Zum Inhalt springen
Avanet

Sophos Central Firewall Management Task Queue prüfen

Sophos Firewall

Wenn eine Änderung in Sophos Central gespeichert wurde, aber auf der Sophos Firewall nicht ankommt, ist die lokale Firewall nicht immer die erste Fehlerquelle. Bei zentral verwalteten Firewalls sollte man auch die Tasks Queue in Sophos Central prüfen. Dort sieht man, ob Central eine Gruppenrichtlinie, einen API-basierten Firewall-Task oder eine andere zentrale Änderung noch verarbeitet, teilweise angewendet, übersprungen oder mit Fehler beendet hat.

Das ist besonders wichtig, wenn mehrere Firewalls in einer Gruppe verwaltet werden. Ein einzelner fehlgeschlagener Task kann spätere Änderungen verzögern oder die Fehlersuche verwirren, weil die Konfiguration in Sophos Central anders aussieht als auf der betroffenen Firewall.

Wann die Task Queue relevant ist

Die Task Queue ist relevant, sobald Änderungen nicht direkt lokal auf der Firewall, sondern über Sophos Central ausgeführt werden. Das betrifft vor allem Umgebungen, in denen Firewalls mit Sophos Central verbunden sind und Central Firewall Management aktiv genutzt wird.

Typische Situationen:

  • eine Gruppenrichtlinie wurde in Sophos Central geändert
  • eine Änderung ist auf einzelnen Firewalls angekommen, auf anderen aber nicht
  • ein Firmware-Update wurde über Sophos Central geplant oder gestartet
  • MDR- oder API-basierte Firewall-Tasks erscheinen nicht vollständig umgesetzt
  • ein Task steht lange auf Pending oder In Progress
  • ein Task ist Failed, Skipped, Invalid license oder nur teilweise erfolgreich
  • nach einem Fehler werden spätere Änderungen nicht wie erwartet verarbeitet

Für lokale Live-Fehlersuche bleibt der Firewall Log Viewer wichtig. Die Task Queue beantwortet aber eine andere Frage: Hat Sophos Central die Änderung überhaupt erfolgreich bis zur Firewall durchgebracht?

Wo man die Task Queue findet

Der Sophos Central Pfad lautet:

My Products > Firewall Management > Tasks Queue

Sophos unterscheidet dort zwischen Task Queue und Firewall Task Queue.

AnsichtWofür sie gedacht ist
Task QueueStatus von Firewall-Gruppenrichtlinien, die über Sophos Central auf Firewalls angewendet werden
Firewall Task QueueFirewall-Tasks aus MDR Settings, MDR IOCs und Firewall Configuration API

Für klassische Central Firewall Management Probleme ist meistens zuerst die Task Queue interessant. Die Firewall Task Queue wird wichtiger, wenn Änderungen über die Firewall Configuration API oder MDR-bezogene Firewall-Funktionen ausgelöst wurden.

Welche Informationen wichtig sind

Ein einzelner Task ist nur dann nützlich, wenn man ihn sauber einordnet. Vor einer Änderung oder einem Retry sollte man mindestens diese Felder notieren:

  • Task-Nummer
  • betroffene Gruppe oder Firewall
  • Status
  • Zeitpunkt
  • Administrator oder Credential ID
  • Entity und Sub-entity
  • angezeigte Fehlermeldung
  • Anzahl erfolgreicher und fehlgeschlagener Firewalls

Der Zeitpunkt ist nicht immer gleichbedeutend mit dem Start der Verarbeitung auf jeder Firewall. Bei Gruppenrichtlinien zeigt Sophos Central zuerst den Zeitpunkt der Erstellung oder Änderung und aktualisiert ihn später, wenn die Policy auf Firewalls angewendet wird. Deshalb sollte man bei längeren Rollouts nicht nur auf die erste Uhrzeit schauen.

Status richtig interpretieren

StatusBedeutung für die Praxis
PendingDer Task wartet noch auf Verarbeitung. Bei längerer Dauer Konnektivität, Lizenz und Central-Verbindung prüfen.
In ProgressCentral verarbeitet den Task noch. Nicht parallel mehrere Korrekturen starten, wenn der Task gerade läuft.
SuccessCentral meldet den Task als erfolgreich. Danach trotzdem auf der Firewall validieren, ob die erwartete Wirkung sichtbar ist.
Partial SuccessEin Teil wurde angewendet, ein Teil nicht. Das ist bei Gruppen oder mehreren Objekten besonders wichtig.
FailedDie Änderung wurde nicht erfolgreich abgeschlossen. Fehlermeldung und betroffene Firewall dokumentieren.
SkippedDer Task wurde bewusst übersprungen. Danach braucht es eine fachliche Nachkontrolle.
Invalid licenseLizenz oder Berechtigung passt nicht zur geplanten Aktion. Nicht durch wiederholtes Retry lösen wollen.

