Sophos Firewall Central Reporting aktivieren und betreiben
Mit Central Firewall Reporting sendet die Sophos Firewall ausgewählte Logdaten an Sophos Central. Dadurch lassen sich Reports zentral auswerten, speichern und bei Bedarf mit anderen Personen teilen.
Der Artikel erklärt, wie man Central Reporting aktiviert, welche Punkte vorher geprüft werden sollten und wie man kontrolliert, ob Logdaten in Sophos Central ankommen.
Welcher Logging-Artikel passt?
Central Firewall Reporting ist ein Baustein der Logarchitektur. Je nach Ziel passt ein anderer Einstieg besser:
- Reports und Firewall-Logs in Sophos Central auswerten: Dieser Artikel.
- Einzelne Verbindung, Rule ID, NAT ID oder Paketfluss live prüfen: Sophos Firewall Regel testen mit Log Viewer, Policy tester und Packet Capture.
- Logs an ein eigenes SIEM oder einen Logserver senden: Sophos Firewall Syslog an SIEM senden.
- Lokale Logdateien, Dienste und Advanced Shell einordnen: Sophos Firewall Troubleshooting: Services und Logs.
- Logs für Sophos Support oder Avanet sichern: Sophos Firewall Logs für Support oder Analyse sichern.
- Konfigurationsänderungen nachvollziehen: Sophos Firewall Audit Trail Logs prüfen.
- NDR- oder Active-Threat-Response-Treffer auswerten: Sophos Firewall NDR und Active Threat Response betreiben.
- Traffic-Flows statt Logevents analysieren: sFlow Monitoring auf Sophos Firewall konfigurieren.
Diese Trennung ist wichtig: Central Reporting ist gut für Reports, Suche und Verlauf in Sophos Central. Für Live-Troubleshooting auf der Firewall, Support-Logpakete, SIEM-Korrelation oder Flow-Analyse braucht es andere Werkzeuge.
Wann Central Firewall Reporting hilfreich ist
Central Firewall Reporting ist besonders nützlich, wenn mehrere Firewalls betrieben werden oder wenn Reports regelmässig ausgewertet werden sollen.
Typische Beispiele:
- Zentrale Übersicht über mehrere Firewalls.
- Regelmässige Reports für Management oder Betrieb.
- Analyse von Web-, Application-, IPS-, VPN oder Netzwerkereignissen.
- Längere Aufbewahrung und einfachere Suche in Logdaten.
- Unterstützung bei Troubleshooting und Security Reviews.
Für eine reine Live-Analyse direkt auf der Firewall reichen oft die lokalen Logs. Für längerfristige Auswertungen ist Central Reporting deutlich komfortabler. Wenn Logs dagegen in ein eigenes SIEM oder einen externen Logserver gehen sollen, passt Sophos Firewall Syslog an SIEM senden besser.
Voraussetzungen
Vor der Aktivierung sollte man prüfen:
- Die Firewall ist in Sophos Central registriert.
- Die Firewall hat Internetzugriff zu den benötigten Sophos Diensten.
- DNS und Uhrzeit funktionieren korrekt.
- Die verwendete Lizenz unterstützt die gewünschte Reporting-Funktion.
- In Sophos Central ist die Firewall sichtbar.
Wenn die Firewall noch nicht in Sophos Central registriert ist, muss dies zuerst erledigt werden. Ohne Registrierung kann Central Firewall Reporting nicht aktiviert werden.
Central Reporting aktivieren
Central Firewall Reporting wird an zwei Stellen aktiviert: zuerst auf der Firewall und danach in Sophos Central.
- Im WebAdmin der Sophos Firewall anmelden.
- System > Sophos Central öffnen.
- Unter Sophos Central registration prüfen, ob die Firewall registriert ist.
- Wenn die Firewall noch nicht registriert ist, Register auswählen und mit dem passenden Sophos Central Konto anmelden.
- Sophos Central services aktivieren oder Configure auswählen, wenn der Dienst bereits aktiv ist.
- Send reports and logs to Sophos Central aktivieren.
- Optional Manage from Sophos Central aktivieren, wenn die Firewall zusätzlich zentral verwaltet werden soll.
