Sophos Firewall troubleshooting: services en logs
Bij Sophos Firewall zijn er twee belangrijke lagen voor troubleshooting: events in Log viewer en service- of logbestanden op de firewall. Log Viewer is ideaal voor snelle vragen, bijvoorbeeld of een verbinding is toegestaan of geblokkeerd. De bestanden onder /log zijn belangrijker wanneer een service niet start, een VPN-tunnel instabiel is, webfiltering onverwacht werkt of support gedetailleerde data nodig heeft.
Dit artikel koppelt de belangrijkste services en logbestanden aan typische adminproblemen. Het helpt ook wanneer in het dashboard, in Advanced Shell of in een supportcase een technische servicenaam verschijnt en niet direct duidelijk is welke firewallfunctie daarachter zit. Namen zoals zebra, warren, awed, garner of strongswan zijn in de praktijk niet vanzelfsprekend.
Log Viewer of logbestand?
Log viewer wordt rechtsboven in de WebAdmin-console geopend. Deze vernieuwt automatisch, kan filteren op module, tijd, veldwaarden en vrije tekst, en kan logs als CSV exporteren.
Troubleshooting-logs staan op de firewall in de map /log. Toegang kan via de WebAdmin-console of via SSH. Voor korte controles werkt Device Management > Advanced Shell in de browser, maar in de praktijk is SSH meestal prettiger, stabieler en beter geschikt voor langere tail-, grep- of less-sessies. Veilige SSH-voorbereiding staat beschreven in Verbinding maken met Sophos Firewall via SSH.
- Verbinden via SSH of in WebAdmin Device Management > Advanced Shell openen.
- Naar de logmap gaan.
cd /log
Handige commando’s:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
De belangrijkste Advanced Shell-commando’s:
| Commando | Voorbeeld | Doel |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | toont nieuwe logregels live |
less /log/<logfilename>.log | less /log/ips.log | opent een statisch logbestand om te lezen |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | zoekt naar een trefwoord in een logbestand |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | start, stopt, herstart of activeert debug voor een service |
Als logs voor support of externe analyse moeten worden veiliggesteld, helpt Sophos Firewall logs voor externe analyse opslaan.
Advanced Shell of Device Console?
Sophos Firewall heeft twee verschillende console-omgevingen die vaak worden verward:
| Omgeving | Gebruik |
|---|---|
| Device Console | Sophos CLI voor firewall-specifieke commando’s, bijvoorbeeld routing-prioriteit, IPsec-routes of systeemopties |
| Advanced Shell | Linux-achtige shell voor bestandssysteem, logbestanden, tail, grep, less, service -S, service-herstarts en debugcommando’s |
Niet elk commando werkt in beide omgevingen. Als een artikel expliciet Device Console noemt, hoort het commando daar te worden uitgevoerd. Gaat het om /log, tail -f, grep, service -S of debug logging, dan wordt meestal Advanced Shell bedoeld.
Dit onderscheid is belangrijk, omdat veel fouten ontstaan doordat een correct commando op de verkeerde plaats wordt ingevoerd.
Logging moet actief zijn
Niet alle verwachte informatie verschijnt automatisch.
- In firewallregels moet Log firewall traffic actief zijn.
- In SSL/TLS inspection rules moet logging actief zijn.
- Onder System services > Log settings wordt bepaald welke logtypen lokaal worden opgeslagen, naar Sophos Central gaan of naar syslog worden gestuurd.
Voor langdurige bewaartermijnen is een syslog-server of Sophos Central Firewall Reporting zinvol. Sophos Firewall kan tot vijf externe syslog-servers configureren. Central Firewall Reporting telt ook mee binnen deze limiet.
Meer informatie: Central Firewall Reporting activeren.
Debug alleen gericht inschakelen
Debug logging is zeer nuttig, maar genereert veel data en kan opslagruimte verbruiken. Debug moet alleen voor de relevante service worden ingeschakeld. Daarna wordt het probleem gereproduceerd en debug weer uitgeschakeld.
Voorbeeld:
service ips:debug -ds nosync
service ips:debug -ds nosync off
De exacte syntax hangt af van de service. Als de betrokken service onduidelijk is, moet eerst het normale logbestand worden gecontroleerd.
