Sophos Firewall Logs für Support und Analyse sichern
Bei Störungen, VPN-Problemen oder unklaren Firewall-Ereignissen reichen einzelne Screenshots aus der Weboberfläche oft nicht aus. Für eine fundierte Analyse braucht ein Supportfall nachvollziehbare Zeitangaben, passende Logdateien und manchmal zusätzlich einen Paketmitschnitt.
Diese Anleitung beschreibt, wie man die Logs einer Sophos Firewall über die Advanced Shell in ein Archiv packt und sicher für Sophos Support, Avanet oder eine externe Analyse bereitstellt. Der Ablauf ersetzt nicht die erste Eingrenzung im Log Viewer. Wenn noch unklar ist, welches Modul betroffen ist, hilft zuerst die Übersicht Sophos Firewall Troubleshooting: Services und Logs.
Welcher Troubleshooting-Artikel passt?
Das Logarchiv ist nur ein Werkzeug im Troubleshooting. Je nach Fehlerbild ist ein anderer Einstieg schneller:
- Konkreten Verbindungsversuch prüfen: Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture, wenn Regel, NAT-Regel oder Route unklar sind.
- Lokale Logdateien zuordnen: Sophos Firewall Troubleshooting: Services und Logs, wenn zuerst geklärt werden muss, welches Log zu VPN, Web, IPS, GUI oder Systemdiensten gehört.
- Supportfall mit lokalen Logdateien, IPsec-Daten oder Debug-Ausgaben vorbereiten: Dieser Artikel.
- Historische Reports oder wiederkehrende Ereignisse in Sophos Central prüfen: Central Firewall Reporting.
- Logs langfristig extern aufbewahren oder mit SOC/SIEM korrelieren: Syslog oder SIEM mit Sophos Firewall einrichten.
- Traffic-Muster, Top-Talker oder Interface-Flows sichtbar machen: sFlow Monitoring auf Sophos Firewall einrichten.
- Gezielten Paketmitschnitt erstellen: Packet Capture oder tcpdump-PCAP.
Diese Trennung spart Zeit. Ein vollständiges Logarchiv hilft bei Dienst- und Supportanalysen, ersetzt aber keinen reproduzierbaren Testfall im Log Viewer und keinen gezielten Paketmitschnitt.
Welche Daten braucht der Support?
Nicht jedes Problem braucht sofort ein vollständiges Logarchiv. Je klarer der Fehler eingegrenzt ist, desto kleiner und nützlicher werden die Daten.
- Firewall-Regel oder NAT-Regel greift unerwartet: Uhrzeit, Source IP, Destination IP, Rule ID, NAT ID, Log-Viewer-Export und bei Bedarf Packet Capture.
- Dienst startet nicht oder WebAdmin zeigt Fehler: Logarchiv aus
/log, betroffener Dienst, Uhrzeit und letzter Konfigurationsschritt. - IPsec-Tunnel baut nicht auf oder fällt aus: normales Logarchiv, IPsec-Diagnosedaten, Peer-IP, lokale und entfernte Netze, Zeitpunkt des Verbindungsversuchs.
- Traffic kommt nicht am Ziel an: Log Viewer, Packet Capture oder bei längeren Analysen tcpdump-PCAP.
- Problem nach Konfigurationsänderung: Audit Trail, ungefährer Änderungszeitpunkt, beteiligter Admin und betroffene Objekte.
Für viele Tickets ist die Kombination aus Problemzeitpunkt, kurzer Fehlerbeschreibung, Logarchiv und einem gezielten Zusatznachweis besser als ein sehr breites Datenpaket ohne Kontext. Wenn ein offizielles Sophos-Ticket erstellt wird, passt zusätzlich Sophos Supportticket eröffnen: Vorbereitung und Portal.
Voraussetzungen
Für diese Anleitung benötigt man:
- Administrativen Zugriff auf die Sophos Firewall
- Zugriff auf die Advanced Shell
- Einen Zielserver oder eine andere sichere Möglichkeit, um das Logarchiv zu übertragen
- Genügend freien Speicherplatz auf der Firewall für das temporäre Archiv
Die Befehle werden direkt auf der Firewall ausgeführt. Man sollte daher sorgfältig arbeiten und keine Dateien löschen, wenn nicht klar ist, wofür sie verwendet werden.
Falls der Zugriff auf die Shell noch nicht eingerichtet ist, erklärt die Anleitung Sophos Firewall per SSH verbinden, wie man eine SSH-Verbindung zur Firewall herstellt.
⚠️ Logarchive und PCAP-Dateien können sensible Informationen enthalten. Solche Dateien sollten nur kurz auf der Firewall liegen, sicher übertragen und nach erfolgreicher Übergabe wieder entfernt werden.
Advanced Shell öffnen
Auf der Sophos Firewall anmelden und die Advanced Shell öffnen:
- Device Management öffnen.
- Advanced Shell auswählen.
- Den Zugriff bestätigen, falls die Firewall eine zusätzliche Abfrage anzeigt.
