Naar de inhoud
Avanet

Central Firewall Reporting op Sophos Firewall

Met Central Firewall Reporting stuurt de Sophos Firewall geselecteerde loggegevens naar Sophos Central. Daardoor kun je reports centraal analyseren, bewaren en indien nodig met andere personen delen.

Deze handleiding toont hoe je Central Reporting activeert, welke punten je vooraf moet controleren en hoe je nagaat of loggegevens in Sophos Central aankomen.

Wanneer Central Firewall Reporting nuttig is

Central Firewall Reporting is vooral nuttig wanneer meerdere firewalls worden beheerd of wanneer reports regelmatig moeten worden geëvalueerd.

Typische voorbeelden:

  • Centraal overzicht over meerdere firewalls.
  • Regelmatige reports voor management of beheer.
  • Analyse van web-, application-, IPS-, VPN- of netwerkevents.
  • Langere bewaartermijn en eenvoudiger zoeken in loggegevens.
  • Ondersteuning bij troubleshooting en security reviews.

Voor een pure live-analyse direct op de firewall volstaan vaak de lokale logs. Voor langere evaluaties is Central Reporting duidelijk comfortabeler.

Vereisten

Controleer voor de activering:

  • De firewall is in Sophos Central geregistreerd.
  • De firewall heeft internettoegang tot de benodigde Sophos-diensten.
  • DNS en tijdsynchronisatie werken correct.
  • De gebruikte licentie ondersteunt de gewenste reporting-functie.
  • De firewall is zichtbaar in Sophos Central.

Als de firewall nog niet in Sophos Central is geregistreerd, moet dat eerst gebeuren. Zonder registratie kan Central Firewall Reporting niet worden geactiveerd.

Central Reporting activeren

Central Firewall Reporting wordt op twee plaatsen geactiveerd: eerst op de firewall en daarna in Sophos Central.

  1. Meld je aan bij de WebAdmin van de Sophos Firewall.
  2. Open System > Sophos Central.
  3. Controleer onder Sophos Central registration of de firewall geregistreerd is.
  4. Als de firewall nog niet geregistreerd is, klik je op Register en meld je je aan met het juiste Sophos Central-account.
  5. Activeer Sophos Central services of klik op Configure als de dienst al actief is.
  6. Activeer Send reports and logs to Sophos Central.
  7. Optioneel: activeer Manage from Sophos Central als de firewall ook centraal beheerd moet worden.
  8. Optioneel: activeer Send configuration backups to Sophos Central als configuratiebackups centraal moeten worden opgeslagen.
  9. Klik op Apply.
Sophos Firewall - Sophos Central services met Send reports and logs to Sophos Central activeren
Sophos Firewall - System > Sophos Central > Sophos Central services

Na het opslaan moet de dienst in Sophos Central worden bevestigd:

  1. Meld je aan bij Sophos Central.
  2. Open My Products > Firewall Management > Firewalls.
  3. Zoek de firewall met status of symbool Approval pending.
  4. Klik op Accept services.

Sophos beschrijft dit proces ook in de officiële handleiding Turn on firewall reporting.

Na activering maakt de firewall automatisch een Syslog-entry voor Central reporting aan en begint loggegevens naar Sophos Central te verzenden. Volgens Sophos verstuurt de firewall de gegevens minstens elke vijf minuten. Daarna worden de gegevens in Sophos Central verwerkt, wat opnieuw enkele minuten kan duren.

Welke gegevens worden verzonden

Welke logtypes naar Sophos Central worden verzonden, definieer je direct op de firewall.

Het menupad is Configure > System services > Log settings.

Onder Log settings is er een aparte kolom Central reporting. Daar kun je per logtype bepalen of deze log lokaal, naar Central of naar beide doelen wordt verzonden.

Typische onderdelen zijn:

  • Firewallregels.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Systeemevents.
Sophos Firewall - Log settings met kolom Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Niet elke omgeving hoeft alle gegevens naar Sophos Central te sturen. In productieomgevingen moet je bepalen welke logtypes echt nodig zijn en of interne privacy- of compliance-eisen worden nageleefd.