- Optional Send configuration backups to Sophos Central aktivieren, wenn Konfigurationsbackups zentral gespeichert werden sollen.
- Apply auswählen.

Nach dem Speichern muss der Dienst in Sophos Central bestätigt werden:
- In Sophos Central anmelden.
- My Products > Firewall Management > Firewalls öffnen.
- Die Firewall mit dem Status oder Symbol Approval pending suchen.
- Accept services auswählen.
Nach der Aktivierung legt die Firewall automatisch einen Syslog-Eintrag für Central reporting an und beginnt damit, Logdaten an Sophos Central zu senden. Die Übertragung und Verarbeitung erfolgen nicht zwingend sofort. Die Firewall sendet Daten mindestens alle fünf Minuten an Sophos Central. Danach kann die Verarbeitung in Central weitere Minuten dauern; Sophos nennt für die Datenbankverarbeitung typischerweise fünf bis dreissig Minuten. Für die erste Kontrolle sollte man deshalb nicht sofort nach dem Speichern an der Konfiguration drehen.
Welche Daten übertragen werden
Welche Logtypen an Sophos Central gesendet werden, definiert man direkt auf der Firewall.
Der Menüpfad lautet Configure > System services > Log settings.
Unter Log settings gibt es eine eigene Spalte Central reporting. Dort kann man pro Logtyp entscheiden, ob dieser Log lokal, an Central oder an beide Ziele gesendet wird.
Typische Bereiche sind:
- Firewall Regeln.
- Web Protection.
- Application Control.
- IPS.
- Active Threat Response.
- Zero-Day Protection.
- SD-WAN.
- VPN.
- Wireless, wenn Access-Point- und SSID-Ereignisse zentral sichtbar sein sollen.
- Systemereignisse.

Nicht jede Umgebung muss alle Daten an Sophos Central senden. In produktiven Umgebungen sollte man prüfen, welche Logtypen wirklich benötigt werden und ob interne Datenschutzvorgaben eingehalten werden.
⚠️ Je mehr Logtypen an Sophos Central gesendet werden, desto schneller wird der verfügbare Speicher verbraucht. Für produktive Umgebungen sollte man bewusst entscheiden, welche Logs für Betrieb, Security und Compliance wirklich benötigt werden.
Wichtig ist auch der Unterschied zwischen Logs und Reports: Die Auswahl unter Central reporting steuert, welche Event-Logs an Sophos Central gesendet werden. Diese Auswahl ersetzt nicht automatisch lokale On-box-Reports und ist nicht dasselbe wie ein vollständiges Support-Logpaket.
Wie lange Sophos die Logs speichert
Die Aufbewahrungsdauer hängt von Lizenz und verfügbarem Speicher ab. Wichtig ist: Es gilt immer die Grenze, die zuerst erreicht wird. Wenn der Speicher voll ist, werden ältere Daten nach dem FIFO-Prinzip entfernt.
- Central Firewall Reporting ohne zusätzliche Reporting-Lizenz: Bis zu 7 Tage. Verfügbar mit aktiver Firewall Subscription; der Speicher ist modellabhängig und begrenzt.
- Xstream Protection Bundle: Bis zu 30 Tage. Das entspricht einer limitierten Central Firewall Reporting Advanced Berechtigung.
- Sophos Central Firewall Reporting Advanced: Bis zu 365 Tage. Jede CFR-Advanced-Lizenz erhöht den verfügbaren Speicher um 100 GB. Firewalls mit sehr hohem Logvolumen können mehr als eine 100-GB-Einheit benötigen, um die maximale Aufbewahrung realistisch zu erreichen.
Die Lizenz Sophos Central Firewall Reporting Advanced kann bei Avanet bezogen werden: Sophos Central Firewall Reporting Advanced. Das Datenblatt beschreibt Central Firewall Reporting zusätzlich als cloudbasiertes Reporting mit Suche, Reports und bis zu 365 Tagen Aufbewahrung: Sophos Central Firewall Reporting Datenblatt.