Nach dem Login befindet man sich auf der Shell der Firewall. Von dort aus können die Logdateien archiviert werden.
Vor dem Sichern gezielt Logs sammeln
Wenn ein Problem reproduzierbar ist, sollte es nach Möglichkeit direkt vor dem Archivieren der Logs nochmals ausgelöst werden. Dadurch landen die relevanten Einträge möglichst aktuell in den Logdateien.
Bei komplexeren Problemen reichen die normalen Logs manchmal nicht aus. In diesem Fall kann es sinnvoll sein, vor dem Archivieren für den betroffenen Dienst ein Debug-Log zu aktivieren. Wie das funktioniert, ist im Abschnitt Debug-Log gezielt aktivieren beschrieben.
Welche Logdatei zu welchem Firewall-Modul gehört, ist in Sophos Firewall Troubleshooting: Services und Logs zusammengefasst. Diese Übersicht ist hilfreich, wenn man gezielt prüfen möchte, ob für ein Problem eher VPN-, IPS-, Web-, Mail-, GUI- oder System-Logs relevant sind.
Wenn nicht ein Dienstproblem, sondern der Paketfluss selbst unklar ist, ist ein Logarchiv allein oft nicht genug. Für kurze Tests passt Packet Capture im WebAdmin. Für PCAP-Dateien, längere Mitschnitte oder Supportanalysen ist tcpdump auf der Sophos Firewall das passende Werkzeug.
Alle Logdateien sichern
Vor dem Archivieren sollte geprüft werden, ob unter /var genügend freier Speicherplatz vorhanden ist:
df -h /var
Anschliessend ein komprimiertes Archiv mit den Dateien aus dem Verzeichnis /log erstellen:
tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log
Der Befehl erstellt die Datei:
/var/Sophos-Firewall-Logs.tar.gz
Die wichtigsten Bestandteile des Befehls:
- tar erstellt ein Archiv.
- -c erstellt ein neues Archiv.
- -v zeigt die verarbeiteten Dateien an.
- -z komprimiert das Archiv mit gzip.
- -f gibt den Dateinamen des Archivs an.
- -C / wechselt für den Archivvorgang in das Root-Verzeichnis.
- log ist das Verzeichnis mit den Logdateien der Sophos Firewall.
Der Vorteil von -C / ist, dass der Befehl unabhängig vom aktuellen Arbeitsverzeichnis funktioniert. Ein vorheriges cd / ist dadurch nicht nötig. Falls die Datei bereits existiert, wird sie durch den Befehl überschrieben.
Je nach Grösse und Auslastung der Firewall kann der Archivvorgang einige Zeit dauern. Die Ausgabe von tar zeigt währenddessen, welche Dateien in das Archiv geschrieben werden.
Anschliessend kann die Archivgrösse geprüft werden:
ls -lh /var/Sophos-Firewall-Logs.tar.gz
Zusätzlich sollte man kurz prüfen, ob das Archiv lesbar ist und tatsächlich das Logverzeichnis enthält:
tar -tzf /var/Sophos-Firewall-Logs.tar.gz
Die Ausgabe sollte Pfade unter log/ zeigen. Wenn der Befehl einen Fehler meldet oder das Archiv ungewöhnlich klein ist, sollte das Archiv nicht weitergegeben werden. Dann zuerst freien Speicherplatz, Schreibrechte und den vorherigen tar-Lauf prüfen.
Logarchiv auf einen Linux-Server kopieren
Wenn ein Linux-Server per SSH erreichbar ist, kann das Archiv mit scp übertragen werden.
Beispiel:
scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/
Dabei müssen die IP-Adresse, der Benutzer und der Zielpfad an die eigene Umgebung angepasst werden.
Nach der Übertragung liegt das Archiv auf dem Zielserver unter:
/root/Sophos-Firewall-Logs.tar.gz
Von dort kann es intern weitergegeben oder dem Sophos Support beziehungsweise Avanet zur Verfügung gestellt werden.
IPsec Diagnosedaten separat sichern
Bei VPN oder IPsec Problemen können zusätzlich die IPsec Verbindungsdaten aus /tmp/ipsec/connections/ hilfreich sein.
Dafür ein separates Archiv erstellen:
tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections
Auch hier kann die erzeugte Datei kurz geprüft werden:
ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz
Dieses Archiv kann ebenfalls per scp auf einen Zielserver kopiert werden:
scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/
Gerade bei IPsec Fehlern ist es sinnvoll, dieses Archiv zusammen mit den normalen Firewall Logs bereitzustellen, damit Tunnelstatus, Verbindungsinformationen und Logeinträge gemeinsam ausgewertet werden können.
Logarchiv, Central Reporting oder Syslog?
Ein lokales Logarchiv beantwortet eine andere Frage als Central Reporting oder Syslog.
- Logarchiv aus
/log: Sinnvoll für Supportfälle, Dienstfehler, VPN-Debug und lokale Detailanalyse. Grenze: Es ist eine Momentaufnahme der lokalen Firewall. - Central Firewall Reporting: Sinnvoll für Reports, Verlauf und Suche in Sophos Central. Grenze: Es ersetzt keine vollständigen lokalen Support-Logs.
