Naar de inhoud
Avanet

Sophos Firewall-logs veiligstellen voor ondersteuning en analyse

Bij storingen, VPN-problemen of onduidelijke firewall-gebeurtenissen zijn afzonderlijke schermafbeeldingen van de webinterface vaak niet voldoende. Voor een grondige analyse heeft een ondersteuningsgeval duidelijke tijdsaanduidingen, passende logbestanden en soms ook een packet capture nodig.

Deze handleiding beschrijft hoe je de logs van een Sophos Firewall via de Advanced Shell in een archief kunt plaatsen en veilig kunt aanbieden voor Sophos Support, Avanet of een externe analyse. Het proces vervangt niet de eerste afbakening in de Log Viewer. Als nog onduidelijk is welk module is getroffen, helpt eerst het overzicht Sophos Firewall Troubleshooting: Services en Logs.

Welke troubleshooting-artikel past?

Het logarchief is slechts een hulpmiddel bij het oplossen van problemen. Afhankelijk van het foutbeeld is een andere benadering sneller:

Deze scheiding bespaart tijd. Een volledig logarchief helpt bij dienst- en ondersteuningsanalyses, maar vervangt geen reproduceerbare testgeval in de Log Viewer en geen gerichte packet capture.

Welke gegevens heeft de ondersteuning nodig?

Niet elk probleem vereist onmiddellijk een volledig logarchief. Hoe duidelijker de fout is afgebakend, hoe kleiner en nuttiger de gegevens worden.

  • Firewall-regel of NAT-regel werkt onverwacht: Tijdstip, bron-IP, bestemmings-IP, regel-ID, NAT-ID, Log Viewer-export en indien nodig Packet Capture.
  • Dienst start niet of WebAdmin toont fouten: Logarchief uit /log, getroffen dienst, tijdstip en laatste configuratiestap.
  • IPsec-tunnel bouwt niet op of valt uit: normaal logarchief, IPsec-diagnosegegevens, peer-IP, lokale en externe netwerken, tijdstip van de verbindingspoging.
  • Verkeer bereikt de bestemming niet: Log Viewer, Packet Capture of bij langere analyses tcpdump-PCAP.
  • Probleem na configuratiewijziging: Audit Trail, ongeveer tijdstip van wijziging, betrokken beheerder en getroffen objecten.

Voor veel tickets is de combinatie van probleemtijdstip, korte foutbeschrijving, logarchief en een gerichte aanvullende bewijsvoering beter dan een zeer breed gegevenspakket zonder context. Als een officieel Sophos-ticket wordt aangemaakt, is Sophos Supportticket openen: Voorbereiding en Portal ook nuttig.

Vereisten

Voor deze handleiding heb je nodig:

  • Administratieve toegang tot de Sophos Firewall
  • Toegang tot de Advanced Shell
  • Een doelserver of een andere veilige manier om het logarchief over te dragen
  • Voldoende vrije schijfruimte op de firewall voor het tijdelijke archief

De commando’s worden direct op de firewall uitgevoerd. Werk daarom zorgvuldig en verwijder geen bestanden als je niet zeker weet waarvoor ze worden gebruikt.

Als de toegang tot de shell nog niet is ingesteld, legt de handleiding Sophos Firewall verbinden via SSH uit hoe je een SSH-verbinding met de firewall maakt.

⚠️ Logarchieven en PCAP-bestanden kunnen gevoelige informatie bevatten. Dergelijke bestanden moeten slechts kort op de firewall blijven, veilig worden overgedragen en na succesvolle overdracht weer worden verwijderd.

Advanced Shell openen

Meld je aan bij de Sophos Firewall en open de Advanced Shell:

  1. Open Device Management.
  2. Selecteer Advanced Shell.
  3. Bevestig de toegang als de firewall een extra vraag toont.

Na het inloggen bevind je je op de shell van de firewall. Van daaruit kunnen de logbestanden worden gearchiveerd.

Voordat je logs veiligstelt, gericht logs verzamelen

Als een probleem reproduceerbaar is, moet het indien mogelijk direct voor het archiveren van de logs opnieuw worden veroorzaakt. Hierdoor komen de relevante vermeldingen zo actueel mogelijk in de logbestanden terecht.

Bij complexere problemen zijn de normale logs soms niet voldoende. In dat geval kan het nuttig zijn om voor de getroffen dienst een debug-log te activeren voordat je archiveert. Hoe dat werkt, wordt beschreven in de sectie Debug-log gericht activeren.

