Sophos Firewall Troubleshooting: Services und Logs
Bei der Sophos Firewall gibt es zwei wichtige Ebenen für Troubleshooting: Event Logs im Log viewer und Dienst- beziehungsweise Logdateien auf der Firewall. Der Log Viewer ist ideal für schnelle Fragen wie „wurde die Verbindung erlaubt oder blockiert?“. Die Dateien unter /log sind wichtiger, wenn ein Dienst nicht startet, ein VPN-Tunnel instabil ist, Webfilter unerwartet greifen oder der Support detaillierte Daten benötigt.
Dieser Artikel ordnet die wichtigsten Services und Logdateien nach typischen Admin-Problemen. Er hilft auch dann, wenn im Dashboard, in der Advanced Shell oder in einem Supportfall ein technischer Dienstname auftaucht und nicht sofort klar ist, welche Firewall-Funktion dahintersteckt. Namen wie zebra, warren, awed, garner oder strongswan sind im Alltag nicht selbsterklärend.
Log Viewer oder Logdatei?
Den Log viewer öffnet man in der WebAdmin-Konsole oben rechts. Er aktualisiert sich automatisch, lässt sich nach Modul, Zeit, Feldwerten und Freitext filtern und kann Logs als CSV exportieren.
Troubleshooting-Logs liegen auf der Firewall im Verzeichnis /log. Zugriff erhält man über die WebAdmin-Konsole oder per SSH. Für kurze Checks funktioniert Device Management > Advanced Shell im Browser, in der Praxis ist SSH aber meistens angenehmer, stabiler und besser für längere tail, grep oder less Sitzungen geeignet. Wie man SSH sicher vorbereitet, steht in der Anleitung Sophos Firewall per SSH verbinden.
- Per SSH verbinden oder in der WebAdmin-Konsole Device Management > Advanced Shell öffnen.
- In das Log-Verzeichnis wechseln.
cd /log
Nützliche Befehle:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Die wichtigsten Befehle aus der Advanced Shell:
| Befehl | Beispiel | Zweck |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | zeigt neue Logzeilen live an |
less /log/<logfilename>.log | less /log/ips.log | öffnet eine statische Logdatei zum Lesen |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | sucht nach einem Begriff in einer Logdatei |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | startet, stoppt, startet neu oder aktiviert Debug für einen Dienst |
Wenn Logs für Support oder eine externe Analyse gesichert werden sollen, hilft diese Anleitung: Sophos Firewall Logs für externe Analyse sichern.
Advanced Shell oder Device Console?
Bei Sophos Firewall gibt es zwei unterschiedliche Konsolenbereiche, die oft verwechselt werden:
| Bereich | Verwendung |
|---|---|
| Device Console | Sophos CLI für Firewall-spezifische Befehle, zum Beispiel Routing-Priorität, IPsec-Routen oder Systemoptionen |
| Advanced Shell | Linux-nahe Shell für Dateisystem, Logdateien, tail, grep, less, service -S, Service-Neustarts und Debug-Kommandos |
Nicht jeder Befehl funktioniert in beiden Bereichen. Wenn ein Artikel ausdrücklich Device Console erwähnt, sollte der Befehl dort ausgeführt werden. Wenn es um /log, tail -f, grep, service -S oder Debug-Logging geht, ist in der Regel die Advanced Shell gemeint.
Diese Unterscheidung ist wichtig, weil viele Fehler nur dadurch entstehen, dass ein korrekter Befehl am falschen Ort eingegeben wird.
Logging muss aktiv sein
Nicht jede erwartete Information erscheint automatisch.
- In Firewall Regeln muss Log firewall traffic aktiv sein.
- In SSL/TLS inspection rules muss Logging aktiviert sein.
- Unter System services > Log settings muss definiert sein, welche Logtypen lokal, an Sophos Central oder an Syslog gesendet werden.
Für langfristige Aufbewahrung ist ein Syslog-Server oder Sophos Central Firewall Reporting sinnvoll. Sophos Firewall kann bis zu fünf externe Syslog-Server konfigurieren. Central Firewall Reporting zählt dabei ebenfalls in dieses Limit.
Mehr dazu: Central Firewall Reporting aktivieren.
Debug nur gezielt aktivieren
Debug-Logging ist sehr hilfreich, erzeugt aber viele Daten und kann Speicherplatz verbrauchen. Debug sollte nur für den relevanten Dienst aktiviert werden. Danach reproduziert man das Problem und deaktiviert Debug wieder.