- Syslog oder SIEM: Sinnvoll für eigene Langzeitaufbewahrung, Korrelation und SOC-Prozesse. Grenze: Es braucht Parser, Betrieb und vorher aktiviertes Logging.
- Audit Trail Logs: Sinnvoll zum Nachvollziehen von Konfigurationsänderungen. Grenze: Es liefert keine Paketfluss- oder Dienstanalyse.
Für einen akuten Supportfall ist das lokale Logarchiv oft weiterhin nötig, auch wenn Central Reporting oder Syslog aktiv ist. Umgekehrt sollte man für langfristige Aufbewahrung nicht darauf hoffen, dass lokale Logs auf der Firewall später noch vollständig vorhanden sind.
Paketmitschnitte separat behandeln
Logarchive und Paketmitschnitte sind unterschiedliche Beweismittel. Das Logarchiv zeigt Dienstmeldungen, Fehler, VPN-Zustände und Systemereignisse. Ein Packet Capture oder tcpdump zeigt dagegen, ob Pakete wirklich ankommen, weitergeleitet werden oder ob Antworten fehlen.
Für Supportfälle sollte man Paketmitschnitte nicht ungefiltert mitsenden. Besser ist:
- Testfall mit Source IP, Destination IP, Port, Protokoll und Uhrzeit notieren.
- Erst Log Viewer und WebAdmin Packet Capture prüfen, wenn das ausreicht.
- Nur bei Bedarf einen engen
tcpdump-Mitschnitt als PCAP erstellen. - PCAP-Datei sicher übertragen.
- PCAP-Datei nach erfolgreicher Übertragung von der Firewall entfernen.
Die PCAP-Datei gehört nicht in das /log-Archiv, sondern wird separat erstellt und übertragen. Dadurch bleibt klar, welche Datei Service-Logs enthält und welche Datei Netzwerkpakete enthält.
Sicherheit und Datenschutz
Logdateien können sensible Informationen enthalten, zum Beispiel:
- Öffentliche und interne IP-Adressen
- Benutzernamen
- Hostnamen
- VPN Informationen
- Fehlermeldungen mit technischen Details
- Hinweise auf interne Netzwerkstrukturen
Logarchive sollten daher nur über sichere Kanäle übertragen und nur Personen oder Organisationen bereitgestellt werden, die an der Analyse beteiligt sind. Wenn Logs an einen externen Partner gesendet werden, sollte vorher intern geklärt sein, ob die Weitergabe gemäss den eigenen Datenschutz- und Sicherheitsrichtlinien erlaubt ist.
Temporäre Archive wieder entfernen
Nachdem das Archiv erfolgreich übertragen wurde, sollte es von der Firewall gelöscht werden, damit kein unnötiger Speicherplatz belegt wird:
rm /var/Sophos-Firewall-Logs.tar.gz
Falls auch ein separates IPsec Archiv erstellt wurde, sollte dieses ebenfalls entfernt werden:
rm /var/Sophos-Firewall-IPsec-Connections.tar.gz
Vor dem Löschen sollte geprüft werden, ob die Dateien erfolgreich auf dem Zielsystem angekommen sind.
Checkliste für Supportfälle
- Problem kurz beschrieben: Was funktioniert nicht, seit wann, wie oft?
- Exakte Uhrzeit mit Zeitzone notiert.
- Betroffene Source IP, Destination IP, Benutzer, Dienst oder Tunnelname notiert.
- Relevantes Modul im Log Viewer geprüft.
- Falls nötig: Debug nur kurz aktiviert und wieder deaktiviert.
- Logarchiv aus
/logerstellt. - Bei IPsec-Problemen zusätzlich IPsec-Diagnosedaten gesichert.
- Bei Paketflussproblemen Packet Capture oder tcpdump separat erstellt.
- Archiv mit
tar -tzfkurz auf Lesbarkeit geprüft. - Archiv und PCAP nur über sichere Kanäle übertragen.
- Temporäre Dateien auf der Firewall nach erfolgreicher Übertragung entfernt.
FAQ
Reicht ein Screenshot aus dem Log Viewer für den Sophos Support?
Soll man immer alle Sophos Firewall Logs sichern?
/log-Archiv aber häufig sinnvoll, weil mehrere Dienste zusammenhängen können.Gehört eine PCAP-Datei in das Logarchiv?
Ersetzt Central Reporting ein lokales Logarchiv?
/log, weil dort detaillierte Modul- und Service-Informationen liegen.Wie prüft man, ob das Logarchiv erstellt wurde?
ls -lh /var/Sophos-Firewall-Logs.tar.gz, ob die Datei existiert und plausibel gross ist. Danach kann man mit tar -tzf /var/Sophos-Firewall-Logs.tar.gz kontrollieren, ob das Archiv lesbar ist und Dateien unter log/ enthält.