⚠️ Hoe meer logtypes naar Sophos Central worden verzonden, hoe sneller de beschikbare opslag wordt gebruikt. Voor productieomgevingen moet je bewust bepalen welke logs voor beheer, security en compliance echt nodig zijn.

Hoe lang Sophos de logs bewaart

De bewaartermijn hangt af van licentie en beschikbare opslag. Belangrijk: de grens die het eerst wordt bereikt, is bepalend. Als de opslag vol is, worden oudere gegevens volgens het FIFO-principe verwijderd.

Licentie / variantBewaartermijnOpmerking
Central Firewall Reporting zonder extra Reporting-licentieTot 7 dagenBeschikbaar met actieve firewall-subscription. De opslag is modelafhankelijk en beperkt.
Xstream Protection BundleTot 30 dagenSophos noemt dit beperkte Central-Firewall-Reporting-Advanced-rechten.
Sophos Central Firewall Reporting AdvancedTot 365 dagenPer licentie is 100 GB extra opslag beschikbaar. Meerdere licenties kunnen afhankelijk van de behoefte worden gestapeld.

Sophos documenteert de details onder Firewall reporting storage by firewall model en in de Firewall reporting FAQs.

De licentie Sophos Central Firewall Reporting Advanced is verkrijgbaar bij Avanet: Sophos Central Firewall Reporting Advanced. De datasheet beschrijft Central Firewall Reporting daarnaast als cloudgebaseerde reporting met zoekfunctie, reports en tot 365 dagen bewaartermijn: Sophos Central Firewall Reporting datasheet.

Aankomst van logs controleren

Na activering verschijnen de gegevens niet altijd meteen in Sophos Central. Reken op enkele minuten vertraging.

Controleer daarna:

  1. Meld je aan bij Sophos Central.
  2. Open My Products > Firewall Management > Report Hub.
  3. Selecteer de betrokken firewall.
  4. Controleer of actuele events zichtbaar zijn.
  5. Maak als test een eenvoudig report.
Sophos Central - Firewall reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Als er geen gegevens zichtbaar zijn, controleer dan eerst verbinding, licentie en loginstellingen.

Reports gebruiken

Sophos Central kan reports weergeven, filteren en afhankelijk van de licentie ook plannen.

Zinvolle reports voor beheer:

  • Top geblokkeerde applicaties.
  • Webcategorieën met veel traffic.
  • VPN-verbindingen.
  • IPS-events.
  • Topregels op basis van hits.
  • Evaluaties per gebruiker of host.

Voor terugkerende operationele controles kun je reports plannen of als template opslaan.

Troubleshooting

Geen gegevens in Sophos Central

Controleer of de firewall online is en met Sophos Central kan communiceren. Daarnaast moeten DNS, standaardgateway en tijdsynchronisatie worden gecontroleerd.

Slechts enkele logtypes ontbreken

Controleer de lokale loginstellingen van de firewall. Als een onderdeel lokaal niet wordt gelogd, kan het ook niet zinvol naar Central Reporting worden verzonden.

Reports tonen oude gegevens

Central Reporting werkt niet altijd realtime. Controleer de geselecteerde periode in het report en wacht enkele minuten voordat je de configuratie opnieuw wijzigt.

Te veel of te weinig gegevens

Pas de logselectie en de filters in Sophos Central aan. Voor audits of supportcases kan het zinvol zijn meer gegevens te verzamelen. Voor normaal beheer volstaan vaak gerichte reports.

Logs voor supportcases veiligstellen

Central Reporting vervangt niet elke lokale loganalyse. Als Sophos Support of Avanet een volledige lokale logverzameling nodig heeft, kun je de firewalllogs aanvullend exporteren.

Zie ook: Sophos Firewall Logs voor support of analyse veiligstellen

Aanbeveling

Activeer Central Firewall Reporting vooral bij meerdere firewalls of wanneer reports regelmatig nodig zijn. Voor troubleshooting is het nuttig om lokale logs en Central Reporting samen te gebruiken: Central voor overzicht en historie, lokale logs voor detailanalyse direct op de firewall.