Przejdz do tresci
Avanet

Zapisywanie logów Sophos Firewall dla wsparcia i analizy

Sophos Firewall

Przy awariach, problemach VPN lub niejasnych zdarzeniach firewalla zrzuty ekranu z interfejsu webowego często nie wystarczają. Sophos Support, Avanet lub zewnętrzny partner bezpieczeństwa zwykle potrzebuje odpowiednich plików logów z firewalla.

Ta instrukcja pokazuje, jak zarchiwizować logi Sophos Firewall przez Advanced Shell i przygotować je do analizy.

Wymagania

Do tej instrukcji potrzebne są:

  • Dostęp administracyjny do Sophos Firewall
  • Dostęp do Advanced Shell
  • Serwer docelowy lub inna bezpieczna metoda przesłania archiwum logów
  • Wystarczająca ilość wolnego miejsca na firewallu dla tymczasowego archiwum

Polecenia są wykonywane bezpośrednio na firewallu. Należy pracować ostrożnie i nie usuwać plików, jeśli nie wiadomo, do czego służą.

Jeśli dostęp do shell nie jest jeszcze skonfigurowany, instrukcja Połączenie SSH z Sophos Firewall pokazuje, jak zestawić połączenie SSH.

Otwarcie Advanced Shell

Zalogować się do Sophos Firewall i otworzyć Advanced Shell:

  1. Otworzyć Device Management.
  2. Wybrać Advanced Shell.
  3. Potwierdzić dostęp, jeśli firewall wyświetli dodatkowe pytanie.

Po zalogowaniu shell jest dostępny i można zarchiwizować logi.

Zebranie ukierunkowanych logów przed archiwizacją

Jeśli problem można odtworzyć, warto wywołać go ponownie bezpośrednio przed utworzeniem archiwum. Dzięki temu istotne wpisy będą aktualne w plikach logów.

Przy bardziej złożonych problemach zwykłe logi mogą nie wystarczyć. Wtedy warto przed archiwizacją włączyć logowanie debug dla odpowiedniej usługi. Strona Diagnostyka Sophos Firewall opisuje to w sekcji debugowania.

Nasze zestawienie Sophos Firewall troubleshooting: usługi i logi podsumowuje, który plik logu należy do którego modułu firewalla. Lista pomaga ustalić, czy istotne są logi VPN, IPS, web, mail, GUI czy systemowe.

Zapisanie wszystkich logów

Przed utworzeniem archiwum sprawdzić, czy w /var jest wystarczająco wolnego miejsca:

df -h /var

Następnie utworzyć skompresowane archiwum katalogu /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Polecenie tworzy:

/var/Sophos-Firewall-Logs.tar.gz

Najważniejsze elementy polecenia:

  • tar tworzy archiwum.
  • -c tworzy nowe archiwum.
  • -v pokazuje przetwarzane pliki.
  • -z kompresuje archiwum przez gzip.
  • -f wskazuje nazwę pliku archiwum.
  • -C / przechodzi na czas archiwizacji do katalogu głównego.
  • log to katalog z logami Sophos Firewall.

Zaletą -C / jest to, że polecenie działa niezależnie od aktualnego katalogu roboczego. Wcześniejsze cd / nie jest potrzebne. Jeśli plik już istnieje, zostanie nadpisany.

W zależności od wielkości logów i obciążenia firewalla tworzenie archiwum może potrwać. Wyjście tar pokazuje, które pliki są zapisywane do archiwum.

Następnie sprawdzić rozmiar archiwum:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Skopiowanie archiwum na serwer Linux

Jeśli serwer Linux jest osiągalny przez SSH, archiwum można przesłać za pomocą scp.

Przykład:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Dostosować adres IP, użytkownika i ścieżkę docelową do środowiska.

Po przesłaniu archiwum znajduje się na serwerze docelowym:

/root/Sophos-Firewall-Logs.tar.gz

Stamtąd można je przekazać wewnętrznie albo udostępnić Sophos Support lub Avanet.

Osobne zapisanie danych diagnostycznych IPsec

Przy problemach VPN lub IPsec pomocne mogą być także dane połączeń IPsec z /tmp/ipsec/connections/.

Utworzyć osobne archiwum:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Sprawdzić utworzony plik:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

To archiwum również można przesłać przez scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Przy błędach IPsec warto przekazać to archiwum razem ze zwykłymi logami firewalla, aby wspólnie analizować stan tunelu, informacje o połączeniach i wpisy logów.

Bezpieczeństwo i ochrona danych

Logi mogą zawierać informacje wrażliwe, na przykład:

  • Publiczne i wewnętrzne adresy IP
  • Nazwy użytkowników
  • Nazwy hostów
  • Informacje VPN
  • Komunikaty błędów ze szczegółami technicznymi
  • Informacje o wewnętrznej strukturze sieci

Archiwa logów należy przesyłać tylko bezpiecznymi kanałami i udostępniać wyłącznie osobom lub organizacjom uczestniczącym w analizie. Przed wysłaniem logów do zewnętrznego partnera należy wewnętrznie potwierdzić, że jest to zgodne z zasadami ochrony danych i bezpieczeństwa.

Usunięcie archiwów tymczasowych

Po udanym przesłaniu archiwum usunąć je z firewalla, aby zwolnić miejsce:

rm /var/Sophos-Firewall-Logs.tar.gz

Jeśli utworzono osobne archiwum IPsec, usunąć je również:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Przed usunięciem sprawdzić, czy pliki poprawnie dotarły na system docelowy.