Przejdz do tresci
Avanet

Diagnostyka Sophos Firewall - wskazówki i polecenia CLI

Sophos Firewall

Administrator odpowiedzialny za Sophos Firewall powinien dobrze znać Command Line Interface (CLI). CLI oferuje skuteczne narzędzia i polecenia, które pozwalają nie tylko sprawnie poruszać się po katalogach systemowych, lecz także prowadzić szczegółową analizę i diagnozę problemów. W tym artykule pokazujemy, jak korzystać z CLI Sophos Firewall do przeglądania logów, monitorowania połączeń sieciowych, bezpiecznego przesyłania plików oraz uruchamiania usług w trybie debugowania. Instrukcja pomoże zrozumieć najważniejsze polecenia i używać ich świadomie w codziennej pracy.

Nawigacja w Sophos Shell

W Sophos Shell można przeglądać strukturę katalogów za pomocą prostych poleceń linuksowych. Aby na przykład wyświetlić pliki logów w katalogu /log, użyj:

cd /log
ls -la

  • cd /log: przechodzi do katalogu /log, w którym znajdują się pliki logów Sophos Firewall.

  • ls -la: wyświetla szczegółową listę wszystkich plików w bieżącym katalogu, także plików ukrytych. Opcja -l pokazuje szczegóły, takie jak rozmiar pliku i znacznik czasu, a -a pokazuje również pliki ukryte.

Sophos Firewall - Advanced Shell - ls -la w katalogu logów
Sophos Firewall - Advanced Shell - ls -la w katalogu logów

Aby posortować pliki według rozmiaru, można rozszerzyć polecenie ls:

ls -lSrh
  • -lSrh: wyświetla pliki szczegółowo, sortuje je według rozmiaru (-S) i pokazuje rozmiary w czytelnej formie (-h, czyli “human-readable”).

Wyświetlanie i przeszukiwanie logów

Analiza logów to jedno z najczęstszych zadań podczas diagnozy problemów. Szczególnie przydatne są polecenia cat, tail i grep.

tail - monitorowanie logu w czasie rzeczywistym

Aby śledzić zawartość pliku logu na żywo, użyj polecenia tail:

tail -f smtpd_main.log
  • tail -f: pokazuje ostatnie linie pliku smtpd_main.log i aktualizuje widok, gdy pojawiają się nowe wpisy.

grep - filtrowanie logów

Aby wyszukać w logu określony termin, na przykład domenę lub adres e-mail, można użyć grep:

cat smtpd_main.log | grep "avanet.com"

Można też monitorować log IPsec w czasie rzeczywistym i filtrować wpisy dotyczące konkretnego adresu IP:

tail -f strongswan.log | grep 46.33.21.12
  • grep: przeszukuje plik smtpd_main.log i pokazuje linie zawierające termin “avanet.com”.

Przydatne opcje grep:

  • -i: ignoruje wielkość liter podczas wyszukiwania.
  • -n: pokazuje numery linii z dopasowaniami.
  • -m 1: kończy wyszukiwanie po pierwszym dopasowaniu.

Conntrack i TCP Dump

Sophos Firewall udostępnia mocne narzędzia do analizy połączeń i ruchu sieciowego.

Conntrack

Za pomocą conntrack można monitorować aktywne połączenia:

conntrack -L | grep "10.128.138.150"
  • conntrack -L: wyświetla wszystkie aktywne połączenia na firewallu.
  • grep “adres IP”: filtruje połączenia związane z podanym adresem IP.

tcpdump

Do bezpośredniej analizy ruchu sieciowego można użyć tcpdump:

tcpdump -i any port 80
  • tcpdump -i any: monitoruje cały ruch sieciowy na wszystkich interfejsach.
  • port 80: filtruje ruch używający portu 80 (HTTP).

Temat tcpdump jest obszerny i został opisany w osobnym artykule: Zbieranie logów narzędziem TCPDump do analizy w Sophos Firewall

Pobieranie i wysyłanie plików

Do pobierania plików z firewalla można używać narzędzi takich jak WinSCP, a na macOS sprawdza się również Cyberduck. Najpierw trzeba upewnić się, że dostęp SSH do firewalla jest dozwolony. Dopiero potem można połączyć się narzędziem i wygodnie przesłać pliki.

Do wysłania plików na serwer FTP można użyć ftpput:

ftpput -u username -p password ftp.server.com /path/to/upload/file.log

ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
  • ftpput: wysyła plik na serwer FTP.
  • -u username -p password: uwierzytelnia połączenie podanymi danymi logowania FTP.
  • ftp.server.com: adres serwera FTP.
  • /path/to/upload/file.log: ścieżka do lokalnego pliku, który ma zostać wysłany.

Alternatywnie można użyć polecenia curl, aby wysłać pliki na FTP:

curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}

Lista usług firewalla i odpowiadających im logów

Sophos udostępnia bardzo dobrą listę usług wraz z powiązanymi logami: Sophos KB Log file details.

Wyświetlanie usług firewalla

To polecenie Advanced Shell pokazuje aktywne usługi i ich status:

service -S

Jeśli potrzebny jest tylko status pojedynczej usługi, można połączyć service -S z grep:

service -S | grep strongswan

To polecenie wykonuje podobne zadanie z poziomu Firewall Console:

system diagnostics show subsystem-info

Debug Log

Tryb debugowania jest niezbędny, gdy zwykłe logi nie dostarczają wystarczających informacji do zrozumienia problemu. W porównaniu z normalnym poziomem logowania, który zapisuje podstawowe zdarzenia i błędy, tryb debugowania zapisuje więcej szczegółów i procesów wewnętrznych. Dzięki temu można dokładniej diagnozować złożone lub rzadkie błędy.

Aby uruchomić konkretną usługę w trybie debugowania, użyj:

service ips:debug -ds nosync

Aby zakończyć tryb debugowania, tak aby log nie zapełnił dysku, należy po pewnym czasie ponownie wykonać polecenie:

service ips:debug -ds nosync
Sophos Firewall - Advanced Shell - tryb debugowania
Sophos Firewall - Advanced Shell - tryb debugowania

Temat usług i ich restartu opisaliśmy dokładniej tutaj: Restart usług w Sophos Firewall

Ostatnie uwagi

Poruszanie się po Sophos Shell może na początku wydawać się złożone, ale z odpowiednimi poleceniami można szybko i skutecznie identyfikować oraz usuwać problemy. Ta instrukcja pomaga zrozumieć najważniejsze polecenia i używać ich w praktyce. Dobra znajomość CLI znacząco poprawia możliwości diagnozy, a w razie potrzeby można oczywiście skorzystać również z naszego wsparcia.