Przejdz do tresci
Avanet

Zabezpieczanie logów Sophos Firewall do wsparcia i analizy

W przypadku awarii, problemów z VPN lub niejasnych zdarzeń na firewallu, pojedyncze zrzuty ekranu z interfejsu webowego często nie wystarczają. Do dokładnej analizy przypadek wsparcia wymaga wiarygodnych oznaczeń czasowych, odpowiednich plików logów, a czasami dodatkowo przechwytywania pakietów.

Ten przewodnik opisuje, jak spakować logi Sophos Firewall w archiwum za pomocą Advanced Shell i bezpiecznie udostępnić je wsparciu Sophos, Avanet lub do zewnętrznej analizy. Proces ten nie zastępuje wstępnego zawężenia w Log Viewer. Jeśli nadal nie jest jasne, który moduł jest dotknięty, najpierw pomoże przegląd Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.

Który artykuł o rozwiązywaniu problemów jest odpowiedni?

Archiwum logów to tylko jedno z narzędzi w rozwiązywaniu problemów. W zależności od objawów błędu, inny punkt startowy może być szybszy:

To rozdzielenie oszczędza czas. Pełne archiwum logów pomaga w analizach usług i wsparcia, ale nie zastępuje powtarzalnego przypadku testowego w Log Viewer ani ukierunkowanego przechwytywania pakietów.

Jakie dane są potrzebne wsparciu?

Nie każdy problem wymaga od razu pełnego archiwum logów. Im bardziej precyzyjnie określony jest błąd, tym mniejsze i bardziej użyteczne będą dane.

  • Reguła firewalla lub reguła NAT działa nieoczekiwanie: Czas, Source IP, Destination IP, Rule ID, NAT ID, eksport z Log Viewer i w razie potrzeby Packet Capture.
  • Usługa nie uruchamia się lub WebAdmin pokazuje błąd: Archiwum logów z /log, dotknięta usługa, czas i ostatni krok konfiguracji.
  • Tunel IPsec nie nawiązuje połączenia lub przerywa: normalne archiwum logów, dane diagnostyczne IPsec, Peer-IP, lokalne i zdalne sieci, czas próby połączenia.
  • Ruch nie dociera do celu: Log Viewer, Packet Capture lub przy dłuższych analizach tcpdump-PCAP.
  • Problem po zmianie konfiguracji: Audit Trail, przybliżony czas zmiany, zaangażowany administrator i dotknięte obiekty.

Dla wielu zgłoszeń kombinacja czasu problemu, krótkiego opisu błędu, archiwum logów i ukierunkowanego dodatkowego dowodu jest lepsza niż bardzo szeroki pakiet danych bez kontekstu. Jeśli zostanie utworzone oficjalne zgłoszenie do Sophos, dodatkowo pasuje Otwieranie zgłoszenia wsparcia Sophos: Przygotowanie i portal.

Wymagania

Do tego przewodnika potrzebne są:

  • Dostęp administracyjny do Sophos Firewall
  • Dostęp do Advanced Shell
  • Serwer docelowy lub inna bezpieczna metoda przesyłania archiwum logów
  • Wystarczająca ilość wolnego miejsca na firewallu na tymczasowe archiwum

Polecenia są wykonywane bezpośrednio na firewallu. Należy więc pracować ostrożnie i nie usuwać plików, jeśli nie jest jasne, do czego są używane.

Jeśli dostęp do powłoki nie został jeszcze skonfigurowany, przewodnik Łączenie się z Sophos Firewall przez SSH wyjaśnia, jak nawiązać połączenie SSH z firewallem.

⚠️ Archiwa logów i pliki PCAP mogą zawierać wrażliwe informacje. Takie pliki powinny być przechowywane na firewallu tylko przez krótki czas, bezpiecznie przesyłane i usuwane po pomyślnym przekazaniu.

Otwieranie Advanced Shell

Zaloguj się do Sophos Firewall i otwórz Advanced Shell:

  1. Otwórz Device Management.
  2. Wybierz Advanced Shell.
  3. Potwierdź dostęp, jeśli firewall wyświetli dodatkowe zapytanie.

Po zalogowaniu znajdujesz się w powłoce firewalla. Stąd można archiwizować pliki logów.

Zbieranie logów przed zabezpieczeniem

Jeśli problem jest powtarzalny, należy go w miarę możliwości wywołać bezpośrednio przed archiwizacją logów. Dzięki temu odpowiednie wpisy znajdą się w plikach logów jak najaktualniej.

W przypadku bardziej złożonych problemów zwykłe logi czasami nie wystarczają. W takim przypadku może być sensowne włączenie logu debugowania dla dotkniętej usługi przed archiwizacją. Jak to zrobić, opisano w sekcji Aktywowanie logu debugowania.