Bei allen Varianten gilt: Speicherplatz und maximale Aufbewahrungsdauer wirken zusammen. Sobald eine Grenze erreicht ist, werden ältere Daten nach dem First-in-first-out-Prinzip entfernt. Eine Lizenz mit langer maximaler Aufbewahrung garantiert deshalb nicht automatisch, dass jede Firewall tatsächlich so lange Daten behält.
Aufbewahrung und Verantwortung planen
Central Reporting sollte nicht nur technisch aktiviert werden. Vorher sollte klar sein, welche Logtypen wirklich benötigt werden, wie lange die Daten verfügbar sein müssen und wer Reports regelmässig prüft.
Für den Betrieb sollten diese Punkte dokumentiert sein:
- Zweck der Datensammlung: Troubleshooting, Security Review, Audit, Management Report oder Support.
- Benötigte Logtypen, zum Beispiel Firewall, Web, IPS, VPN oder Active Threat Response.
- Gewünschte Aufbewahrungsdauer und passende Lizenz.
- Owner für Report-Vorlagen, geplante Reports und Eskalationen.
- Datenschutz- oder Compliance-Vorgaben für Benutzer-, URL- und Netzwerkdaten.
- Entscheidung, ob zusätzlich Syslog oder SIEM benötigt wird.
Wenn Logs für Incident Response oder Audits relevant sind, sollte man nicht erst im Störungsfall prüfen, ob die Daten vollständig sind. Ein kurzer monatlicher Kontrollreport reicht oft, um zu sehen, ob die erwarteten Logtypen ankommen und ob der Speicherverbrauch zur geplanten Aufbewahrung passt.
Ankunft der Logs prüfen
Nach der Aktivierung erscheinen die Daten nicht immer sofort in Sophos Central. Einige Minuten Verzögerung sollten eingeplant werden.
Danach diese Punkte prüfen:
- In Sophos Central anmelden.
- My Products > Firewall Management > Report Hub öffnen.
- Die betroffene Firewall auswählen.
- Sichtbarkeit aktueller Ereignisse prüfen.
- Testweise einen einfachen Report erstellen.

Wenn keine Daten sichtbar sind, sollte man zuerst Verbindung, Lizenz und Logeinstellungen prüfen.
Reporting gezielt validieren
Ein Report mit Daten beweist noch nicht, dass Central Reporting für den Betrieb vollständig nutzbar ist. Nach der Aktivierung sollte mindestens ein kleiner Validierungsplan abgearbeitet werden.
Empfohlene Tests:
- Firewall-Regel-Logs prüfen: Eine geloggte Testregel auslösen und im Report Hub nach Source, Destination und Rule ID suchen. Das Ereignis sollte mit richtiger Firewall, Zeit und Aktion sichtbar sein.
- Web- oder Application-Events prüfen: Einen bekannten Web- oder Application-Control-Test ausführen. Kategorie, Benutzer oder Client-IP sollten im passenden Report erscheinen.
- VPN-Ereignisse prüfen: Eine Testverbindung aufbauen und trennen. Login, Verbindung und Trennung sollten im gewählten Zeitraum sichtbar sein.
- Zeitbasis vergleichen: Firewall-Zeit, Sophos Central Zeitraum und lokale Zeitzone vergleichen. Ereignisse sollten nicht in einem unerwarteten Zeitraum erscheinen.
- Aufbewahrung bewerten: Ältere Daten im Report Hub prüfen und Speicherverbrauch beobachten. Die verfügbare Aufbewahrung sollte zur Lizenz und zum internen Zweck passen.
- Log settings gegenprüfen: Unter System services > Log settings kontrollieren, ob Firewall-Regeln Log firewall traffic erzeugen und SSL/TLS-Inspection-Regeln bei Bedarf Log connections aktiv haben.
Bei mehreren Firewalls sollte man zusätzlich prüfen, ob Hostname, Seriennummer, Modell oder Standort eindeutig erkennbar sind. Sonst wird ein späterer Security- oder Supportfall unnötig mühsam, weil Ereignisse zwar vorhanden sind, aber nicht schnell der richtigen Appliance zugeordnet werden können.
Reports verwenden
Sophos Central kann Reports anzeigen, filtern und je nach Lizenz auch planen.
Sinnvolle Reports für den Betrieb:
- Top blockierte Anwendungen.
- Web-Kategorien mit hohem Traffic.
- VPN Verbindungen.
- IPS-Events.
- NDR- und Active-Threat-Response-Ereignisse.
- Top-Regeln nach Trefferzahl.
- Benutzer- oder Host-bezogene Auswertungen.
Wenn Web-Kategorien nicht nur ausgewertet, sondern bei kritischen Zugriffen aktiv gemeldet werden sollen, passt Sophos Firewall Web-Kategorien und Instant Alerts nutzen.
Für wiederkehrende Betriebskontrollen kann man Reports planen oder als Vorlage speichern. Wenn NDR Essentials oder NDR Active Threat Intelligence genutzt werden, sollte der Ablauf aus Sophos Firewall NDR und Active Threat Response betreiben mit Central Reporting oder SIEM-Auswertung verbunden werden.
Troubleshooting
Keine Daten in Sophos Central
Man prüft, ob die Firewall online ist und mit Sophos Central kommunizieren kann. Zusätzlich sollten DNS, Standardgateway und Uhrzeit geprüft werden. Danach sollte man auf der Firewall unter System > Sophos Central kontrollieren, ob Send reports and logs to Sophos Central weiterhin aktiv ist und ob in Sophos Central noch eine Service-Bestätigung aussteht.
Wenn die Firewall über Sophos Central verwaltet wird, aber keine Reports liefert, sind Management-Zugriff und Reporting trotzdem getrennt zu prüfen. Ein funktionierender Central-Login auf die Firewall beweist nicht automatisch, dass alle ausgewählten Logtypen auch im Report Hub ankommen.
Nur einzelne Logtypen fehlen
Man prüft die lokalen Logeinstellungen der Firewall. Wenn ein Bereich lokal nicht geloggt wird, kann er auch nicht sinnvoll an Central Reporting übertragen werden.
Besonders häufig fehlt nicht die Central-Verbindung, sondern das eigentliche Event:
- Firewall-Regeln haben Log firewall traffic nicht aktiviert.
- Unter System services > Log settings ist die Spalte Central reporting für den Logtyp nicht aktiv.
- Der gewählte Report betrachtet einen anderen Zeitraum oder eine andere Firewall.
- Benutzer- oder Web-Reports bleiben leer, weil die Firewall keine Benutzeridentität sieht.
- NDR- oder Active-Threat-Response-Ereignisse fehlen, weil die Funktion zwar global aktiv ist, aber in Regeln oder Logging nicht vollständig eingebunden wurde.
Reports zeigen alte Daten
Central Reporting arbeitet nicht in Echtzeit. Man prüft den gewählten Zeitraum im Report und wartet einige Minuten, bevor die Konfiguration erneut geändert wird. Für neue Ereignisse ist eine Verzögerung normal, weil die Firewall Daten periodisch sendet und Sophos Central sie danach verarbeitet.
Wenn Daten dauerhaft verspätet oder lückenhaft wirken, sollte man nicht mehrfach dieselben Haken neu setzen. Besser ist ein definierter Test mit Uhrzeit, Source, Destination, Logtyp und erwarteter Firewall. Danach lassen sich Log Viewer, Central Report Hub und bei Bedarf Syslog oder lokale Logs sauber vergleichen.
Zu viele oder zu wenige Daten
Man passt die Logauswahl und die Filter in Sophos Central an. Für Audits oder Supportfälle kann es sinnvoll sein, mehr Daten zu sammeln. Für den normalen Betrieb reichen oft gezielte Reports.
Zu viele Daten sind nicht nur ein Speicherproblem. Die Auswertung wird auch schwieriger, wenn niemand die Reports regelmässig prüft. Zu wenige Daten sind dagegen kritisch, wenn bei einem Vorfall genau Firewall-, VPN-, Web- oder IPS-Ereignisse fehlen. Deshalb sollte die Logauswahl nicht einmalig nebenbei gesetzt werden, sondern zu den geplanten Use Cases passen.
Central Reporting nach Changes prüfen
Nach bestimmten Änderungen sollte Central Reporting bewusst kontrolliert werden:
- Firmware-Update oder Rollback.
