Zabezpieczanie logów Sophos Firewall do wsparcia i analizy
W przypadku awarii, problemów z VPN lub niejasnych zdarzeń na firewallu, pojedyncze zrzuty ekranu z interfejsu webowego często nie wystarczają. Do dokładnej analizy przypadek wsparcia wymaga wiarygodnych oznaczeń czasowych, odpowiednich plików logów, a czasami dodatkowo przechwytywania pakietów.
Ten przewodnik opisuje, jak spakować logi Sophos Firewall w archiwum za pomocą Advanced Shell i bezpiecznie udostępnić je wsparciu Sophos, Avanet lub do zewnętrznej analizy. Proces ten nie zastępuje wstępnego zawężenia w Log Viewer. Jeśli nadal nie jest jasne, który moduł jest dotknięty, najpierw pomoże przegląd Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.
Który artykuł o rozwiązywaniu problemów jest odpowiedni?
Archiwum logów to tylko jedno z narzędzi w rozwiązywaniu problemów. W zależności od objawów błędu, inny punkt startowy może być szybszy:
- Która reguła, reguła NAT lub trasa dotyczy konkretnej próby połączenia?: Testowanie reguły firewalla za pomocą Log Viewer, Policy Test i Packet Capture.
- Który lokalny plik logów dotyczy VPN, Web, IPS, GUI lub usług systemowych?: Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.
- Przypadek wsparcia wymaga lokalnych plików logów, danych IPsec lub wyników debugowania: Ten artykuł.
- Historyczne raporty lub powtarzające się zdarzenia mają być sprawdzone w Sophos Central: Central Firewall Reporting.
- Logi mają być długoterminowo przechowywane zewnętrznie lub korelowane z SOC/SIEM: Konfiguracja Syslog lub SIEM z Sophos Firewall.
- Wzorce ruchu, Top-Talker lub przepływy interfejsów mają być widoczne: Konfiguracja monitorowania sFlow na Sophos Firewall.
- Potrzebne jest ukierunkowane przechwytywanie pakietów: Packet Capture lub tcpdump-PCAP.
To rozdzielenie oszczędza czas. Pełne archiwum logów pomaga w analizach usług i wsparcia, ale nie zastępuje powtarzalnego przypadku testowego w Log Viewer ani ukierunkowanego przechwytywania pakietów.
Jakie dane są potrzebne wsparciu?
Nie każdy problem wymaga od razu pełnego archiwum logów. Im bardziej precyzyjnie określony jest błąd, tym mniejsze i bardziej użyteczne będą dane.
- Reguła firewalla lub reguła NAT działa nieoczekiwanie: Czas, Source IP, Destination IP, Rule ID, NAT ID, eksport z Log Viewer i w razie potrzeby Packet Capture.
- Usługa nie uruchamia się lub WebAdmin pokazuje błąd: Archiwum logów z
/log, dotknięta usługa, czas i ostatni krok konfiguracji. - Tunel IPsec nie nawiązuje połączenia lub przerywa: normalne archiwum logów, dane diagnostyczne IPsec, Peer-IP, lokalne i zdalne sieci, czas próby połączenia.
- Ruch nie dociera do celu: Log Viewer, Packet Capture lub przy dłuższych analizach tcpdump-PCAP.
- Problem po zmianie konfiguracji: Audit Trail, przybliżony czas zmiany, zaangażowany administrator i dotknięte obiekty.
Dla wielu zgłoszeń kombinacja czasu problemu, krótkiego opisu błędu, archiwum logów i ukierunkowanego dodatkowego dowodu jest lepsza niż bardzo szeroki pakiet danych bez kontekstu. Jeśli zostanie utworzone oficjalne zgłoszenie do Sophos, dodatkowo pasuje Otwieranie zgłoszenia wsparcia Sophos: Przygotowanie i portal.
Wymagania
Do tego przewodnika potrzebne są:
- Dostęp administracyjny do Sophos Firewall
- Dostęp do Advanced Shell
- Serwer docelowy lub inna bezpieczna metoda przesyłania archiwum logów
- Wystarczająca ilość wolnego miejsca na firewallu na tymczasowe archiwum
Polecenia są wykonywane bezpośrednio na firewallu. Należy więc pracować ostrożnie i nie usuwać plików, jeśli nie jest jasne, do czego są używane.
Jeśli dostęp do powłoki nie został jeszcze skonfigurowany, przewodnik Łączenie się z Sophos Firewall przez SSH wyjaśnia, jak nawiązać połączenie SSH z firewallem.
⚠️ Archiwa logów i pliki PCAP mogą zawierać wrażliwe informacje. Takie pliki powinny być przechowywane na firewallu tylko przez krótki czas, bezpiecznie przesyłane i usuwane po pomyślnym przekazaniu.
Otwieranie Advanced Shell
Zaloguj się do Sophos Firewall i otwórz Advanced Shell:
- Otwórz Device Management.
