Przejdz do tresci
Avanet

Sprawdzanie kolejki zadań zarządzania zaporą Sophos Central

Sophos Firewall

Jeśli zmiana została zapisana w Sophos Central, ale nie dotarła do Sophos Firewall, lokalna zapora nie zawsze jest pierwszym źródłem błędu. W przypadku centralnie zarządzanych zapór należy również sprawdzić kolejkę zadań w Sophos Central. Tam można zobaczyć, czy Central nadal przetwarza, częściowo zastosował, pominął lub zakończył z błędem grupową politykę, zadanie zapory oparte na API lub inną centralną zmianę.

Jest to szczególnie ważne, gdy zarządza się wieloma zaporami w grupie. Pojedyncze nieudane zadanie może opóźnić późniejsze zmiany lub wprowadzić zamieszanie w poszukiwaniu błędów, ponieważ konfiguracja w Sophos Central wygląda inaczej niż na dotkniętej zaporze.

Kiedy kolejka zadań jest istotna

Kolejka zadań jest istotna, gdy zmiany nie są wykonywane bezpośrednio lokalnie na zaporze, ale za pośrednictwem Sophos Central. Dotyczy to przede wszystkim środowisk, w których zapory są połączone z Sophos Central i aktywnie wykorzystywane jest zarządzanie zaporą Central.

Typowe sytuacje:

  • zmieniono grupową politykę w Sophos Central
  • zmiana dotarła do niektórych zapór, ale nie do innych
  • aktualizacja oprogramowania układowego została zaplanowana lub uruchomiona przez Sophos Central
  • zadania zapory oparte na MDR lub API nie zostały w pełni zrealizowane
  • zadanie długo pozostaje w stanie Pending lub In Progress
  • zadanie jest Failed, Skipped, Invalid license lub tylko częściowo zakończone sukcesem
  • po błędzie późniejsze zmiany nie są przetwarzane zgodnie z oczekiwaniami

Dla lokalnego rozwiązywania problemów na żywo ważny pozostaje Log Viewer zapory. Kolejka zadań odpowiada jednak na inne pytanie: Czy Sophos Central w ogóle pomyślnie przekazał zmianę do zapory?

Gdzie znaleźć kolejkę zadań

Ścieżka w Sophos Central to:

My Products > Firewall Management > Tasks Queue

Sophos rozróżnia tam między kolejką zadań a kolejką zadań zapory.

WidokDo czego jest przeznaczony
Kolejka zadańStatus grupowych polityk zapory stosowanych na zaporach przez Sophos Central
Kolejka zadań zaporyZadania zapory z MDR Settings, MDR IOCs i Firewall Configuration API

Dla klasycznych problemów z zarządzaniem zaporą Central zazwyczaj najpierw interesująca jest kolejka zadań. Kolejka zadań zapory staje się ważniejsza, gdy zmiany są wywoływane przez Firewall Configuration API lub funkcje zapory związane z MDR.

Jakie informacje są ważne

Pojedyncze zadanie jest przydatne tylko wtedy, gdy jest prawidłowo sklasyfikowane. Przed zmianą lub ponowieniem należy zanotować co najmniej te pola:

  • Numer zadania
  • Dotknięta grupa lub zapora
  • Status
  • Czas
  • Administrator lub Credential ID
  • Entity i Sub-entity
  • Wyświetlany komunikat o błędzie
  • Liczba zapór zakończonych sukcesem i niepowodzeniem

Czas nie zawsze oznacza początek przetwarzania na każdej zaporze. W przypadku grupowych polityk Sophos Central najpierw pokazuje czas utworzenia lub zmiany, a później aktualizuje go, gdy polityka jest stosowana na zaporach. Dlatego przy dłuższych wdrożeniach nie należy patrzeć tylko na pierwszy czas.

Prawidłowa interpretacja statusu

StatusZnaczenie w praktyce
PendingZadanie czeka na przetworzenie. Przy dłuższym czasie sprawdź łączność, licencję i połączenie z Central.
In ProgressCentral nadal przetwarza zadanie. Nie uruchamiaj równolegle kilku poprawek, gdy zadanie jest w toku.
SuccessCentral zgłasza zadanie jako zakończone sukcesem. Następnie zweryfikuj na zaporze, czy oczekiwany efekt jest widoczny.
Partial SuccessCzęść została zastosowana, część nie. Jest to szczególnie ważne w przypadku grup lub wielu obiektów.
FailedZmiana nie została pomyślnie zakończona. Udokumentuj komunikat o błędzie i dotkniętą zaporę.
SkippedZadanie zostało świadomie pominięte. Następnie potrzebna jest fachowa kontrola.
Invalid licenseLicencja lub uprawnienie nie pasuje do planowanej akcji. Nie próbuj rozwiązać tego przez powtarzanie ponowienia.