Który plik logów należy do którego modułu firewalla, jest podsumowane w Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Ten przegląd jest pomocny, jeśli chcesz dokładnie sprawdzić, czy dla problemu bardziej istotne są logi VPN, IPS, Web, Mail, GUI czy systemowe.

Jeśli nie problem z usługą, ale sam przepływ pakietów jest niejasny, samo archiwum logów często nie wystarcza. Do krótkich testów pasuje Packet Capture w WebAdmin. Do plików PCAP, dłuższych przechwytywań lub analiz wsparcia odpowiednim narzędziem jest tcpdump na Sophos Firewall.

Zabezpieczanie wszystkich plików logów

Przed archiwizacją należy sprawdzić, czy w /var jest wystarczająco dużo wolnego miejsca:

df -h /var

Następnie utwórz skompresowane archiwum z plikami z katalogu /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Polecenie tworzy plik:

/var/Sophos-Firewall-Logs.tar.gz

Najważniejsze elementy polecenia:

  • tar tworzy archiwum.
  • -c tworzy nowe archiwum.
  • -v wyświetla przetwarzane pliki.
  • -z kompresuje archiwum za pomocą gzip.
  • -f określa nazwę pliku archiwum.
  • -C / przełącza się do katalogu głównego na czas archiwizacji.
  • log to katalog z plikami logów Sophos Firewall.

Zaletą -C / jest to, że polecenie działa niezależnie od bieżącego katalogu roboczego. Dzięki temu nie jest konieczne wcześniejsze cd /. Jeśli plik już istnieje, zostanie nadpisany przez polecenie.

W zależności od wielkości i obciążenia firewalla, proces archiwizacji może zająć trochę czasu. Wyjście z tar pokazuje w międzyczasie, które pliki są zapisywane do archiwum.

Następnie można sprawdzić rozmiar archiwum:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Dodatkowo warto krótko sprawdzić, czy archiwum jest czytelne i faktycznie zawiera katalog logów:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

Wyjście powinno pokazywać ścieżki pod log/. Jeśli polecenie zgłasza błąd lub archiwum jest niezwykle małe, nie należy go przekazywać dalej. W takim przypadku najpierw sprawdź wolne miejsce, prawa zapisu i poprzedni przebieg tar.

Kopiowanie archiwum logów na serwer Linux

Jeśli serwer Linux jest dostępny przez SSH, archiwum można przesłać za pomocą scp.

Przykład:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Należy dostosować adres IP, użytkownika i ścieżkę docelową do własnego środowiska.

Po przesłaniu archiwum znajduje się na serwerze docelowym pod:

/root/Sophos-Firewall-Logs.tar.gz

Stamtąd można je przekazać wewnętrznie lub udostępnić wsparciu Sophos lub Avanet.

Zabezpieczanie danych diagnostycznych IPsec osobno

W przypadku problemów z VPN lub IPsec, dodatkowo mogą być pomocne dane połączeń IPsec z /tmp/ipsec/connections/.

W tym celu utwórz osobne archiwum:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Również tutaj można krótko sprawdzić utworzony plik:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

To archiwum można również przesłać na serwer docelowy za pomocą scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Zwłaszcza w przypadku błędów IPsec warto udostępnić to archiwum razem z normalnymi logami firewalla, aby można było wspólnie ocenić status tunelu, informacje o połączeniach i wpisy logów.

Archiwum logów, Central Reporting czy Syslog?

Lokalne archiwum logów odpowiada na inne pytanie niż Central Reporting czy Syslog.

  • Archiwum logów z /log: Przypadek wsparcia, błąd usługi, debugowanie VPN, lokalna analiza szczegółowa. Migawka lokalnego firewalla.
  • Central Firewall Reporting: Raporty, historia i wyszukiwanie w Sophos Central. nie zastępuje pełnych lokalnych logów wsparcia.
  • Syslog lub SIEM: własne długoterminowe przechowywanie, korelacja i procesy SOC. wymaga parsera, operacji i wcześniej aktywowanego logowania.
  • Audit Trail Logs: Śledzenie zmian konfiguracji. brak analizy przepływu pakietów lub usługi.

Dla pilnego przypadku wsparcia lokalne archiwum logów jest często nadal potrzebne, nawet jeśli Central Reporting lub Syslog są aktywne. Z drugiej strony, do długoterminowego przechowywania nie należy liczyć na to, że lokalne logi na firewallu będą później nadal w pełni dostępne.

Oddzielne traktowanie przechwytywań pakietów

Archiwa logów i przechwytywania pakietów to różne dowody. Archiwum logów pokazuje komunikaty usług, błędy, stany VPN i zdarzenia systemowe. Przechwytywanie pakietów lub tcpdump pokazuje natomiast, czy pakiety rzeczywiście docierają, są przekazywane dalej lub czy brakuje odpowiedzi.

