Zum Inhalt springen
Avanet

Sophos Firewall Logs für Support und Analyse sichern

Sophos Firewall

Bei Störungen, VPN Problemen oder unklaren Firewall Ereignissen reichen einzelne Screenshots aus der Weboberfläche oft nicht aus. Für eine fundierte Analyse benötigt der Sophos Support, Avanet oder ein externer Security Partner meistens die relevanten Logdateien der Firewall.

In dieser Anleitung zeigen wir, wie man die Logs einer Sophos Firewall über die Advanced Shell in ein Archiv packt und anschliessend für die Analyse bereitstellt.

Voraussetzungen

Für diese Anleitung benötigt man:

  • Administrativen Zugriff auf die Sophos Firewall
  • Zugriff auf die Advanced Shell
  • Einen Zielserver oder eine andere sichere Möglichkeit, um das Logarchiv zu übertragen
  • Genügend freien Speicherplatz auf der Firewall für das temporäre Archiv

Die Befehle werden direkt auf der Firewall ausgeführt. Man sollte daher sorgfältig arbeiten und keine Dateien löschen, wenn nicht klar ist, wofür sie verwendet werden.

Falls der Zugriff auf die Shell noch nicht eingerichtet ist, erklärt die Anleitung Sophos Firewall per SSH verbinden, wie man eine SSH-Verbindung zur Firewall herstellt.

Advanced Shell öffnen

Auf der Sophos Firewall anmelden und die Advanced Shell öffnen:

  1. Device Management öffnen.
  2. Advanced Shell auswählen.
  3. Den Zugriff bestätigen, falls die Firewall eine zusätzliche Abfrage anzeigt.

Nach dem Login befindet man sich auf der Shell der Firewall. Von dort aus können die Logdateien archiviert werden.

Vor dem Sichern gezielt Logs sammeln

Wenn ein Problem reproduzierbar ist, sollte es nach Möglichkeit direkt vor dem Erstellen des Logarchivs nochmals ausgelöst werden. Dadurch landen die relevanten Einträge möglichst aktuell in den Logdateien.

Bei komplexeren Problemen reichen die normalen Logs manchmal nicht aus. In diesem Fall kann es sinnvoll sein, vor dem Archivieren für den betroffenen Dienst ein Debug-Log zu aktivieren. Wie das funktioniert, ist im Abschnitt Debug-Log beschrieben.

Welche Logdatei zu welchem Firewall-Modul gehört, ist in Sophos Firewall Troubleshooting: Services und Logs zusammengefasst. Diese Übersicht ist hilfreich, wenn man gezielt prüfen möchte, ob für ein Problem eher VPN-, IPS-, Web-, Mail-, GUI- oder System-Logs relevant sind.

Alle Logdateien sichern

Vor dem Erstellen des Archivs sollte geprüft werden, ob unter /var genügend freier Speicherplatz vorhanden ist:

df -h /var

Anschliessend ein komprimiertes Archiv mit den Dateien aus dem Verzeichnis /log erstellen:

tar -cvzf /var/Sophos Firewall Logs.tar.gz -C / log

Der Befehl erstellt die Datei:

/var/Sophos Firewall Logs.tar.gz

Die wichtigsten Bestandteile des Befehls:

  • tar erstellt ein Archiv.
  • -c erstellt ein neues Archiv.
  • -v zeigt die verarbeiteten Dateien an.
  • -z komprimiert das Archiv mit gzip.
  • -f gibt den Dateinamen des Archivs an.
  • -C / wechselt für den Archivvorgang in das Root-Verzeichnis.
  • log ist das Verzeichnis mit den Logdateien der Sophos Firewall.

Der Vorteil von -C / ist, dass der Befehl unabhängig vom aktuellen Arbeitsverzeichnis funktioniert. Ein vorheriges cd / ist dadurch nicht nötig. Falls die Datei bereits existiert, wird sie durch den Befehl überschrieben.

Je nach Grösse und Auslastung der Firewall kann das Erstellen des Archivs einige Zeit dauern. Die Ausgabe von tar zeigt währenddessen, welche Dateien in das Archiv geschrieben werden.

Nach dem Erstellen kann die Archivgrösse geprüft werden:

ls -lh /var/Sophos Firewall Logs.tar.gz

Logarchiv auf einen Linux-Server kopieren

Wenn ein Linux-Server per SSH erreichbar ist, kann das Archiv mit scp übertragen werden.

Beispiel:

scp /var/Sophos Firewall Logs.tar.gz root@192.0.2.10:/root/

Dabei müssen die IP-Adresse, der Benutzer und der Zielpfad an die eigene Umgebung angepasst werden.

Nach der Übertragung liegt das Archiv auf dem Zielserver unter:

/root/Sophos Firewall Logs.tar.gz

Von dort kann es intern weitergegeben oder dem Sophos Support beziehungsweise Avanet zur Verfügung gestellt werden.

IPsec Diagnosedaten separat sichern

Bei VPN oder IPsec Problemen können zusätzlich die IPsec Verbindungsdaten aus /tmp/ipsec/connections/ hilfreich sein.

Dafür ein separates Archiv erstellen:

tar -cvzf /var/Sophos Firewall IPsec Connections.tar.gz -C /tmp/ipsec connections

Auch hier kann die erzeugte Datei kurz geprüft werden:

ls -lh /var/Sophos Firewall IPsec Connections.tar.gz

Dieses Archiv kann ebenfalls per scp auf einen Zielserver kopiert werden:

scp /var/Sophos Firewall IPsec Connections.tar.gz root@192.0.2.10:/root/

Gerade bei IPsec Fehlern ist es sinnvoll, dieses Archiv zusammen mit den normalen Firewall Logs bereitzustellen, damit Tunnelstatus, Verbindungsinformationen und Logeinträge gemeinsam ausgewertet werden können.

Sicherheit und Datenschutz

Logdateien können sensible Informationen enthalten, zum Beispiel:

  • Öffentliche und interne IP-Adressen
  • Benutzernamen
  • Hostnamen
  • VPN Informationen
  • Fehlermeldungen mit technischen Details
  • Hinweise auf interne Netzwerkstrukturen

Logarchive sollten daher nur über sichere Kanäle übertragen und nur Personen oder Organisationen bereitgestellt werden, die an der Analyse beteiligt sind. Wenn Logs an einen externen Partner gesendet werden, sollte vorher intern geklärt sein, ob die Weitergabe gemäss den eigenen Datenschutz- und Sicherheitsrichtlinien erlaubt ist.

Temporäre Archive wieder entfernen

Nachdem das Archiv erfolgreich übertragen wurde, sollte es von der Firewall gelöscht werden, damit kein unnötiger Speicherplatz belegt wird:

rm /var/Sophos Firewall Logs.tar.gz

Falls auch ein separates IPsec Archiv erstellt wurde, sollte dieses ebenfalls entfernt werden:

rm /var/Sophos Firewall IPsec Connections.tar.gz

Vor dem Löschen sollte geprüft werden, ob die Dateien erfolgreich auf dem Zielsystem angekommen sind.