Debug logging en basis-CLI-commando’s worden uitgebreider uitgelegd in Sophos Firewall troubleshooting - CLI tips en tricks. Voor het herstarten van losse services helpt Sophos Firewall services herstarten.
Firewall, NAT en Packet Capture
| Functie | Service / context | Eerste logbestand | Ook controleren |
|---|---|---|---|
| Firewallregel-matching | Firewall Rule Engine | firewall_rule.log | Log Viewer-module Firewall |
| Algemene firewallverwerking | Firewall log / kernelpad | fwlog.log | Packet Capture |
| NAT-regels | NAT Rule Engine | nat_rule.log | NAT Rule ID in Log Viewer |
| Packet Capture in WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / oudere serverpublicatie | vhost | vhost.log | NAT en WAF |
Bij DNAT-problemen altijd firewallregel en NAT-regel samen controleren. NAT vertaalt alleen, maar staat geen verkeer toe. Meer hierover: NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.
Sophos Firewall gebruikt onder meer IP tables, ARP table, IPset en conntrack voor firewallverbindingen. Voor QoS of Bandwidth Management wordt IMQ gebruikt. Dit helpt wanneer logmeldingen of supportoutput technische termen uit het Linux-netwerkpad bevatten.
IPS, Application Control en TLS Inspection
| Functie | Service / context | Logbestand |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI en TLS Inspection | DPI Engine | ips.log |
| Antivirus in het netwerkpad | avd | avd.log |
| Signature updates | Signature Updater | sig_upgrade.log, sig_update.log |
| Signature migration | Signature Migration | sigmigration.log |
Veel moderne beveiligingsfuncties zien pas genoeg details wanneer HTTPS wordt ontsleuteld. Als TLS Inspection niet werkt, zijn Web Filter, Application Control, IPS en Malware Scan afhankelijk van het verkeer minder betekenisvol.
Meer hierover: TLS Inspection op Sophos Firewall stapsgewijs uitrollen.
Web, proxy, WAF en webfilter
| Functie | Service / context | Logbestand |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | awarrenhttp access log | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Als webverkeer in Log Viewer als geblokkeerd verschijnt, kan de oorzaak in meerdere modules liggen: Web Policy, SSL/TLS inspection, Application Control, IPS of WAF. Selecteer daarom altijd de concrete module in Log Viewer en controleer ook het passende logbestand.
Sophos blokkeert webpagina’s in de categorie highly objectionable criminal activity altijd en verbergt de domeinnaam in logs en reports. Als een vermelding in dit gebied bewust geanonimiseerd lijkt, kan dat dus bedoeld zijn.
VPN
| Functie | Service / context | Logbestand |
|---|---|---|
| IPsec vanaf SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec oudere versies | IPsec service | ipsec.log |
| IPsec Test Connection | IPsec test | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| SSL VPN-status | OpenVPN-status | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| VPN-certificaten | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall gebruikt strongSwan voor IPsec VPN en OpenVPN voor SSL VPN. Bij IPsec-problemen zijn tijd, peer-IP, proposal, local/remote subnets, NAT-T, routing en firewallregels bepalend.
Voor IPsec-problemen is Sophos Firewall IPsec troubleshooting de betere stapsgewijze handleiding. Voor route-based VPN en handmatige IPsec-routes helpt IPsec-route op Sophos Firewall maken.
Authentication, User Portal en SSO
| Functie | Service / context | Logbestand |
|---|---|---|
| Gebruikersauthenticatie | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / Access Server-context | afhankelijk van servicecontext en access_server.log |
Bij gebruikersregels moet eerst worden gecontroleerd of de gebruiker bekend is. Als Match known users actief is en authenticatie niet werkt, matcht de regel niet.
DNS, DHCP en netwerk
| Functie | Service / context | Logbestand |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / andere DNS-componenten | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Netwerkservice | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
DNS- en DHCP-problemen lijken vaak op firewallproblemen. Controleer daarom eerst IP-adres, gateway, DNS-server en of clients de firewall als DNS- of DHCP-server moeten gebruiken.