Welke logbestand bij welk firewall-module hoort, is samengevat in Sophos Firewall Troubleshooting: Services en Logs. Dit overzicht is nuttig als je gericht wilt controleren of voor een probleem eerder VPN-, IPS-, Web-, Mail-, GUI- of systeemlogs relevant zijn.

Als niet een dienstprobleem, maar de pakketstroom zelf onduidelijk is, is een logarchief alleen vaak niet genoeg. Voor korte tests is Packet Capture in WebAdmin geschikt. Voor PCAP-bestanden, langere opnames of ondersteuningsanalyses is tcpdump op de Sophos Firewall het juiste hulpmiddel.

Alle logbestanden veiligstellen

Voordat je archiveert, moet je controleren of er voldoende vrije schijfruimte is onder /var:

df -h /var

Maak vervolgens een gecomprimeerd archief met de bestanden uit de map /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Het commando maakt het bestand aan:

/var/Sophos-Firewall-Logs.tar.gz

De belangrijkste onderdelen van het commando:

  • tar maakt een archief.
  • -c maakt een nieuw archief.
  • -v toont de verwerkte bestanden.
  • -z comprimeert het archief met gzip.
  • -f geeft de bestandsnaam van het archief aan.
  • -C / wisselt voor het archiveren naar de root-directory.
  • log is de map met de logbestanden van de Sophos Firewall.

Het voordeel van -C / is dat het commando onafhankelijk van de huidige werkdirectory werkt. Een voorafgaande cd / is daardoor niet nodig. Als het bestand al bestaat, wordt het door het commando overschreven.

Afhankelijk van de grootte en belasting van de firewall kan het archiveren enige tijd duren. De uitvoer van tar toont ondertussen welke bestanden in het archief worden geschreven.

Vervolgens kan de archiefgrootte worden gecontroleerd:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Daarnaast moet je kort controleren of het archief leesbaar is en daadwerkelijk de logdirectory bevat:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

De uitvoer moet paden onder log/ tonen. Als het commando een fout meldt of het archief ongewoon klein is, moet het archief niet worden doorgegeven. Controleer dan eerst de vrije schijfruimte, schrijfrechten en de vorige tar-uitvoering.

Logarchief naar een Linux-server kopiëren

Als een Linux-server via SSH bereikbaar is, kan het archief met scp worden overgedragen.

Voorbeeld:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

De IP-adres, gebruiker en doelpad moeten worden aangepast aan de eigen omgeving.

Na de overdracht ligt het archief op de doelserver onder:

/root/Sophos-Firewall-Logs.tar.gz

Van daaruit kan het intern worden doorgegeven of beschikbaar worden gesteld aan de Sophos Support of Avanet.

IPsec-diagnosegegevens apart veiligstellen

Bij VPN- of IPsec-problemen kunnen de IPsec-verbindingsgegevens uit /tmp/ipsec/connections/ nuttig zijn.

Maak hiervoor een apart archief aan:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Ook hier kan het aangemaakte bestand kort worden gecontroleerd:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Dit archief kan ook met scp naar een doelserver worden gekopieerd:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Bij IPsec-fouten is het zinvol om dit archief samen met de normale firewall-logs aan te bieden, zodat tunnelstatus, verbindingsinformatie en logvermeldingen gezamenlijk kunnen worden geëvalueerd.

Logarchief, Central Reporting of Syslog?

Een lokaal logarchief beantwoordt een andere vraag dan Central Reporting of Syslog.

  • Logarchief uit /log: Ondersteuningsgeval, dienstfout, VPN-debug, lokale detailanalyse. Momentopname van de lokale firewall.
  • Central Firewall Reporting: Rapporten, geschiedenis en zoekopdrachten in Sophos Central. geen vervanging voor volledige lokale ondersteuningslogs.
  • Syslog of SIEM: eigen langdurige opslag, correlatie en SOC-processen. vereist parser, werking en vooraf geactiveerde logging.
  • Audit Trail Logs: Volgen van configuratiewijzigingen. geen pakketstroom- of dienstanalyse.

Voor een acuut ondersteuningsgeval is het lokale logarchief vaak nog steeds nodig, zelfs als Central Reporting of Syslog actief is. Omgekeerd moet je voor langdurige opslag niet hopen dat lokale logs op de firewall later nog volledig aanwezig zijn.

Packet captures apart behandelen

Logarchieven en packet captures zijn verschillende bewijsmiddelen. Het logarchief toont dienstmeldingen, fouten, VPN-statussen en systeemgebeurtenissen. Een Packet Capture of tcpdump toont daarentegen of pakketten echt aankomen, worden doorgestuurd of dat antwoorden ontbreken.

Voor ondersteuningsgevallen moet je packet captures niet ongefilterd meesturen. Beter is:

  1. Testgeval met bron-IP, bestemmings-IP, poort, protocol en tijdstip noteren.
  2. Eerst Log Viewer en WebAdmin Packet Capture controleren, als dat voldoende is.
  3. Alleen indien nodig een beperkte tcpdump-opname als PCAP maken.
  4. PCAP-bestand veilig overdragen.
  5. PCAP-bestand na succesvolle overdracht van de firewall verwijderen.

Het PCAP-bestand hoort niet in het /log-archief, maar wordt apart aangemaakt en overgedragen. Hierdoor blijft duidelijk welke bestand service-logs bevat en welke bestand netwerkpakketten bevat.

Veiligheid en gegevensbescherming

Logbestanden kunnen gevoelige informatie bevatten, zoals:

  • Publieke en interne IP-adressen
  • Gebruikersnamen
  • Hostnamen
  • VPN-informatie
  • Foutmeldingen met technische details
  • Informatie over interne netwerkstructuren

Logarchieven moeten daarom alleen via veilige kanalen worden overgedragen en alleen aan personen of organisaties worden verstrekt die bij de analyse betrokken zijn. Als logs naar een externe partner worden verzonden, moet intern eerst worden vastgesteld of de overdracht volgens de eigen gegevensbeschermings- en beveiligingsrichtlijnen is toegestaan.

Tijdelijke archieven weer verwijderen

Nadat het archief succesvol is overgedragen, moet het van de firewall worden verwijderd om onnodige schijfruimte te besparen:

rm /var/Sophos-Firewall-Logs.tar.gz

Als ook een apart IPsec-archief is aangemaakt, moet dit ook worden verwijderd:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Controleer voor het verwijderen of de bestanden succesvol op het doelsysteem zijn aangekomen.

Checklist voor ondersteuningsgevallen

  • Probleem kort beschreven: Wat werkt niet, sinds wanneer, hoe vaak?
  • Exacte tijdstip met tijdzone genoteerd.
  • Betrokken bron-IP, bestemmings-IP, gebruiker, dienst of tunnelnaam genoteerd.
  • Relevant module in Log Viewer gecontroleerd.
  • Indien nodig: Debug alleen kort geactiveerd en weer gedeactiveerd.
  • Logarchief uit /log aangemaakt.
  • Bij IPsec-problemen daarnaast IPsec-diagnosegegevens veiliggesteld.
  • Bij pakketstroomproblemen Packet Capture of tcpdump apart aangemaakt.
  • Archief met tar -tzf kort op leesbaarheid gecontroleerd.
  • Archief en PCAP alleen via veilige kanalen overgedragen.
  • Tijdelijke bestanden op de firewall na succesvolle overdracht verwijderd.

FAQ

Is een screenshot uit de Log Viewer voldoende voor de Sophos Support?

Voor eenvoudige gevallen kan een screenshot helpen. Bij complexe fouten zijn logbestanden, nauwkeurige tijdsaanduidingen en afhankelijk van het probleem een Packet Capture of tcpdump-opname veelzeggender.

Moet je altijd alle Sophos Firewall-logs veiligstellen?

Niet altijd. Als het probleem duidelijk is afgebakend, volstaan vaak gerichte logs en de exacte periode. Voor ondersteuningsgevallen is een volledig /log-archief echter vaak zinvol, omdat meerdere diensten met elkaar verbonden kunnen zijn.

Hoort een PCAP-bestand in het logarchief?

Nee. PCAP-bestanden worden apart met Packet Capture of tcpdump aangemaakt en apart overgedragen. Hierdoor blijven service-logs en packet captures duidelijk gescheiden.

Vervangt Central Reporting een lokaal logarchief?

Nee. Central Reporting is nuttig voor geschiedenis, zoekopdrachten en rapporten in Sophos Central. Voor ondersteuningsgevallen of dienstanalyse heb je vaak nog steeds lokale logbestanden uit /log nodig, omdat daar gedetailleerde module- en service-informatie ligt.

Hoe controleer je of het logarchief is aangemaakt?

Controleer eerst met ls -lh /var/Sophos-Firewall-Logs.tar.gz of het bestand bestaat en plausibel groot is. Daarna kun je met tar -tzf /var/Sophos-Firewall-Logs.tar.gz controleren of het archief leesbaar is en bestanden onder log/ bevat.