti mostreremo come sfruttare al meglio la CLI di Sophos Firewall per sfogliare i log, monitorare le connessioni di rete, trasferire file in modo sicuro e avviare servizi in modalità debug. Questa guida ti aiuterà a comprendere i comandi più importanti e a utilizzarli nel tuo lavoro quotidiano.


In Sophos Shell, puoi cercare nella struttura delle directory utilizzando semplici comandi Linux. Ad esempio, per visualizzare i file di log esistenti nella directory /log, puoi utilizzare il seguente comando:

cd /log
ls -la
  • cd /log: Passa alla directory /log, dove si trovano i file di log di Sophos Firewall.
  • ls -la: elenca in dettaglio tutti i file della directory corrente, compresi quelli nascosti. L’opzione -l mostra informazioni dettagliate come la dimensione del file e il timestamp, mentre -a elenca tutti i file, compresi quelli nascosti.
Sophos Firewall - Advanced Shell -ls -la nella directory dei registri
Sophos Firewall – Advanced Shell -ls -la im Log Verzeichnis

Per visualizzare i file ordinati per dimensione, puoi estendere il comando ls come segue:

ls -lSrh
  • -lSrh: queste opzioni elencano i file in forma dettagliata, ordinati per dimensione (-S) e in forma leggibile (-h per “human-readable”).

Visualizzazione e ricerca dei registri

La ricerca e l’analisi dei file di log è una delle attività più comuni per la risoluzione dei problemi. I comandi cat, tail e grep sono estremamente utili a questo scopo.

tail – monitora il log in tempo reale

Per seguire il contenuto di un file di log in tempo reale, puoi usare il comando tail:

tail -f smtpd_main.log
  • tail -f: visualizza le ultime righe del file smtpd_main.log e lo aggiorna in tempo reale quando vengono aggiunte nuove voci.

grep – Filtra i log

Per cercare un termine specifico, ad esempio un dominio o un indirizzo e-mail, in un file di log, puoi usare grep:

cat smtpd_main.log | grep "avanet.com"

Oppure vuoi monitorare il log IPsec in tempo reale e visualizzare le voci relative a un indirizzo IP

tail -f strongswan.log | grep 46.33.21.12
  • grep: cerca nel file smtpd_main.log le righe contenenti il termine “avanet.com”.

Altre opzioni utili per grep:

  • -i: Ignora le maiuscole e le minuscole durante la ricerca.
  • -n: Visualizza i numeri di riga delle risposte positive.
  • -m 1: termina la ricerca dopo il primo risultato.

Conntrack e TCP Dump

Sophos Firewall offre potenti strumenti per analizzare le connessioni e il traffico di rete.

Conntrack

Con conntrack puoi monitorare le connessioni attive:

conntrack -L | grep "10.128.138.150"
  • conntrack -L: elenca tutte le connessioni attive sul firewall.
  • grep “indirizzo IP”: filtra le connessioni associate all’indirizzo IP specificato.

tcpdump

Per analizzare direttamente il traffico di rete, puoi usare tcpdump:

tcpdump -i any port 80
  • tcpdump -i any: monitora tutto il traffico di rete su tutte le interfacce.
  • porta 80: filtra il traffico che passa attraverso la porta 80 (HTTP).

L’argomento tcpdump è trattato in un articolo a parte, poiché è molto esteso: Sophos Firewall – Raccolta dei log con TCPDump per l’analisi

Scaricare e caricare file

Per scaricare i file dal firewall, puoi utilizzare strumenti come WinSCP o, su macOS, Cyberduck. Innanzitutto, devi assicurarti che l’accesso SSH al firewall sia consentito. In questo modo, ovviamente, non potrai collegarti allo strumento e trasferire facilmente i file.

Puoi usare ftpput per caricare i file su un server FTP:

ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
  • ftpput: trasferisce un file a un server FTP.
  • -u username -p password: autentica con i dati di login FTP specificati.
  • ftp.server.com: Indirizzo del server FTP.
  • /path/to/upload/file.log: Percorso del file locale da caricare.

In alternativa, puoi anche utilizzare il comando curl per caricare i file su un FTP:

curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}

Elenco di tutti i servizi del firewall e dei relativi registri

Sophos ha un ottimo elenco di tutti i servizi e dei relativi log: Sophos KB: Dettagli dei file di log.

Elenco dei servizi firewall

Questo comando della Advanced Shell elenca tutti i servizi attivi e il loro stato:

service -S

Oppure hai bisogno dello stato di un solo servizio. Lo stato di un servizio può essere controllato anche con service -S in combinazione con grep:

service -S | grep strongswan

Tuttavia, questo comando fa lo stesso nella Console del Firewall:

system diagnostics show subsystem-info 

Registro di debug

La modalità di debug è essenziale quando i normali log non forniscono informazioni sufficienti per comprendere un problema. Rispetto alla modalità di log normale, che registra solo gli eventi di base e i messaggi di errore, la modalità di debug offre una registrazione più profonda e dettagliata. Cattura dati più completi e processi interni che non sono visibili durante il normale funzionamento. Questo ti permette di identificare con precisione errori complessi o rari, il che è particolarmente utile per diagnosticare problemi che potrebbero essere trascurati nella modalità di log normale.


Per avviare un servizio specifico in modalità debug, puoi utilizzare il seguente comando:

service ips:debug -ds nosync

Per terminare nuovamente la modalità di debug in modo che il registro non riempia il disco rigido, devi disattivarla nuovamente dopo qualche tempo:

service ips:debug -ds nosync
Sophos Firewall - Shell avanzata - Modalità Debug
Sophos Firewall – Advanced Shell – Debug Mode

Abbiamo descritto l’argomento dei servizi e del loro riavvio in modo più dettagliato in questo articolo: Riavvio dei servizi di Sophos Firewall

Le ultime parole

Navigare e lavorare nella shell di Sophos può sembrare complesso all’inizio, ma con i comandi giusti puoi identificare e risolvere i problemi in modo rapido ed efficiente. Questa guida è stata pensata per aiutarti a comprendere e utilizzare in modo efficace i comandi più importanti. Una solida conoscenza della CLI può migliorare notevolmente la tua capacità di risolvere i problemi; in alternativa, è ovviamente disponibile anche il nostro supporto.