Beispiel:
service ips:debug -ds nosync
service ips:debug -ds nosync off
Die genaue Syntax hängt vom Dienst ab. Wenn der betroffene Dienst unklar ist, sollte zuerst die passende normale Logdatei geprüft werden.
Das Thema Debug-Logging und grundlegende CLI-Befehle ist ausführlicher im Artikel Sophos Firewall Troubleshooting - Tipps & Tricks für die CLI beschrieben. Für den Neustart einzelner Dienste hilft zusätzlich Sophos Firewall Services neu starten.
Firewall, NAT und Packet Capture
| Funktion | Service / Kontext | Erste Logdatei | Zusätzlich prüfen |
|---|---|---|---|
| Firewall-Regel-Matching | Firewall Rule Engine | firewall_rule.log | Log Viewer Modul Firewall |
| Allgemeine Firewall-Verarbeitung | Firewall Log / Kernel-Pfad | fwlog.log | Packet Capture |
| NAT-Regeln | NAT Rule Engine | nat_rule.log | NAT Rule ID im Log Viewer |
| Packet Capture im WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / ältere Serverpublikation | vhost | vhost.log | NAT und WAF prüfen |
Bei DNAT-Problemen immer Firewall Regel und NAT Regel gemeinsam prüfen. NAT übersetzt nur, erlaubt aber keinen Traffic. Mehr dazu: NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT.
Sophos Firewall nutzt für Firewall-Verbindungen unter anderem IP tables, ARP table, IPset und conntrack. Für QoS beziehungsweise Bandwidth Management kommt IMQ zum Einsatz. Diese Information ist hilfreich, wenn man Logmeldungen oder Supportausgaben mit technischen Begriffen aus dem Linux-Netzwerkpfad sieht.
IPS, Application Control und TLS Inspection
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI und TLS Inspection | DPI Engine | ips.log |
| Antivirus im Netzwerkpfad | avd | avd.log |
| Signatur-Updates | Signature Updater | sig_upgrade.log, sig_update.log |
| Signatur-Migration | Signature Migration | sigmigration.log |
Viele moderne Schutzfunktionen sehen erst genug Details, wenn HTTPS entschlüsselt wird. Wenn TLS Inspection nicht greift, sind Webfilter, Application Control, IPS und Malware Scan je nach Traffic weniger aussagekräftig.
Mehr dazu: TLS Inspection auf Sophos Firewall schrittweise ausrollen.
Web, Proxy, WAF und Webfilter
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | awarrenhttp Access Log | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Wenn Webtraffic im Log Viewer als blockiert erscheint, kann die Ursache in mehreren Modulen liegen: Web Policy, SSL/TLS inspection, Application Control, IPS oder WAF. Darum immer das konkrete Modul im Log Viewer auswählen und zusätzlich die passende Logdatei prüfen.
Sophos blockiert Webseiten der Kategorie highly objectionable criminal activity grundsätzlich und blendet den Domainnamen in Logs und Reports aus. Wenn ein Eintrag in diesem Bereich bewusst anonymisiert wirkt, kann dies also beabsichtigt sein.
VPN
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| IPsec ab SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec ältere Versionen | IPsec Service | ipsec.log |
| IPsec Test Connection | IPsec Test | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| SSL VPN Status | OpenVPN Status | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| VPN Zertifikate | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall verwendet strongSwan für IPsec VPN und OpenVPN für SSL VPN. Bei IPsec-Problemen sind Uhrzeit, Peer-IP, Proposal, Local/Remote Subnets, NAT-T, Routing und Firewall Regeln entscheidend.
Für IPsec-Probleme ist der Artikel Sophos Firewall IPsec Troubleshooting die bessere Schritt-für-Schritt-Anleitung. Wenn es um route-based VPN und manuelle IPsec-Routen geht, hilft IPsec Route auf Sophos Firewall erstellen.
Authentication, User Portal und SSO
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Benutzer-Authentifizierung | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / Access Server Kontext | je nach Dienstkontext und access_server.log |
Bei Benutzerregeln immer zuerst prüfen, ob der Benutzer überhaupt bekannt ist. Wenn Match known users aktiv ist und die Authentifizierung nicht funktioniert, matcht die Regel nicht.
DNS, DHCP und Netzwerk
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / weitere DNS-Komponenten | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Netzwerkdienst | networkd | networkd.log |
| FQDN Hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
DNS- und DHCP-Probleme wirken oft wie Firewall-Probleme. Daher sollten zuerst IP-Adresse, Gateway, DNS-Server und die Frage geprüft werden, ob Clients die Firewall als DNS oder DHCP-Server verwenden sollen.
