Przejdz do tresci
Avanet

Zapisywanie logów Sophos Firewall dla wsparcia i analizy

Sophos Firewall

Przy awariach, problemach VPN lub niejasnych zdarzeniach firewalla zrzuty ekranu z interfejsu webowego często nie wystarczają. Sophos Support, Avanet lub zewnętrzny partner bezpieczeństwa zwykle potrzebuje odpowiednich plików logów z firewalla.

Ta instrukcja pokazuje, jak zarchiwizować logi Sophos Firewall przez Advanced Shell i przygotować je do analizy.

Wymagania

Do tej instrukcji potrzebne są:

  • Dostęp administracyjny do Sophos Firewall
  • Dostęp do Advanced Shell
  • Serwer docelowy lub inna bezpieczna metoda przesłania archiwum logów
  • Wystarczająca ilość wolnego miejsca na firewallu dla tymczasowego archiwum

Polecenia są wykonywane bezpośrednio na firewallu. Należy pracować ostrożnie i nie usuwać plików, jeśli nie wiadomo, do czego służą.

Jeśli dostęp do shell nie jest jeszcze skonfigurowany, instrukcja Połączenie SSH z Sophos Firewall pokazuje, jak zestawić połączenie SSH.

Otwarcie Advanced Shell

Zalogować się do Sophos Firewall i otworzyć Advanced Shell:

  1. Otworzyć Device Management.
  2. Wybrać Advanced Shell.
  3. Potwierdzić dostęp, jeśli firewall wyświetli dodatkowe pytanie.

Po zalogowaniu shell jest dostępny i można zarchiwizować logi.

Zebranie ukierunkowanych logów przed archiwizacją

Jeśli problem można odtworzyć, warto wywołać go ponownie bezpośrednio przed utworzeniem archiwum. Dzięki temu istotne wpisy będą aktualne w plikach logów.

Przy bardziej złożonych problemach zwykłe logi mogą nie wystarczyć. Wtedy warto przed archiwizacją włączyć logowanie debug dla odpowiedniej usługi. Strona Diagnostyka Sophos Firewall opisuje to w sekcji debugowania.

Sophos pokazuje, który log należy do którego modułu firewalla, w oficjalnym zestawieniu Log files for modules. Lista pomaga ustalić, czy istotne są logi VPN, IPS, web, mail, GUI czy systemowe.

Zapisanie wszystkich logów

Przed utworzeniem archiwum sprawdzić, czy w /var jest wystarczająco wolnego miejsca:

df -h /var

Następnie utworzyć skompresowane archiwum katalogu /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Polecenie tworzy:

/var/Sophos-Firewall-Logs.tar.gz

Najważniejsze elementy polecenia:

  • tar tworzy archiwum.
  • -c tworzy nowe archiwum.
  • -v pokazuje przetwarzane pliki.
  • -z kompresuje archiwum przez gzip.
  • -f wskazuje nazwę pliku archiwum.
  • -C / przechodzi na czas archiwizacji do katalogu głównego.
  • log to katalog z logami Sophos Firewall.

Zaletą -C / jest to, że polecenie działa niezależnie od aktualnego katalogu roboczego. Wcześniejsze cd / nie jest potrzebne. Jeśli plik już istnieje, zostanie nadpisany.

W zależności od wielkości logów i obciążenia firewalla tworzenie archiwum może potrwać. Wyjście tar pokazuje, które pliki są zapisywane do archiwum.

Następnie sprawdzić rozmiar archiwum:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Skopiowanie archiwum na serwer Linux

Jeśli serwer Linux jest osiągalny przez SSH, archiwum można przesłać za pomocą scp.

Przykład:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Dostosować adres IP, użytkownika i ścieżkę docelową do środowiska.

Po przesłaniu archiwum znajduje się na serwerze docelowym:

/root/Sophos-Firewall-Logs.tar.gz

Stamtąd można je przekazać wewnętrznie albo udostępnić Sophos Support lub Avanet.

Osobne zapisanie danych diagnostycznych IPsec

Przy problemach VPN lub IPsec pomocne mogą być także dane połączeń IPsec z /tmp/ipsec/connections/.

Utworzyć osobne archiwum:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Sprawdzić utworzony plik:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

To archiwum również można przesłać przez scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Przy błędach IPsec warto przekazać to archiwum razem ze zwykłymi logami firewalla, aby wspólnie analizować stan tunelu, informacje o połączeniach i wpisy logów.

Bezpieczeństwo i ochrona danych

Logi mogą zawierać informacje wrażliwe, na przykład:

  • Publiczne i wewnętrzne adresy IP
  • Nazwy użytkowników
  • Nazwy hostów
  • Informacje VPN
  • Komunikaty błędów ze szczegółami technicznymi
  • Informacje o wewnętrznej strukturze sieci

Archiwa logów należy przesyłać tylko bezpiecznymi kanałami i udostępniać wyłącznie osobom lub organizacjom uczestniczącym w analizie. Przed wysłaniem logów do zewnętrznego partnera należy wewnętrznie potwierdzić, że jest to zgodne z zasadami ochrony danych i bezpieczeństwa.

Usunięcie archiwów tymczasowych

Po udanym przesłaniu archiwum usunąć je z firewalla, aby zwolnić miejsce:

rm /var/Sophos-Firewall-Logs.tar.gz

Jeśli utworzono osobne archiwum IPsec, usunąć je również:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Przed usunięciem sprawdzić, czy pliki poprawnie dotarły na system docelowy.