Sophos Central może automatycznie usunąć zadania ze statusem Pending po kilku tygodniach. Dla dokumentacji operacyjnej, przypadków wsparcia lub przeglądów zmian należy zabezpieczyć istotne błędy na czas.

Czysty proces sprawdzania

W przypadku zablokowanej zmiany Central bardziej pomaga spokojny proces niż wielokrotne klikanie ponowienia.

  1. Otwórz w Sophos Central My Products > Firewall Management > Tasks Queue.
  2. Ogranicz okres i dotkniętą zaporę lub grupę zapór.
  3. Rozwiń zadanie i sprawdź dotknięte zapory.
  4. Udokumentuj status, komunikat o błędzie, Entity, Sub-entity i czas.
  5. Sprawdź na zaporze, czy zmiana jest widoczna, czy tylko zapisana w Central.
  6. W przypadku zmian konfiguracyjnych dodatkowo sprawdź Audit Trail Logs.
  7. W przypadku problemów z ruchem przeanalizuj Log Viewer, Policy Test i odpowiednie logi usług.
  8. Dopiero potem zdecyduj, czy ponowienie, pominięcie lub przypadek wsparcia jest sensowny.

Jeśli nie jest jasne, który lokalny log jest istotny, pomocne jest Rozwiązywanie problemów z Sophos Firewall: Usługi i logi. Dla analizy reguł i ruchu dodatkowo pasuje Testowanie reguł zapory z Log Viewer, Policy Test i Packet Capture.

Pominięcie czy ponowienie?

Sophos Central oferuje w zależności od statusu akcje Skip i Retry. Obie są przydatne, ale nie powinny być traktowane jako czysta akcja porządkowa.

AkcjaSensowna, gdyPrzedtem sprawdź
Retryprzyczyna została usunięta, na przykład połączenie, licencja, konflikt obiektów lub tymczasowa awaria CentralCzy jest jasne, dlaczego zadanie nie powiodło się?
Skipnieudane lub już nieistotne zadanie blokuje późniejsze zadania i fachowy wpływ jest zrozumianyCzy przez to świadomie nie zostanie zastosowana planowana zmiana polityki?
Wartenzadanie właśnie trwa lub Central przetwarza wiele zapórCzy są wskazówki na rzeczywistą blokadę czy tylko normalne opóźnienie?
Przypadek wsparciabłąd powtarza się, dotyczy kilku produkcyjnych zapór lub komunikat nie jest jednoznacznyCzy szczegóły zadania, czas, nazwa zapory i logi są zabezpieczone?

⚠️ Nie należy pomijać nieudanego zadania tylko po to, aby kolejka wyglądała czysto. Pominięcie to decyzja operacyjna: nie zastosowana zmiana musi być potem świadomie sprawdzona lub osobno wdrożona.

Typowe scenariusze błędów

Zmiana jest widoczna w Central, ale nie na zaporze

W takim przypadku najpierw sprawdź, czy odpowiednie zadanie zostało pomyślnie zakończone. Jeśli zadanie jest nadal Pending, In Progress, Failed lub Partial Success, problem niekoniecznie leży w lokalnej regule zapory. Dopiero gdy Central zgłosi zadanie jako zakończone sukcesem, należy głębiej przeanalizować lokalne polityki, obiekty lub logi.

Tylko pojedyncze zapory w grupie są dotknięte

W przypadku grupowych polityk zmiana może być pomyślna na kilku zaporach, a na jednej zakończyć się niepowodzeniem. Wtedy nie należy zmieniać całej grupy, ale rozwinąć dotkniętą zaporę i sprawdzić różnice: licencję, wersję oprogramowania, połączenie z Central, lokalne konflikty obiektów, platformę i znane problemy.

Zadanie aktualizacji oprogramowania przez Central nie uruchamia się poprawnie

Jeśli aktualizacja oprogramowania Sophos Firewall została zaplanowana przez Sophos Central, kolejka zadań powinna być częścią kontroli. Jeśli zapora pozostaje na starej wersji, najpierw sprawdź, czy Central uruchomił i zakończył zadanie. Dla głównych wydań dodatkowo należy przygotować się za pomocą SFOS 22 Upgrade Check.

Synchronizacja polityki Web lub TLS nie powiodła się

W przypadku Web Protection, grup URL lub wykluczeń TLS synchronizacja Central może być szczególnie myląca, ponieważ Central zaakceptował zmianę, ale zapora jej nie przetworzyła w pełni. Wtedy należy porównać dotkniętą jednostkę z kolejki zadań z lokalną konfiguracją. Dla fachowej klasyfikacji pasują Wprowadzenie inspekcji TLS Sophos Firewall i Tworzenie polityki ochrony sieci Web Sophos Firewall.

XGS 88/w i Local TLS Exclusion List

Na liście znanych problemów udokumentowano konkretny problem z modelami XGS 88/w: Podczas synchronizacji polityki Sophos Central może nie powieść się przetwarzanie Local TLS exclusion list. Wyświetlany komunikat o błędzie odnosi się do grupy URL, której nie można było zaktualizować. W takim przypadku można pominąć nieudaną transakcję z kolejki zadań, aby późniejsze zadania mogły kontynuować.

W praktyce nie należy jednak po prostu kontynuować. Ważna jest kontrola:

  • Czy pożądane wykluczenie TLS jest lokalnie na zaporze?
  • Czy polityki Web i TLS na zaporze są nadal fachowo poprawne?
  • Czy problem dotyczy tylko jednej XGS 88/w czy kilku zapór?
  • Czy zmiana musi być tymczasowo wdrożona lokalnie lub przesunięta?
  • Czy istnieje wydanie konserwacyjne lub wskazówka Sophos dla dotkniętej wersji?

Kontrola na zaporze

Pomyślne zadanie Central to dobry sygnał, ale jeszcze nie pełny test operacyjny. W zależności od zmiany należy lokalnie sprawdzić:

  • Czy zmieniona reguła, polityka, lista lub wersja oprogramowania jest widoczna?
  • Czy Log Viewer pokazuje oczekiwane zdarzenia?
  • Czy zmiana została zarejestrowana w Audit Trail?
  • Czy połączenie z Central i raportowanie są nadal aktywne?
  • Czy działają dotknięci użytkownicy, VPN, dostęp do sieci Web lub aplikacje?

W przypadku zmian związanych z bezpieczeństwem należy dodatkowo zdefiniować krótki punkt przywracania. Dotyczy to szczególnie Web Protection, TLS Inspection, reguł zapory, VPN, klastrów HA i aktualizacji oprogramowania.

Lista kontrolna operacyjna

  • Przed zmianami przez Sophos Central wyjaśnij, które zapory lub grupy są dotknięte.
  • Po zmianach w Central sprawdź kolejkę zadań.
  • Udokumentuj nieudane zadania z komunikatem o błędzie, czasem i nazwą zapory.
  • Partial Success nie traktuj jako całkowicie zakończone.
  • Używaj ponowienia dopiero po sprawdzeniu przyczyn.
  • Używaj pominięcia tylko wtedy, gdy fachowy wpływ jest zrozumiany.
  • Przy zadaniach oprogramowania zaplanuj okno konserwacyjne, kopię zapasową i lokalny dostęp.
  • Przy powtarzających się błędach zabezpiecz informacje z Audit Trail, Log Viewer i Sophos Support.

FAQ

Co pokazuje kolejka zadań Sophos Central?

Kolejka zadań pokazuje status grupowych polityk zapory stosowanych na zaporach przez Sophos Central. Widać między innymi dotknięte grupy, zapory, status, administratora, jednostkę, podjednostkę i czas.

Czym jest kolejka zadań zapory?

Kolejka zadań zapory pokazuje zadania zapory pochodzące z MDR Settings, MDR IOCs lub Firewall Configuration API. Tam istotne są na przykład status, Credential ID, jednostka, akcja i czas.

Czy można pominąć nieudane zadanie?

Tak, technicznie można pominąć niektóre zadania. Operacyjnie należy to robić tylko wtedy, gdy jest jasne, jaka zmiana nie została przez to zastosowana i jak zostanie sprawdzona dotknięta zapora.

Kiedy ponowienie jest sensowne?

Ponowienie jest sensowne, gdy przyczyna błędu została usunięta. Przykłady to przywrócone połączenie z Central, poprawiona licencja, rozwiązany konflikt obiektów lub tymczasowy błąd, który już nie występuje.

Czy kolejka zadań zastępuje Log Viewer?

Nie. Kolejka zadań pokazuje, czy Central przetworzył zmianę. Log Viewer pokazuje lokalne zdarzenia zapory i nadal jest niezbędny do analizy ruchu, polityk i usług.