Warenkorb

keine Produkte im Warenkorb

Sophos Firewall Troubleshooting – Tipps & Tricks für die CLI

Als IT-Administrator, der für die Verwaltung der Sophos Firewall verantwortlich ist, ist eine tiefgehende Kenntnis der Command Line Interface (CLI) unerlässlich. Die CLI bietet leistungsstarke Tools und Befehle, mit denen man nicht nur effizient durch die Systemverzeichnisse navigieren, sondern auch detaillierte Analysen und Fehlerbehebungen durchführen kann. In diesem Artikel zeigen wir, wie man die CLI der Sophos Firewall optimal nutzt, um Logs zu durchsuchen, Netzwerkverbindungen zu überwachen, Dateien sicher zu übertragen und Services im Debug-Modus zu starten. Diese Anleitung wird Ihnen helfen, die wichtigsten Befehle zu verstehen und sie gezielt in Ihrer täglichen Arbeit einzusetzen.


In der Sophos Shell kann man die Verzeichnisstruktur durch einfache Linux-Befehle durchsuchen. Um sich beispielsweise im Verzeichnis /log die vorhandenen Log-Dateien anzeigen zu lassen, kann man den folgenden Befehl verwenden:

cd /log
ls -la
  • cd /log: Wechselt in das Verzeichnis /log, in dem sich die Log-Dateien der Sophos Firewall befinden.
  • ls -la: Listet alle Dateien im aktuellen Verzeichnis detailliert auf, einschliesslich versteckter Dateien. Das -l zeigt detaillierte Informationen wie Dateigrösse und Zeitstempel an, während -a alle Dateien einschliesslich der versteckten auflistet.
Sophos Firewall - Advanced Shell -ls -la im Log Verzeichnis
Sophos Firewall – Advanced Shell -ls -la im Log Verzeichnis

Um die Dateien nach Grösse sortiert anzuzeigen, kann man den Befehl ls wie folgt erweitern:

ls -lSrh
  • -lSrh: Diese Optionen listen die Dateien in detaillierter Form auf, sortiert nach Grösse (-S) und in einer lesbaren Form (-h für “human-readable”).

Logs anzeigen und durchsuchen

Das Durchsuchen und Analysieren von Log-Dateien ist eine der häufigsten Aufgaben in der Fehlerbehebung. Hierfür sind die Befehle cat, tail und grep äusserst nützlich.

tail – Log in Echtzeit überwachen

Um die Inhalte einer Log-Datei in Echtzeit zu verfolgen, kann man den Befehl tail verwenden:

tail -f smtpd_main.log
  • tail -f: Zeigt die letzten Zeilen der Datei smtpd_main.log an und aktualisiert sie in Echtzeit, wenn neue Einträge hinzukommen.

grep – Logs filtern

Um nach einem bestimmten Begriff, z.B. einer Domain oder E-Mail-Adresse, in einer Log-Datei zu suchen, kann man grep verwenden:

cat smtpd_main.log | grep "avanet.com"

Oder man möchte in Echtzeit das IPsec Log überwachen und Einträge einer IP-Adresse anzeigen

tail -f strongswan.log | grep 46.33.21.12
  • grep: Durchsucht die Datei smtpd_main.log nach Zeilen, die den Begriff “avanet.com” enthalten.

Weitere nützliche Optionen für grep:

  • -i: Ignoriert die Gross- und Kleinschreibung bei der Suche.
  • -n: Zeigt die Zeilennummern der Treffer an.
  • -m 1: Beendet die Suche nach dem ersten Treffer.

Conntrack und TCP Dump

Die Sophos Firewall bietet leistungsstarke Tools zur Analyse von Netzwerkverbindungen und -verkehr.

Conntrack

Mit conntrack kann man aktive Verbindungen überwachen:

conntrack -L | grep "10.128.138.150"
  • conntrack -L: Listet alle aktiven Verbindungen auf der Firewall auf.
  • grep „IP-Adresse“: Filtert die Verbindungen, die mit der angegebenen IP-Adresse in Verbindung stehen.

tcpdump

Um Netzwerkverkehr direkt zu analysieren, kann man tcpdump verwenden:

tcpdump -i any port 80
  • tcpdump -i any: Überwacht den gesamten Netzwerkverkehr auf allen Interfaces.
  • port 80: Filtert den Verkehr, der über Port 80 (HTTP) läuft.

Das Thema tcpdump wird in einem eigenen Artikel behandelt, da es sehr umfangreich ist: Sophos Firewall – Logs mit TCPDump für Analyse sammeln

Dateien herunterladen und hochladen

Um Dateien von der Firewall herunterzuladen, kann man Tools wie WinSCP verwenden oder auf macOS eignet auch Cyberduck. Zunächst muss sichergestellt sein, dass SSH-Zugriff auf die Firewall erlaubt ist. Dann kann man sich mit dem Tool natürlich nicht verbinden und Dateien bequem zu übertragen.

Zum Hochladen von Dateien auf einen FTP-Server kann man ftpput verwenden:

ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
  • ftpput: Überträgt eine Datei zu einem FTP-Server.
  • -u username -p password: Authentifiziert sich mit den angegebenen FTP-Anmeldedaten.
  • ftp.server.com: Adresse des FTP-Servers.
  • /path/to/upload/file.log: Pfad zur lokalen Datei, die hochgeladen werden soll.

Alternativ kann man auch den curl Befehl verwenden, um Dateien auf einen FTP zu laden:

curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}

Liste aller Firewall Services und dessen Logs

Sophos hat eine hervorragende Liste, auf welcher alle Services und auch die dazu passenden Logs gelistet sind: Sophos KB: Log file details.

Firewall Services auflisten

Dieser Advanced Shell Befehl listet alle aktiven Services und deren Status auf:

service -S

Oder man benötigt nur den Status von einem einzelnen Dienst. Der Status eines Services kann man ebenfalls mit service -S in Kombination mit grep überprüfen:

service -S | grep strongswan

Dieser Befehl tut dasselbe jedoch auf der Firewall Console:

system diagnostics show subsystem-info 

Debug Log

Der Debug-Modus ist essenziell, wenn normale Logs nicht genügend Informationen liefern, um ein Problem zu verstehen. Im Vergleich zum normalen Log-Modus, der nur grundlegende Ereignisse und Fehlermeldungen aufzeichnet, bietet der Debug-Modus eine tiefere, detaillierte Protokollierung. Er erfasst umfassendere Daten und interne Prozesse, die im normalen Betrieb nicht sichtbar sind. Dadurch kann man komplexe oder seltene Fehler präzise identifizieren, was besonders bei der Diagnose von Problemen hilfreich ist, die im normalen Log-Modus übersehen werden könnten.


Um einen bestimmten Service im Debug-Modus zu starten, kann man den folgenden Befehl verwenden:

service ips:debug -ds nosync

Um den Debug Modus wieder zu beenden, damit das Log nicht die Festplatte füllen kann, sollte man diesen nach einiger Zeit wieder deaktivieren:

service ips:debug -ds nosync
Sophos Firewall - Advanced Shell - Debug Mode
Sophos Firewall – Advanced Shell – Debug Mode

Das Thema Services und neu starten, haben wir in diesem Artikel nochmals genauer beschrieben: Sophos Firewall Services neu starten

Letzte Worte

Die Navigation und das Arbeiten auf der Sophos Shell mag zunächst komplex erscheinen, aber mit den richtigen Befehlen kann man schnell und effizient Probleme identifizieren und beheben. Diese Anleitung soll helfen, die wichtigsten Befehle zu verstehen und effektiv einzusetzen. Eine solide Kenntnis der CLI kann die Fähigkeit zur Problemlösung erheblich verbessern, alternativ steht unser Support natürlich ebenfalls zur Verfügung.