Zum Inhalt springen
Avanet

Central Firewall Reporting aktivieren

Mit Central Firewall Reporting sendet die Sophos Firewall ausgewählte Logdaten an Sophos Central. Dadurch lassen sich Reports zentral auswerten, speichern und bei Bedarf mit anderen Personen teilen.

Diese Anleitung zeigt, wie man Central Reporting aktiviert, welche Punkte man vorher prüfen sollte und wie man kontrolliert, ob Logdaten in Sophos Central ankommen.

Wann Central Firewall Reporting hilfreich ist

Central Firewall Reporting ist besonders nützlich, wenn mehrere Firewalls betrieben werden oder wenn Reports regelmässig ausgewertet werden sollen.

Typische Beispiele:

  • Zentrale Übersicht über mehrere Firewalls.
  • Regelmässige Reports für Management oder Betrieb.
  • Analyse von Web-, Application-, IPS-, VPN oder Netzwerkereignissen.
  • Längere Aufbewahrung und einfachere Suche in Logdaten.
  • Unterstützung bei Troubleshooting und Security Reviews.

Für eine reine Live-Analyse direkt auf der Firewall reichen oft die lokalen Logs. Für längerfristige Auswertungen ist Central Reporting aber deutlich komfortabler.

Voraussetzungen

Vor der Aktivierung sollte man prüfen:

  • Die Firewall ist in Sophos Central registriert.
  • Die Firewall hat Internetzugriff zu den benötigten Sophos Diensten.
  • DNS und Uhrzeit funktionieren korrekt.
  • Die verwendete Lizenz unterstützt die gewünschte Reporting-Funktion.
  • In Sophos Central ist die Firewall sichtbar.

Wenn die Firewall noch nicht in Sophos Central registriert ist, muss dies zuerst erledigt werden. Ohne Registrierung kann Central Firewall Reporting nicht aktiviert werden.

Central Reporting aktivieren

Central Firewall Reporting wird an zwei Stellen aktiviert: zuerst auf der Firewall und danach in Sophos Central.

  1. Melde dich am WebAdmin der Sophos Firewall an.
  2. Öffne System > Sophos Central.
  3. Prüfe unter Sophos Central registration, ob die Firewall registriert ist.
  4. Wenn die Firewall noch nicht registriert ist, klicke auf Register und melde dich mit dem passenden Sophos Central Konto an.
  5. Aktiviere Sophos Central services oder klicke auf Configure, wenn der Dienst bereits aktiv ist.
  6. Aktiviere Send reports and logs to Sophos Central.
  7. Optional: Aktiviere Manage from Sophos Central, wenn die Firewall zusätzlich zentral verwaltet werden soll.
  8. Optional: Aktiviere Send configuration backups to Sophos Central, wenn Konfigurationsbackups zentral gespeichert werden sollen.
  9. Klicke auf Apply.
Sophos Firewall - Sophos Central services mit Send reports and logs to Sophos Central aktivieren
Sophos Firewall - System > Sophos Central > Sophos Central services

Nach dem Speichern muss der Dienst in Sophos Central bestätigt werden:

  1. Melde dich an Sophos Central an.
  2. Öffne My Products > Firewall Management > Firewalls.
  3. Suche die Firewall mit dem Status oder Symbol Approval pending.
  4. Klicke auf Accept services.

Sophos beschreibt diesen Ablauf ebenfalls in der offiziellen Anleitung Turn on firewall reporting.

Nach der Aktivierung legt die Firewall automatisch einen Syslog-Eintrag für Central reporting an und beginnt damit, Logdaten an Sophos Central zu senden. Die Firewall sendet die Daten laut Sophos mindestens alle fünf Minuten. Danach werden die Daten in Sophos Central verarbeitet, was nochmals einige Minuten dauern kann.

Welche Daten übertragen werden

Welche Logtypen an Sophos Central gesendet werden, definiert man direkt auf der Firewall.

Der Menüpfad lautet Configure > System services > Log settings.

Unter Log settings gibt es eine eigene Spalte Central reporting. Dort kann man pro Logtyp entscheiden, ob dieser Log lokal, an Central oder an beide Ziele gesendet wird.

Typische Bereiche sind:

  • Firewall Regeln.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Systemereignisse.
Sophos Firewall - Log settings mit Central reporting Spalte
Sophos Firewall - System services > Log settings > Central reporting

Nicht jede Umgebung muss alle Daten an Sophos Central senden. In produktiven Umgebungen sollte man prüfen, welche Logtypen wirklich benötigt werden und ob interne Datenschutzvorgaben eingehalten werden.