Wenn interne Domains nicht korrekt aufgelöst werden, ist meistens DNS request routes auf Sophos Firewall konfigurieren relevant. Für DHCP-Sonderoptionen gibt es den eigenen Artikel Sophos Firewall DHCP Options konfigurieren.
Cellular WAN
| Funktion | Was prüfen | Logdatei |
|---|---|---|
| WWAN / USB-Modem | Einstecken und Entfernen von USB-Geräten | mdev.log |
| Modem-Netzwerkkonfiguration | Modembezogene Interfaces und IP-Konfiguration | networkd.log |
| USB, Modem und PPP | Syslog-Meldungen zu USB, Modem und Point-to-Point Protocol | syslog.log |
Bei Cellular-WAN-Problemen sollte man zusätzlich prüfen, ob das Modem erkannt wird, ob PIN/SIM/APN korrekt sind und ob die Firewall ein passendes Gateway erstellt.
Routing
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Bei Routing-Problemen zusätzlich Routing > SD-WAN routes, Gateways und Packet Capture prüfen. Der Policy tester ersetzt keinen echten Routing-Test.
Mehr dazu: Routing-Priorität auf Sophos Firewall anpassen.
GUI, CLI und Systemzugriff
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| WebAdmin Webserver | apache | apache.log, apache_access.log |
| WebAdmin Anwendung | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| GUI/CLI Fehler | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validierung | Config Validation | validation.log, validationError.log |
Wenn WebAdmin oder SSH nicht erreichbar ist, nicht nur diese Logs prüfen. Lokaler Zugriff wird über Administration > Device access und Local Service ACL gesteuert.
Mehr dazu: SSH-Verbindung zur Sophos Firewall herstellen.
Sophos Central, Heartbeat und Central Management
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat zu Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | jeweilige Service-Logs |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | ATR Kontext | je nach Version und Modul |
Bei Central-Problemen zuerst prüfen, ob die Firewall registriert ist, Central Services aktiv sind und ob DNS/HTTPS ausgehend funktioniert.
High Availability
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| HA Status und Konfiguration | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
HA-Logs liegen auf dem Gerät, auf dem sie erzeugt wurden. Für Rohlogs des Auxiliary-Geräts muss man sich direkt auf dieses Gerät verbinden, zum Beispiel über dessen Admin-Port per SSH. Für konsolidierte Reports ist Sophos Central Firewall Reporting praktischer.
Mail und Anti-Spam
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| SMTP Fehler | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Bei Mailproblemen immer prüfen, ob MTA Mode, Firewall Regel, DNS, Zertifikate und Provider-Restriktionen zusammenpassen.
Sophos Firewall verwendet Avira und Sophos Antivirus. Der Anti-Spam-Dienst startet nur, wenn eine eingehende oder ausgehende Spam Policy vorhanden ist. Diese Abhängigkeit ist wichtig, wenn sasi.log leer bleibt oder der Anti-Spam-Service nicht läuft.
Wireless, RED, Hotspot und weitere Dienste
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB-Filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Datenbank und Reporting
| Funktion | Service / Kontext | Logdatei |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Wenn Reports fehlen, langsam sind oder Speicherplatzprobleme auftreten, sind Reporting- und Datenbanklogs relevant. Zusätzlich sollte man prüfen, ob Reports lokal gespeichert oder an Sophos Central gesendet werden.
Praktische Analyse-Reihenfolge
- Problem genau notieren: Uhrzeit, Client, Ziel, Port, User, Aktion.
- Im Log Viewer nach Source IP und Uhrzeit filtern.
- Prüfen, ob Firewall Rule ID und NAT Rule ID sichtbar sind.
- Passende Logdatei mit
tail -fbeobachten. - Problem reproduzieren.
- Wenn nötig Debug kurz aktivieren.
- Packet Capture nutzen, wenn Paketfluss unklar ist.
- Logs sichern, solange der Fehler frisch reproduziert wurde.
Für Supportfälle sollte man ausserdem alle Fehlermeldungen, Reproduktionsschritte und bereits ausgeführten Troubleshooting-Schritte dokumentieren. Genau diese Informationen beschleunigen Supportfälle deutlich.
Weitere Informationen
Die Tabellen in diesem Artikel basieren auf praktischer Erfahrung und der offiziellen Sophos-Übersicht zu Modul-Logdateien. Die offiziellen Quellen sind hier verlinkt: