Sophos Firewall troubleshooting - tips en tricks voor de CLI
Als IT-beheerder die verantwoordelijk is voor het beheer van de Sophos Firewall is grondige kennis van de Command Line Interface (CLI) onmisbaar. De CLI biedt krachtige tools en opdrachten waarmee je niet alleen efficiënt door systeemmappen navigeert, maar ook gedetailleerde analyses en troubleshooting uitvoert. In dit artikel laten we zien hoe je de CLI van de Sophos Firewall optimaal gebruikt om logs te doorzoeken, netwerkverbindingen te monitoren, bestanden veilig over te dragen en services in debugmodus te starten. Deze handleiding helpt je de belangrijkste opdrachten te begrijpen en gericht in je dagelijkse werk te gebruiken.
Navigeren in de Sophos Shell
In de Sophos Shell kun je de mappenstructuur met eenvoudige Linux-opdrachten doorzoeken. Om bijvoorbeeld in de map /log de beschikbare logbestanden te tonen, gebruik je de volgende opdracht:
cd /log
ls -la
cd /log: wisselt naar de map /log, waarin de logbestanden van de Sophos Firewall staan.
ls -la: toont alle bestanden in de huidige map in detail, inclusief verborgen bestanden. De optie -l toont details zoals bestandsgrootte en tijdstempel, terwijl -a alle bestanden inclusief verborgen bestanden weergeeft.
Om bestanden op grootte gesorteerd weer te geven, kun je de opdracht ls als volgt uitbreiden:
ls -lSrh
- -lSrh: deze opties tonen bestanden gedetailleerd, gesorteerd op grootte (-S) en in leesbare vorm (-h voor “human-readable”).
Logs weergeven en doorzoeken
Het doorzoeken en analyseren van logbestanden is een van de meest voorkomende taken bij troubleshooting. Hiervoor zijn de opdrachten cat, tail en grep bijzonder nuttig.
tail - log realtime volgen
Om de inhoud van een logbestand realtime te volgen, kun je tail gebruiken:
tail -f smtpd_main.log
- tail -f: toont de laatste regels van smtpd_main.log en werkt deze realtime bij wanneer nieuwe entries worden toegevoegd.
grep - logs filteren
Om naar een bepaalde term, bijvoorbeeld een domein of e-mailadres, in een logbestand te zoeken, kun je grep gebruiken:
cat smtpd_main.log | grep "avanet.com"
Of je wilt realtime het IPsec-log monitoren en entries voor een IP-adres tonen:
tail -f strongswan.log | grep 46.33.21.12
- grep: doorzoekt smtpd_main.log naar regels die de term “avanet.com” bevatten.
Meer nuttige opties voor grep:
- -i: negeert hoofdletters en kleine letters bij het zoeken.
- -n: toont de regelnummers van de treffers.
- -m 1: stopt de zoekactie na de eerste treffer.
Conntrack en TCP Dump
De Sophos Firewall biedt krachtige tools voor analyse van netwerkverbindingen en netwerkverkeer.
Conntrack
Met conntrack kun je actieve verbindingen monitoren:
conntrack -L | grep "10.128.138.150"
- conntrack -L: toont alle actieve verbindingen op de firewall.
- grep “IP-Adresse”: filtert verbindingen die aan het opgegeven IP-adres zijn gekoppeld.
tcpdump
Om netwerkverkeer direct te analyseren, kun je tcpdump gebruiken:
tcpdump -i any port 80
- tcpdump -i any: monitort al het netwerkverkeer op alle interfaces.
- port 80: filtert verkeer dat via poort 80 (HTTP) loopt.
Het onderwerp tcpdump wordt in een apart artikel behandeld, omdat het zeer uitgebreid is: Sophos Firewall - logs met TCPDump verzamelen voor analyse
Bestanden downloaden en uploaden
Om bestanden van de firewall te downloaden kun je tools zoals WinSCP gebruiken; op macOS is Cyberduck ook geschikt. Eerst moet SSH-toegang tot de firewall toegestaan zijn. Daarna kun je met de tool verbinden en bestanden eenvoudig overdragen.
Voor het uploaden van bestanden naar een FTP-server kun je ftpput gebruiken:
ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
- ftpput: draagt een bestand over naar een FTP-server.
- -u username -p password: authenticeert met de opgegeven FTP-inloggegevens.
- ftp.server.com: adres van de FTP-server.
- /path/to/upload/file.log: pad naar het lokale bestand dat moet worden geüpload.
Als alternatief kun je ook de opdracht curl gebruiken om bestanden naar FTP te uploaden:
curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}
Lijst van alle firewallservices en hun logs
Sophos heeft een uitstekende lijst waarop alle services en bijbehorende logs staan: Sophos KB: Log file details.
Firewallservices tonen
Deze Advanced Shell-opdracht toont alle actieve services en hun status:
service -S
Of je hebt alleen de status van een enkele service nodig. De status van een service kun je ook met service -S in combinatie met grep controleren:
service -S | grep strongswan
Deze opdracht doet hetzelfde op de Firewall Console:
system diagnostics show subsystem-info
Debug-log
De debugmodus is essentieel wanneer normale logs onvoldoende informatie geven om een probleem te begrijpen. Vergeleken met de normale logmodus, waarin alleen basisevents en foutmeldingen worden vastgelegd, biedt de debugmodus diepere en gedetailleerdere logging. Hij registreert uitgebreidere data en interne processen die tijdens normaal gebruik niet zichtbaar zijn. Daardoor kun je complexe of zeldzame fouten nauwkeurig identificeren, vooral bij problemen die in normale logs gemist kunnen worden.
Om een specifieke service in debugmodus te starten, kun je de volgende opdracht gebruiken:
service ips:debug -ds nosync
Om de debugmodus weer te stoppen, zodat het log de disk niet kan vullen, moet je deze na enige tijd weer deactiveren:
service ips:debug -ds nosync
Het onderwerp services en opnieuw starten hebben we in dit artikel uitgebreider beschreven: Sophos Firewall services opnieuw starten
Laatste woorden
Navigeren en werken op de Sophos Shell kan in het begin complex lijken, maar met de juiste opdrachten kun je snel en efficiënt problemen herkennen en oplossen. Deze handleiding helpt je de belangrijkste opdrachten te begrijpen en effectief te gebruiken. Goede CLI-kennis kan troubleshooting sterk verbeteren; daarnaast staat onze support natuurlijk ook ter beschikking.