W przypadku zgłoszeń wsparcia nie należy przesyłać przechwytywań pakietów bez filtrów. Lepiej jest:

  1. Zanotować przypadek testowy z Source IP, Destination IP, portem, protokołem i czasem.
  2. Najpierw sprawdzić Log Viewer i WebAdmin Packet Capture, jeśli to wystarczy.
  3. Tylko w razie potrzeby utworzyć wąskie przechwytywanie tcpdump jako PCAP.
  4. Bezpiecznie przesłać plik PCAP.
  5. Usunąć plik PCAP z firewalla po pomyślnym przesłaniu.

Plik PCAP nie należy do archiwum /log, lecz jest tworzony i przesyłany osobno. Dzięki temu pozostaje jasne, który plik zawiera logi usług, a który plik zawiera pakiety sieciowe.

Bezpieczeństwo i ochrona danych

Pliki logów mogą zawierać wrażliwe informacje, na przykład:

  • Publiczne i wewnętrzne adresy IP
  • Nazwy użytkowników
  • Nazwy hostów
  • Informacje VPN
  • Komunikaty o błędach z szczegółami technicznymi
  • Wskazówki dotyczące wewnętrznych struktur sieciowych

Archiwa logów powinny być przesyłane tylko bezpiecznymi kanałami i udostępniane tylko osobom lub organizacjom zaangażowanym w analizę. Jeśli logi są wysyłane do zewnętrznego partnera, należy wcześniej wewnętrznie ustalić, czy przekazanie jest zgodne z własnymi zasadami ochrony danych i bezpieczeństwa.

Usuwanie tymczasowych archiwów

Po pomyślnym przesłaniu archiwum należy je usunąć z firewalla, aby nie zajmowało niepotrzebnie miejsca:

rm /var/Sophos-Firewall-Logs.tar.gz

Jeśli utworzono również osobne archiwum IPsec, należy je również usunąć:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Przed usunięciem należy sprawdzić, czy pliki dotarły pomyślnie do systemu docelowego.

Lista kontrolna dla przypadków wsparcia

  • Krótki opis problemu: Co nie działa, od kiedy, jak często?
  • Dokładny czas z uwzględnieniem strefy czasowej zanotowany.
  • Zanotowane dotknięte Source IP, Destination IP, użytkownik, usługa lub nazwa tunelu.
  • Sprawdzone odpowiednie moduły w Log Viewer.
  • W razie potrzeby: Debugowanie włączone tylko na krótko i wyłączone.
  • Utworzone archiwum logów z /log.
  • W przypadku problemów z IPsec dodatkowo zabezpieczone dane diagnostyczne IPsec.
  • W przypadku problemów z przepływem pakietów osobno utworzono Packet Capture lub tcpdump.
  • Archiwum sprawdzone pod kątem czytelności za pomocą tar -tzf.
  • Archiwum i PCAP przesłane tylko bezpiecznymi kanałami.
  • Tymczasowe pliki na firewallu usunięte po pomyślnym przesłaniu.

FAQ

Czy zrzut ekranu z Log Viewer wystarczy dla wsparcia Sophos?

W prostych przypadkach zrzut ekranu może pomóc. W przypadku złożonych błędów pliki logów, dokładne oznaczenia czasowe i w zależności od problemu przechwytywanie pakietów lub tcpdump są znacznie bardziej wymowne.

Czy zawsze należy zabezpieczać wszystkie logi Sophos Firewall?

Nie zawsze. Jeśli problem jest jasno określony, często wystarczają ukierunkowane logi i dokładny okres czasu. Dla przypadków wsparcia pełne archiwum /log jest jednak często sensowne, ponieważ kilka usług może być ze sobą powiązanych.

Czy plik PCAP należy do archiwum logów?

Nie. Pliki PCAP są tworzone osobno za pomocą Packet Capture lub tcpdump i przesyłane osobno. Dzięki temu logi usług i przechwytywania pakietów pozostają wyraźnie oddzielone.

Czy Central Reporting zastępuje lokalne archiwum logów?

Nie. Central Reporting jest pomocny do historii, wyszukiwania i raportów w Sophos Central. Dla przypadków wsparcia lub analizy usług często potrzebne są jednak lokalne pliki logów z /log, ponieważ zawierają szczegółowe informacje o modułach i usługach.

Jak sprawdzić, czy archiwum logów zostało utworzone?

Najpierw sprawdza się za pomocą ls -lh /var/Sophos-Firewall-Logs.tar.gz, czy plik istnieje i ma wiarygodny rozmiar. Następnie można sprawdzić za pomocą tar -tzf /var/Sophos-Firewall-Logs.tar.gz, czy archiwum jest czytelne i zawiera pliki pod log/.