- HA-Failover oder Austausch einer Appliance.
- Änderung an Sophos Central Registrierung oder Services.
- Neue Firewall-Regeln, Web-Policies, IPS-Policies oder VPN-Profile.
- Wechsel von Lizenz, Bundle oder Reporting-Advanced-Berechtigung.
- Reimage, Restore oder Migration auf ein neues Modell.
Für zentrale Änderungen über Sophos Central passt zusätzlich die Sophos Central Firewall Management Task Queue. Dort sieht man, ob Central eine Änderung überhaupt erfolgreich auf die Firewall angewendet hat. Für lokale Konfigurationsänderungen sollte man Audit Trail Logs und bei Regelproblemen den Log Viewer mit Policy Test und Packet Capture einbeziehen.
Logs für Supportfälle sichern
Central Reporting ersetzt nicht jede lokale Loganalyse. Wenn Sophos Support oder Avanet eine vollständige lokale Logsammlung benötigt, kann man zusätzlich die Firewall Logs exportieren.
Für Supportfälle sollte man deshalb sauber trennen:
- Verlauf, Reports, betroffene Benutzer oder Top-Ereignisse zeigen: Central Reporting.
- Einzelne Verbindung live prüfen: Log Viewer, Policy Test und Packet Capture.
- Dienstfehler, Debug-Logs oder Modulstatus prüfen: lokale Logdateien und Service-Logs.
- Vollständiges Paket für Sophos Support oder Avanet bereitstellen: lokaler Logexport oder Consolidated troubleshooting report.
In der Praxis ist Central Reporting oft der beste Einstieg, weil man Zeitfenster, Firewall, Benutzer, Quell-IP und betroffene Regel schneller eingrenzen kann. Für die eigentliche Ursachenanalyse braucht es aber häufig zusätzlich lokale Logs, besonders bei VPN-, WAF-, IPS-, HA-, System- oder Dienstproblemen. Der Ablauf steht in Sophos Firewall Logs für Support und Analyse sichern. Für Modul- und Dienstzuordnung hilft zusätzlich Sophos Firewall Troubleshooting: Services und Logs.
Betriebsempfehlung
Central Firewall Reporting ist vor allem bei mehreren Firewalls oder regelmässig benötigten Reports sinnvoll. Für Troubleshooting ist es hilfreich, lokale Logs und Central Reporting gemeinsam zu nutzen: Central für Übersicht und Verlauf, lokale Logs für Detailanalyse direkt auf der Firewall.
In produktiven Umgebungen sollte Central Reporting wie ein Betriebsprozess behandelt werden:
- Logtypen nach Zweck auswählen, nicht einfach alles aktivieren.
- Report-Owner festlegen, der geplante Reports und auffällige Trends wirklich prüft.
- Speicherverbrauch und älteste verfügbare Daten regelmässig kontrollieren.
- Nach Firmware-Updates, HA-Failover, Restore oder Lizenzwechsel einen kurzen Reporting-Test durchführen.
- Mindestens einen Incident-Test definieren: betroffene Source-IP, Rule ID, VPN-Benutzer oder Web-Kategorie im Report Hub wiederfinden.
- Für Security Operations entscheiden, welche Events in Central bleiben und welche zusätzlich an ein SIEM gehen.
Für kleine Umgebungen reicht oft ein monatlicher Kontrollblick auf Firewall-, Web-, VPN- und IPS-Reports. Bei mehreren Standorten, MSP-Betrieb oder Compliance-Anforderungen sollte ein fester Review-Termin existieren. Dann wird geprüft, ob erwartete Logtypen noch ankommen, ob Speicher und Lizenz zur gewünschten Aufbewahrung passen und ob Reports im Ernstfall schnell genug die richtigen Fragen beantworten.
Wenn Logs für Security Operations, Incident Response oder Compliance relevant sind, sollte zusätzlich entschieden werden, ob Syslog an ein SIEM benötigt wird. Central Reporting ist sehr nützlich für Sophos-Central-Auswertungen, ersetzt aber nicht automatisch ein herstellerübergreifendes Logarchiv oder einen SOC-Prozess.