- Wybierz Advanced Shell.
- Potwierdź dostęp, jeśli firewall wyświetli dodatkowe zapytanie.
Po zalogowaniu znajdujesz się w powłoce firewalla. Stąd można archiwizować pliki logów.
Zbieranie logów przed zabezpieczeniem
Jeśli problem jest powtarzalny, należy go w miarę możliwości wywołać bezpośrednio przed archiwizacją logów. Dzięki temu odpowiednie wpisy znajdą się w plikach logów jak najaktualniej.
W przypadku bardziej złożonych problemów zwykłe logi czasami nie wystarczają. W takim przypadku może być sensowne włączenie logu debugowania dla dotkniętej usługi przed archiwizacją. Jak to zrobić, opisano w sekcji Aktywowanie logu debugowania.
Który plik logów należy do którego modułu firewalla, jest podsumowane w Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Ten przegląd jest pomocny, jeśli chcesz dokładnie sprawdzić, czy dla problemu bardziej istotne są logi VPN, IPS, Web, Mail, GUI czy systemowe.
Jeśli nie problem z usługą, ale sam przepływ pakietów jest niejasny, samo archiwum logów często nie wystarcza. Do krótkich testów pasuje Packet Capture w WebAdmin. Do plików PCAP, dłuższych przechwytywań lub analiz wsparcia odpowiednim narzędziem jest tcpdump na Sophos Firewall.
Zabezpieczanie wszystkich plików logów
Przed archiwizacją należy sprawdzić, czy w /var jest wystarczająco dużo wolnego miejsca:
df -h /var
Następnie utwórz skompresowane archiwum z plikami z katalogu /log:
tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log
Polecenie tworzy plik:
/var/Sophos-Firewall-Logs.tar.gz
Najważniejsze elementy polecenia:
- tar tworzy archiwum.
- -c tworzy nowe archiwum.
- -v wyświetla przetwarzane pliki.
- -z kompresuje archiwum za pomocą gzip.
- -f określa nazwę pliku archiwum.
- -C / przełącza się do katalogu głównego na czas archiwizacji.
- log to katalog z plikami logów Sophos Firewall.
Zaletą -C / jest to, że polecenie działa niezależnie od bieżącego katalogu roboczego. Dzięki temu nie jest konieczne wcześniejsze cd /. Jeśli plik już istnieje, zostanie nadpisany przez polecenie.
W zależności od wielkości i obciążenia firewalla, proces archiwizacji może zająć trochę czasu. Wyjście z tar pokazuje w międzyczasie, które pliki są zapisywane do archiwum.
Następnie można sprawdzić rozmiar archiwum:
ls -lh /var/Sophos-Firewall-Logs.tar.gz
Dodatkowo warto krótko sprawdzić, czy archiwum jest czytelne i faktycznie zawiera katalog logów:
tar -tzf /var/Sophos-Firewall-Logs.tar.gz
Wyjście powinno pokazywać ścieżki pod log/. Jeśli polecenie zgłasza błąd lub archiwum jest niezwykle małe, nie należy go przekazywać dalej. W takim przypadku najpierw sprawdź wolne miejsce, prawa zapisu i poprzedni przebieg tar.
Kopiowanie archiwum logów na serwer Linux
Jeśli serwer Linux jest dostępny przez SSH, archiwum można przesłać za pomocą scp.
Przykład:
scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/
Należy dostosować adres IP, użytkownika i ścieżkę docelową do własnego środowiska.
Po przesłaniu archiwum znajduje się na serwerze docelowym pod:
/root/Sophos-Firewall-Logs.tar.gz
Stamtąd można je przekazać wewnętrznie lub udostępnić wsparciu Sophos lub Avanet.
Zabezpieczanie danych diagnostycznych IPsec osobno
W przypadku problemów z VPN lub IPsec, dodatkowo mogą być pomocne dane połączeń IPsec z /tmp/ipsec/connections/.
W tym celu utwórz osobne archiwum:
tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections
Również tutaj można krótko sprawdzić utworzony plik:
ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz
To archiwum można również przesłać na serwer docelowy za pomocą scp:
scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/
Zwłaszcza w przypadku błędów IPsec warto udostępnić to archiwum razem z normalnymi logami firewalla, aby można było wspólnie ocenić status tunelu, informacje o połączeniach i wpisy logów.
Archiwum logów, Central Reporting czy Syslog?
Lokalne archiwum logów odpowiada na inne pytanie niż Central Reporting czy Syslog.
- Archiwum logów z
/log: Przypadek wsparcia, błąd usługi, debugowanie VPN, lokalna analiza szczegółowa. Migawka lokalnego firewalla. - Central Firewall Reporting: Raporty, historia i wyszukiwanie w Sophos Central. nie zastępuje pełnych lokalnych logów wsparcia.