⚠️ Je mehr Logtypen an Sophos Central gesendet werden, desto schneller wird der verfügbare Speicher verbraucht. Für produktive Umgebungen sollte man bewusst entscheiden, welche Logs für Betrieb, Security und Compliance wirklich benötigt werden.

Wie lange Sophos die Logs speichert

Die Aufbewahrungsdauer hängt von Lizenz und verfügbarem Speicher ab. Wichtig ist: Es gilt immer die Grenze, die zuerst erreicht wird. Wenn der Speicher voll ist, werden ältere Daten nach dem FIFO-Prinzip entfernt.

Lizenz / VarianteAufbewahrungHinweis
Central Firewall Reporting ohne zusätzliche Reporting-LizenzBis zu 7 TageVerfügbar mit aktiver Firewall Subscription. Der Speicher ist modellabhängig und begrenzt.
Xstream Protection BundleBis zu 30 TageSophos nennt dies eine limitierte Central Firewall Reporting Advanced Berechtigung.
Sophos Central Firewall Reporting AdvancedBis zu 365 TagePro Lizenz stehen 100 GB zusätzlicher Speicher zur Verfügung. Mehrere Lizenzen können je nach Bedarf gestapelt werden.

Sophos dokumentiert die Details unter Firewall reporting storage by firewall model und in den Firewall reporting FAQs.

Die Lizenz Sophos Central Firewall Reporting Advanced kann bei Avanet bezogen werden: Sophos Central Firewall Reporting Advanced. Das Datenblatt beschreibt Central Firewall Reporting zusätzlich als cloudbasiertes Reporting mit Suche, Reports und bis zu 365 Tagen Aufbewahrung: Sophos Central Firewall Reporting Datenblatt.

Ankunft der Logs prüfen

Nach der Aktivierung erscheinen die Daten nicht immer sofort in Sophos Central. Plane einige Minuten Verzögerung ein.

Prüfe danach:

  1. Melde dich an Sophos Central an.
  2. Öffne My Products > Firewall Management > Report Hub.
  3. Wähle die betroffene Firewall aus.
  4. Prüfe, ob aktuelle Ereignisse sichtbar sind.
  5. Erstelle testweise einen einfachen Report.
Sophos Central - Firewall reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Wenn keine Daten sichtbar sind, sollte man zuerst Verbindung, Lizenz und Logeinstellungen prüfen.

Reports verwenden

Sophos Central kann Reports anzeigen, filtern und je nach Lizenz auch planen.

Sinnvolle Reports für den Betrieb:

  • Top blockierte Anwendungen.
  • Web-Kategorien mit hohem Traffic.
  • VPN Verbindungen.
  • IPS-Events.
  • Top-Regeln nach Trefferzahl.
  • Benutzer- oder Host-bezogene Auswertungen.

Für wiederkehrende Betriebskontrollen kann man Reports planen oder als Vorlage speichern.

Troubleshooting

Keine Daten in Sophos Central

Prüfe, ob die Firewall online ist und mit Sophos Central kommunizieren kann. Zusätzlich sollten DNS, Standardgateway und Uhrzeit geprüft werden.

Nur einzelne Logtypen fehlen

Prüfe die lokalen Logeinstellungen der Firewall. Wenn ein Bereich lokal nicht geloggt wird, kann er auch nicht sinnvoll an Central Reporting übertragen werden.

Reports zeigen alte Daten

Central Reporting arbeitet nicht immer in Echtzeit. Prüfe den gewählten Zeitraum im Report und warte einige Minuten, bevor du die Konfiguration erneut änderst.

Zu viele oder zu wenige Daten

Passe die Logauswahl und die Filter in Sophos Central an. Für Audits oder Supportfälle kann es sinnvoll sein, mehr Daten zu sammeln. Für den normalen Betrieb reichen oft gezielte Reports.

Logs für Supportfälle sichern

Central Reporting ersetzt nicht jede lokale Loganalyse. Wenn Sophos Support oder Avanet eine vollständige lokale Logsammlung benötigt, kann man zusätzlich die Firewall Logs exportieren.

Siehe dazu: Sophos Firewall Logs für Support oder Analyse sichern

Empfehlung

Aktiviere Central Firewall Reporting vor allem bei mehreren Firewalls oder wenn Reports regelmässig benötigt werden. Für Troubleshooting ist es hilfreich, lokale Logs und Central Reporting gemeinsam zu nutzen: Central für Übersicht und Verlauf, lokale Logs für Detailanalyse direkt auf der Firewall.