Sophos Central kann Tasks mit dem Status Pending nach mehreren Wochen automatisch entfernen. Für Betriebsdokumentation, Supportfälle oder Change Reviews sollte man relevante Fehler deshalb zeitnah sichern.

Sauberer Prüfablauf

Bei einer blockierten Central-Änderung hilft ein ruhiger Ablauf mehr als wiederholtes Klicken auf Retry.

  1. In Sophos Central My Products > Firewall Management > Tasks Queue öffnen.
  2. Zeitraum und betroffene Firewall oder Firewall-Gruppe eingrenzen.
  3. Task aufklappen und betroffene Firewalls prüfen.
  4. Status, Fehlermeldung, Entity, Sub-entity und Zeitpunkt dokumentieren.
  5. Auf der Firewall prüfen, ob die Änderung sichtbar oder nur in Central gespeichert ist.
  6. Bei Konfigurationsänderungen zusätzlich Audit Trail Logs prüfen.
  7. Bei Traffic-Problemen Log Viewer, Policy Test und relevante Service-Logs auswerten.
  8. Erst danach entscheiden, ob Retry, Skip oder ein Supportfall sinnvoll ist.

Wenn unklar ist, welcher lokale Log relevant ist, hilft Sophos Firewall Troubleshooting: Services und Logs. Für Regel- und Traffic-Analyse passt zusätzlich Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Skip oder Retry?

Sophos Central bietet je nach Status die Aktionen Skip und Retry an. Beide sind nützlich, sollten aber nicht als reine Aufräumaktion verstanden werden.

AktionSinnvoll, wennVorher prüfen
Retrydie Ursache behoben wurde, zum Beispiel Verbindung, Lizenz, Objektkonflikt oder temporäre Central-StörungIst klar, warum der Task fehlgeschlagen ist?
Skipein fehlgeschlagener oder nicht mehr relevanter Task spätere Tasks blockiert und die fachliche Auswirkung verstanden istWird dadurch eine geplante Policy-Änderung bewusst nicht angewendet?
Wartender Task gerade läuft oder Central viele Firewalls verarbeitetGibt es Hinweise auf echte Blockade oder nur normale Verzögerung?
Supportfallder Fehler wiederholt auftritt, mehrere produktive Firewalls betrifft oder die Meldung nicht eindeutig istSind Task-Details, Uhrzeit, Firewall-Name und Logs gesichert?

⚠️ Einen fehlgeschlagenen Task sollte man nicht überspringen, nur damit die Warteschlange sauber aussieht. Skip ist eine Betriebsentscheidung: Die nicht angewendete Änderung muss danach bewusst geprüft oder separat umgesetzt werden.

Typische Fehlerbilder

Änderung ist in Central sichtbar, aber nicht auf der Firewall

In diesem Fall zuerst prüfen, ob der passende Task erfolgreich abgeschlossen wurde. Wenn der Task noch Pending, In Progress, Failed oder Partial Success ist, liegt das Problem nicht zwingend in der lokalen Firewall-Regel. Erst wenn Central den Task als erfolgreich meldet, sollte man tiefer in lokale Policy-, Objekt- oder Log-Analyse gehen.

Nur einzelne Firewalls in einer Gruppe sind betroffen

Bei Gruppenrichtlinien kann eine Änderung auf mehreren Firewalls erfolgreich sein und auf einer Firewall fehlschlagen. Dann sollte man nicht die ganze Gruppe pauschal ändern, sondern die betroffene Firewall aufklappen und Unterschiede prüfen: Lizenz, Firmwarestand, Central-Verbindung, lokale Objektkonflikte, Plattform und bekannte Issues.

Firmware-Task über Central startet nicht sauber

Wenn ein Sophos Firewall Firmware Update über Sophos Central geplant wurde, sollte die Task Queue Teil der Nachkontrolle sein. Bleibt die Firewall auf der alten Version, prüft man zuerst, ob Central den Task ausgelöst und abgeschlossen hat. Für Major Releases gehört zusätzlich der SFOS 22 Upgrade Check zur Vorbereitung.

