Naar de inhoud
Avanet

Sophos Firewall logs voor support en analyse opslaan

Sophos Firewall

Bij storingen, VPN-problemen of onduidelijke firewall-events zijn screenshots uit de webinterface vaak niet genoeg. Sophos Support, Avanet of een externe securitypartner heeft meestal de relevante logbestanden van de firewall nodig voor een goede analyse.

Deze handleiding laat zien hoe de logs van Sophos Firewall via Advanced Shell in een archief worden gezet en beschikbaar worden gesteld voor analyse.

Vereisten

Voor deze handleiding is nodig:

  • Administratieve toegang tot Sophos Firewall
  • Toegang tot Advanced Shell
  • Een doelserver of een andere veilige manier om het logarchief over te dragen
  • Voldoende vrije ruimte op de firewall voor het tijdelijke archief

De opdrachten worden direct op de firewall uitgevoerd. Werk zorgvuldig en verwijder geen bestanden als niet duidelijk is waarvoor ze gebruikt worden.

Als shelltoegang nog niet is ingericht, legt de handleiding Sophos Firewall via SSH verbinden uit hoe een SSH-verbinding met de firewall wordt gemaakt.

Advanced Shell openen

Aanmelden op Sophos Firewall en Advanced Shell openen:

  1. Device Management openen.
  2. Advanced Shell selecteren.
  3. Toegang bevestigen als de firewall een extra melding toont.

Na het inloggen is de shell beschikbaar en kunnen de logbestanden worden gearchiveerd.

Gericht logs verzamelen vóór het archiveren

Als een probleem reproduceerbaar is, is het zinvol om het probleem kort vóór het maken van het logarchief opnieuw uit te lokken. Zo staan de relevante regels zo actueel mogelijk in de logbestanden.

Bij complexere problemen zijn normale logs soms niet genoeg. Dan kan het nuttig zijn om vóór het archiveren debuglogging voor de betrokken service te activeren. De pagina Sophos Firewall troubleshooting beschrijft dit in het onderdeel over debuglogs.

Ons overzicht Sophos Firewall troubleshooting: services en logs vat samen welk logbestand bij welk firewallmodule hoort. Deze lijst helpt bepalen of VPN-, IPS-, web-, mail-, GUI- of systeemlogs relevant zijn.

Alle logbestanden opslaan

Controleer vóór het maken van het archief of er onder /var voldoende vrije ruimte is:

df -h /var

Maak daarna een gecomprimeerd archief van de map /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

De opdracht maakt:

/var/Sophos-Firewall-Logs.tar.gz

Belangrijke onderdelen van de opdracht:

  • tar maakt een archief.
  • -c maakt een nieuw archief.
  • -v toont verwerkte bestanden.
  • -z comprimeert met gzip.
  • -f bepaalt de bestandsnaam van het archief.
  • -C / wisselt voor de archiefactie naar de rootmap.
  • log is de map met de Sophos Firewall-logbestanden.

Het voordeel van -C / is dat de opdracht onafhankelijk van de huidige werkmap werkt. Een voorafgaande cd / is niet nodig. Als het bestand al bestaat, wordt het overschreven.

Afhankelijk van de loggrootte en belasting van de firewall kan het maken van het archief even duren. De uitvoer van tar toont welke bestanden in het archief worden geschreven.

Controleer daarna de grootte van het archief:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Logarchief naar een Linux-server kopiëren

Als een Linux-server via SSH bereikbaar is, kan het archief met scp worden overgedragen.

Voorbeeld:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Pas IP-adres, gebruiker en doelpad aan de eigen omgeving aan.

Na overdracht staat het archief op de doelserver:

/root/Sophos-Firewall-Logs.tar.gz

Van daaruit kan het intern gedeeld worden of beschikbaar worden gesteld aan Sophos Support of Avanet.

IPsec-diagnosedata apart opslaan

Bij VPN- of IPsec-problemen kunnen ook de IPsec-verbindingsgegevens uit /tmp/ipsec/connections/ nuttig zijn.

Maak hiervoor een apart archief:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Controleer het gemaakte bestand:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Ook dit archief kan met scp worden overgedragen:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Bij IPsec-fouten is het zinvol om dit archief samen met de normale firewalllogs aan te leveren, zodat tunnelstatus, verbindingsinformatie en logregels samen geanalyseerd kunnen worden.

Veiligheid en gegevensbescherming

Logbestanden kunnen gevoelige informatie bevatten, bijvoorbeeld:

  • Publieke en interne IP-adressen
  • Gebruikersnamen
  • Hostnamen
  • VPN-informatie
  • Foutmeldingen met technische details
  • Informatie over interne netwerkstructuren

Verstuur logarchieven alleen via veilige kanalen en deel ze alleen met personen of organisaties die bij de analyse betrokken zijn. Voordat logs naar een externe partner worden gestuurd, moet intern duidelijk zijn of dit volgens de eigen privacy- en securityrichtlijnen is toegestaan.

Tijdelijke archieven verwijderen

Nadat het archief succesvol is overgedragen, moet het van de firewall worden verwijderd om schijfruimte vrij te maken:

rm /var/Sophos-Firewall-Logs.tar.gz

Als er ook een apart IPsec-archief is gemaakt, verwijder dat eveneens:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Controleer vóór het verwijderen of de bestanden succesvol op het doelsysteem zijn aangekomen.