- Syslog lub SIEM: własne długoterminowe przechowywanie, korelacja i procesy SOC. wymaga parsera, operacji i wcześniej aktywowanego logowania.
- Audit Trail Logs: Śledzenie zmian konfiguracji. brak analizy przepływu pakietów lub usługi.
Dla pilnego przypadku wsparcia lokalne archiwum logów jest często nadal potrzebne, nawet jeśli Central Reporting lub Syslog są aktywne. Z drugiej strony, do długoterminowego przechowywania nie należy liczyć na to, że lokalne logi na firewallu będą później nadal w pełni dostępne.
Oddzielne traktowanie przechwytywań pakietów
Archiwa logów i przechwytywania pakietów to różne dowody. Archiwum logów pokazuje komunikaty usług, błędy, stany VPN i zdarzenia systemowe. Przechwytywanie pakietów lub tcpdump pokazuje natomiast, czy pakiety rzeczywiście docierają, są przekazywane dalej lub czy brakuje odpowiedzi.
W przypadku zgłoszeń wsparcia nie należy przesyłać przechwytywań pakietów bez filtrów. Lepiej jest:
- Zanotować przypadek testowy z Source IP, Destination IP, portem, protokołem i czasem.
- Najpierw sprawdzić Log Viewer i WebAdmin Packet Capture, jeśli to wystarczy.
- Tylko w razie potrzeby utworzyć wąskie przechwytywanie
tcpdumpjako PCAP. - Bezpiecznie przesłać plik PCAP.
- Usunąć plik PCAP z firewalla po pomyślnym przesłaniu.
Plik PCAP nie należy do archiwum /log, lecz jest tworzony i przesyłany osobno. Dzięki temu pozostaje jasne, który plik zawiera logi usług, a który plik zawiera pakiety sieciowe.
Bezpieczeństwo i ochrona danych
Pliki logów mogą zawierać wrażliwe informacje, na przykład:
- Publiczne i wewnętrzne adresy IP
- Nazwy użytkowników
- Nazwy hostów
- Informacje VPN
- Komunikaty o błędach z szczegółami technicznymi
- Wskazówki dotyczące wewnętrznych struktur sieciowych
Archiwa logów powinny być przesyłane tylko bezpiecznymi kanałami i udostępniane tylko osobom lub organizacjom zaangażowanym w analizę. Jeśli logi są wysyłane do zewnętrznego partnera, należy wcześniej wewnętrznie ustalić, czy przekazanie jest zgodne z własnymi zasadami ochrony danych i bezpieczeństwa.
Usuwanie tymczasowych archiwów
Po pomyślnym przesłaniu archiwum należy je usunąć z firewalla, aby nie zajmowało niepotrzebnie miejsca:
rm /var/Sophos-Firewall-Logs.tar.gz
Jeśli utworzono również osobne archiwum IPsec, należy je również usunąć:
rm /var/Sophos-Firewall-IPsec-Connections.tar.gz
Przed usunięciem należy sprawdzić, czy pliki dotarły pomyślnie do systemu docelowego.
Lista kontrolna dla przypadków wsparcia
- Krótki opis problemu: Co nie działa, od kiedy, jak często?
- Dokładny czas z uwzględnieniem strefy czasowej zanotowany.
- Zanotowane dotknięte Source IP, Destination IP, użytkownik, usługa lub nazwa tunelu.
- Sprawdzone odpowiednie moduły w Log Viewer.
- W razie potrzeby: Debugowanie włączone tylko na krótko i wyłączone.
- Utworzone archiwum logów z
/log. - W przypadku problemów z IPsec dodatkowo zabezpieczone dane diagnostyczne IPsec.
- W przypadku problemów z przepływem pakietów osobno utworzono Packet Capture lub tcpdump.
- Archiwum sprawdzone pod kątem czytelności za pomocą
tar -tzf. - Archiwum i PCAP przesłane tylko bezpiecznymi kanałami.
- Tymczasowe pliki na firewallu usunięte po pomyślnym przesłaniu.
FAQ
Czy zrzut ekranu z Log Viewer wystarczy dla wsparcia Sophos?
Czy zawsze należy zabezpieczać wszystkie logi Sophos Firewall?
/log jest jednak często sensowne, ponieważ kilka usług może być ze sobą powiązanych.Czy plik PCAP należy do archiwum logów?
Czy Central Reporting zastępuje lokalne archiwum logów?
/log, ponieważ zawierają szczegółowe informacje o modułach i usługach.Jak sprawdzić, czy archiwum logów zostało utworzone?
ls -lh /var/Sophos-Firewall-Logs.tar.gz, czy plik istnieje i ma wiarygodny rozmiar. Następnie można sprawdzić za pomocą tar -tzf /var/Sophos-Firewall-Logs.tar.gz, czy archiwum jest czytelne i zawiera pliki pod log/.