Web- oder TLS-Policy-Sync schlägt fehl

Bei Web Protection, URL-Gruppen oder TLS-Ausschlüssen kann ein Central-Sync besonders verwirrend wirken, weil Central eine Änderung angenommen hat, die Firewall sie aber nicht vollständig verarbeitet. Dann sollte man die betroffene Entity aus der Task Queue mit der lokalen Konfiguration vergleichen. Für die fachliche Einordnung passen Sophos Firewall TLS Inspection richtig einführen und Sophos Firewall Web Protection Policy erstellen.

XGS 88/w und Local TLS Exclusion List

In der Known-Issues-Liste ist ein konkretes Problem bei XGS 88/w Modellen dokumentiert: Beim Synchronisieren einer Sophos Central Policy kann die Bearbeitung der Local TLS exclusion list fehlschlagen. Die angezeigte Fehlermeldung bezieht sich auf eine URL-Gruppe, die nicht aktualisiert werden konnte. In diesem Fall kann man die fehlgeschlagene Transaktion aus der Task Queue überspringen, damit spätere Tasks weiterlaufen.

In der Praxis sollte man danach aber nicht einfach weitermachen. Wichtig ist eine Nachkontrolle:

  • Ist die gewünschte TLS-Ausnahme lokal auf der Firewall vorhanden?
  • Sind Web- und TLS-Policy auf der Firewall noch fachlich korrekt?
  • Betrifft das Problem nur eine XGS 88/w oder mehrere Firewalls?
  • Muss die Änderung temporär lokal umgesetzt oder verschoben werden?
  • Gibt es ein Maintenance Release oder einen Sophos-Hinweis für die betroffene Version?

Nachkontrolle auf der Firewall

Ein erfolgreicher Central-Task ist ein gutes Signal, aber noch kein vollständiger Betriebstest. Je nach Änderung sollte man lokal prüfen:

  • Ist die geänderte Regel, Policy, Liste oder Firmwareversion sichtbar?
  • Zeigt der Log Viewer erwartete Ereignisse?
  • Wurde die Änderung im Audit Trail protokolliert?
  • Sind Central-Verbindung und Reporting weiterhin aktiv?
  • Funktionieren betroffene Benutzer, VPNs, Webzugriffe oder Applikationen?

Bei sicherheitsrelevanten Änderungen sollte man zusätzlich einen kurzen Rollback-Punkt definieren. Das gilt besonders für Web Protection, TLS Inspection, Firewall-Regeln, VPN, HA-Cluster und Firmware-Updates.

Betriebscheckliste

  • Vor Änderungen über Sophos Central klären, welche Firewalls oder Gruppen betroffen sind.
  • Nach Central-Änderungen die Task Queue prüfen.
  • Fehlgeschlagene Tasks mit Fehlermeldung, Uhrzeit und Firewall-Name dokumentieren.
  • Partial Success nicht als vollständig erledigt behandeln.
  • Retry erst nach Ursachenprüfung verwenden.
  • Skip nur verwenden, wenn die fachliche Auswirkung verstanden ist.
  • Bei Firmware-Tasks Wartungsfenster, Backup und lokalen Zugriff einplanen.
  • Bei wiederholten Fehlern Audit Trail, Log Viewer und Sophos Support Informationen sichern.

FAQ

Was zeigt die Sophos Central Task Queue?

Die Task Queue zeigt den Status von Firewall-Gruppenrichtlinien, die über Sophos Central auf Firewalls angewendet werden. Man sieht unter anderem betroffene Gruppen, Firewalls, Status, Administrator, Entity, Sub-entity und Zeitpunkt.

Was ist die Firewall Task Queue?

Die Firewall Task Queue zeigt Firewall-Tasks, die aus MDR Settings, MDR IOCs oder der Firewall Configuration API stammen. Dort sind zum Beispiel Status, Credential ID, Entity, Aktion und Zeitpunkt relevant.

Darf man einen fehlgeschlagenen Task überspringen?

Ja, technisch kann man bestimmte Tasks überspringen. Operativ sollte man das nur tun, wenn klar ist, welche Änderung dadurch nicht angewendet wurde und wie die betroffene Firewall danach geprüft wird.

Wann ist Retry sinnvoll?

Retry ist sinnvoll, wenn die Ursache des Fehlers behoben wurde. Beispiele sind eine wiederhergestellte Central-Verbindung, eine korrigierte Lizenz, ein bereinigter Objektkonflikt oder ein temporärer Fehler, der nicht mehr besteht.

Ersetzt die Task Queue den Log Viewer?

Nein. Die Task Queue zeigt, ob Central eine Änderung verarbeitet hat. Der Log Viewer zeigt lokale Firewall-Ereignisse und ist für Traffic-, Policy- und Dienstanalyse weiterhin notwendig.