Als interne domeinen niet goed worden opgelost, is meestal DNS request routes op Sophos Firewall configureren relevant. Voor speciale DHCP-opties is er Sophos Firewall DHCP Options configureren.
Cellular WAN
| Functie | Wat controleren | Logbestand |
|---|---|---|
| WWAN / USB-modem | plaatsen en verwijderen van USB-apparaten | mdev.log |
| Modem-netwerkconfiguratie | modemgerelateerde interfaces en IP-configuratie | networkd.log |
| USB, modem en PPP | syslogmeldingen voor USB, modem en Point-to-Point Protocol | syslog.log |
Bij Cellular-WAN-problemen moet ook worden gecontroleerd of het modem wordt herkend, of PIN/SIM/APN correct zijn en of de firewall een passende gateway aanmaakt.
Routing
| Functie | Service / context | Logbestand |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Bij routingproblemen ook Routing > SD-WAN routes, gateways en Packet Capture controleren. Policy tester vervangt geen echte routingtest.
Meer hierover: Routing-prioriteit op Sophos Firewall aanpassen.
GUI, CLI en systeemtoegang
| Functie | Service / context | Logbestand |
|---|---|---|
| WebAdmin webserver | apache | apache.log, apache_access.log |
| WebAdmin applicatie | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| GUI/CLI-fouten | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validatie | Config Validation | validation.log, validationError.log |
Als WebAdmin of SSH niet bereikbaar is, controleer dan niet alleen deze logs. Lokale toegang wordt geregeld via Administration > Device access en Local Service ACL.
Meer hierover: Verbinding maken met Sophos Firewall via SSH.
Sophos Central, Heartbeat en Central Management
| Functie | Service / context | Logbestand |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat naar Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | bijbehorende servicelogs |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | ATR-context | afhankelijk van versie en module |
Bij Central-problemen eerst controleren of de firewall geregistreerd is, Central Services actief zijn en uitgaand DNS/HTTPS werkt.
High Availability
| Functie | Service / context | Logbestand |
|---|---|---|
| HA-status en configuratie | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
HA-logs staan op het apparaat waarop ze zijn gegenereerd. Voor ruwe logs van het auxiliary-apparaat moet rechtstreeks met dat apparaat worden verbonden, bijvoorbeeld via de admin-port per SSH. Voor geconsolideerde reports is Sophos Central Firewall Reporting praktischer.
Mail en Anti-Spam
| Functie | Service / context | Logbestand |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| SMTP-fouten | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Bij mailproblemen altijd controleren of MTA Mode, firewallregel, DNS, certificaten en providerrestricties bij elkaar passen.
Sophos Firewall gebruikt Avira en Sophos Antivirus. De Anti-Spam-service start alleen wanneer een inkomende of uitgaande spam policy bestaat. Deze afhankelijkheid is belangrijk als sasi.log leeg blijft of de Anti-Spam-service niet loopt.
Wireless, RED, Hotspot en andere services
| Functie | Service / context | Logbestand |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Database en reporting
| Functie | Service / context | Logbestand |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Als reports ontbreken, traag zijn of opslagproblemen optreden, zijn reporting- en databaselogs relevant. Controleer daarnaast of reports lokaal worden opgeslagen of naar Sophos Central worden gestuurd.
Praktische analysevolgorde
- Probleem precies noteren: tijd, client, doel, poort, gebruiker, actie.
- In Log Viewer filteren op source IP en tijd.
- Controleren of Firewall Rule ID en NAT Rule ID zichtbaar zijn.
- Het passende logbestand met
tail -fvolgen. - Het probleem reproduceren.
- Indien nodig debug kort inschakelen.
- Packet Capture gebruiken als de pakketstroom onduidelijk is.
- Logs opslaan zolang de fout net is gereproduceerd.
Voor supportcases moeten foutmeldingen, reproductiestappen en al uitgevoerde troubleshooting-stappen worden gedocumenteerd. Deze informatie versnelt supportcases duidelijk.
Meer informatie
De tabellen in dit artikel zijn gebaseerd op praktijkervaring en het officiële Sophos-overzicht van modulelogbestanden. De officiële bronnen staan hier: