Sophos Firewall troubleshooting: usługi i logi
W Sophos Firewall są dwa ważne poziomy troubleshooting: zdarzenia w Log viewer oraz pliki usług i logów na firewallu. Log Viewer jest idealny do szybkich pytań, na przykład czy połączenie zostało dozwolone czy zablokowane. Pliki w /log są ważniejsze, gdy usługa się nie uruchamia, tunel VPN jest niestabilny, filtr web działa nieoczekiwanie albo support potrzebuje szczegółowych danych.
Ten artykuł przypisuje najważniejsze usługi i pliki logów do typowych problemów administracyjnych. Pomaga także wtedy, gdy w dashboardzie, Advanced Shell albo w zgłoszeniu supportowym pojawia się techniczna nazwa usługi i nie od razu wiadomo, jaka funkcja firewalla za nią stoi. Nazwy takie jak zebra, warren, awed, garner czy strongswan nie są oczywiste w codziennej pracy.
Log Viewer czy plik logu?
Log viewer otwiera się w konsoli WebAdmin w prawym górnym rogu. Odświeża się automatycznie, można filtrować po module, czasie, wartościach pól i tekście, a logi można eksportować jako CSV.
Troubleshooting logs znajdują się na firewallu w katalogu /log. Dostęp jest możliwy przez konsolę WebAdmin lub SSH. Do krótkich kontroli działa Device Management > Advanced Shell w przeglądarce, ale w praktyce SSH jest zwykle wygodniejsze, stabilniejsze i lepsze do dłuższych sesji tail, grep lub less. Bezpieczne przygotowanie SSH opisuje artykuł Połączenie z Sophos Firewall przez SSH.
- Połączyć się przez SSH albo otworzyć Device Management > Advanced Shell w WebAdmin.
- Przejść do katalogu logów.
cd /log
Przydatne komendy:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Najważniejsze komendy Advanced Shell:
| Komenda | Przykład | Cel |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | pokazuje nowe linie logu na żywo |
less /log/<logfilename>.log | less /log/ips.log | otwiera statyczny plik logu do odczytu |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | szuka słowa kluczowego w pliku logu |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | uruchamia, zatrzymuje, restartuje lub włącza debug dla usługi |
Jeśli logi trzeba zabezpieczyć dla supportu lub analizy zewnętrznej, pomaga Zapisanie logów Sophos Firewall do analizy zewnętrznej.
Advanced Shell czy Device Console?
Sophos Firewall ma dwa różne obszary konsoli, które często są mylone:
| Obszar | Zastosowanie |
|---|---|
| Device Console | Sophos CLI dla komend specyficznych dla firewalla, na przykład priorytet routingu, trasy IPsec lub opcje systemowe |
| Advanced Shell | shell podobny do Linux dla systemu plików, logów, tail, grep, less, service -S, restartów usług i komend debug |
Nie każda komenda działa w obu obszarach. Jeśli artykuł wyraźnie wskazuje Device Console, komendę należy wykonać tam. Jeśli chodzi o /log, tail -f, grep, service -S lub debug logging, zwykle chodzi o Advanced Shell.
To rozróżnienie jest ważne, bo wiele błędów wynika tylko z wpisania poprawnej komendy w złym miejscu.
Logging musi być włączony
Nie każda oczekiwana informacja pojawia się automatycznie.
- W firewall rules musi być włączone Log firewall traffic.
- W SSL/TLS inspection rules musi być włączony logging.
- W System services > Log settings definiuje się, które typy logów są zapisywane lokalnie, wysyłane do Sophos Central albo do syslog.
Dla długiego przechowywania warto użyć serwera syslog albo Sophos Central Firewall Reporting. Sophos Firewall może mieć skonfigurowanych do pięciu zewnętrznych serwerów syslog. Central Firewall Reporting również liczy się do tego limitu.
Więcej: Aktywacja Central Firewall Reporting.
Debug tylko celowo
Debug logging jest bardzo pomocny, ale generuje dużo danych i może zużywać miejsce. Debug powinien być włączany tylko dla właściwej usługi. Następnie odtwarza się problem i ponownie wyłącza debug.
Przykład:
service ips:debug -ds nosync
service ips:debug -ds nosync off
Dokładna składnia zależy od usługi. Jeśli nie wiadomo, której usługi dotyczy problem, najpierw należy sprawdzić normalny plik logu.
Debug logging i podstawowe komendy CLI są dokładniej opisane w Sophos Firewall troubleshooting - wskazówki CLI. Do restartu pojedynczych usług pomaga Restart usług Sophos Firewall.
Firewall, NAT i Packet Capture
| Funkcja | Usługa / kontekst | Pierwszy plik logu | Dodatkowo sprawdzić |
|---|---|---|---|
| Matching firewall rule | Firewall Rule Engine | firewall_rule.log | moduł Firewall w Log Viewer |
| Ogólne przetwarzanie firewall | Firewall log / ścieżka kernel | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID w Log Viewer |
| Packet Capture w WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / starsza publikacja serwera | vhost | vhost.log | NAT i WAF |
Przy problemach DNAT zawsze trzeba sprawdzać razem firewall rule i NAT rule. NAT tylko tłumaczy adresy, ale nie zezwala na ruch. Więcej: NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Sophos Firewall używa IP tables, ARP table, IPset i conntrack dla połączeń firewall. IMQ jest używany dla QoS i Bandwidth Management. To pomaga, gdy logi lub dane supportowe zawierają techniczne pojęcia ze ścieżki sieciowej Linux.
IPS, Application Control i TLS Inspection
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI i TLS Inspection | DPI Engine | ips.log |
| Antivirus w ścieżce sieciowej | avd | avd.log |
| Aktualizacje sygnatur | Signature Updater | sig_upgrade.log, sig_update.log |
| Migracja sygnatur | Signature Migration | sigmigration.log |
Wiele nowoczesnych funkcji ochronnych widzi wystarczająco dużo szczegółów dopiero wtedy, gdy HTTPS jest deszyfrowany. Jeśli TLS Inspection nie działa, Web Filter, Application Control, IPS i Malware Scan są mniej miarodajne zależnie od ruchu.
Więcej: Wdrażanie TLS Inspection na Sophos Firewall krok po kroku.
Web, proxy, WAF i webfilter
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | access log awarrenhttp | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Jeśli ruch web jest widoczny w Log Viewer jako zablokowany, przyczyna może leżeć w kilku modułach: Web Policy, SSL/TLS inspection, Application Control, IPS albo WAF. Dlatego zawsze trzeba wybrać konkretny moduł w Log Viewer i sprawdzić właściwy plik logu.
Sophos zawsze blokuje strony w kategorii highly objectionable criminal activity i ukrywa nazwę domeny w logach i raportach. Jeśli taki wpis wygląda na celowo zanonimizowany, może to być oczekiwane.
VPN
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| IPsec od SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec starsze wersje | usługa IPsec | ipsec.log |
| IPsec Test Connection | test IPsec | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| Status SSL VPN | status OpenVPN | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| Certyfikaty VPN | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall używa strongSwan dla IPsec VPN i OpenVPN dla SSL VPN. Przy problemach IPsec kluczowe są czas, peer IP, proposal, local/remote subnets, NAT-T, routing i firewall rules.
Przy problemach IPsec lepszą instrukcją krok po kroku jest Sophos Firewall IPsec troubleshooting. Przy route-based VPN i ręcznych trasach IPsec pomaga Tworzenie trasy IPsec na Sophos Firewall.
Authentication, User Portal i SSO
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Uwierzytelnianie użytkowników | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / kontekst Access Server | zależnie od kontekstu usługi i access_server.log |
Przy regułach użytkowników najpierw trzeba sprawdzić, czy użytkownik w ogóle jest znany. Jeśli Match known users jest włączone, a uwierzytelnianie nie działa, reguła nie matchuje.
DNS, DHCP i sieć
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / inne komponenty DNS | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Usługa sieciowa | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
Problemy DNS i DHCP często wyglądają jak problemy firewall. Dlatego najpierw należy sprawdzić adres IP, gateway, DNS server i czy klienci powinni używać firewalla jako DNS lub DHCP server.
Jeśli wewnętrzne domeny nie rozwiązują się poprawnie, zwykle istotne jest Konfigurowanie DNS request routes na Sophos Firewall. Dla specjalnych opcji DHCP jest Konfiguracja Sophos Firewall DHCP Options.
Cellular WAN
| Funkcja | Co sprawdzić | Plik logu |
|---|---|---|
| WWAN / modem USB | podłączenie i usunięcie urządzeń USB | mdev.log |
| Konfiguracja sieci modemu | interfejsy i konfiguracja IP związane z modemem | networkd.log |
| USB, modem i PPP | komunikaty syslog dla USB, modemu i Point-to-Point Protocol | syslog.log |
Przy problemach Cellular WAN trzeba też sprawdzić, czy modem jest wykrywany, czy PIN/SIM/APN są poprawne i czy firewall tworzy właściwy gateway.
Routing
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Przy problemach routingu należy dodatkowo sprawdzić Routing > SD-WAN routes, gateways i Packet Capture. Policy tester nie zastępuje realnego testu routingu.
Więcej: Zmiana priorytetu routingu na Sophos Firewall.
GUI, CLI i dostęp systemowy
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| Błędy GUI/CLI | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Walidacja | Config Validation | validation.log, validationError.log |
Jeśli WebAdmin lub SSH nie są dostępne, nie należy sprawdzać tylko tych logów. Dostęp lokalny jest kontrolowany przez Administration > Device access i Local Service ACL.
Więcej: Połączenie z Sophos Firewall przez SSH.
Sophos Central, Heartbeat i Central Management
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat do Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | odpowiednie logi usług |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | kontekst ATR | zależnie od wersji i modułu |
Przy problemach Central najpierw należy sprawdzić, czy firewall jest zarejestrowany, Central Services są aktywne i działa wychodzący DNS/HTTPS.
High Availability
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Status i konfiguracja HA | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
HA logs są przechowywane na urządzeniu, na którym powstały. Do surowych logów urządzenia auxiliary trzeba połączyć się bezpośrednio z tym urządzeniem, na przykład przez jego admin port po SSH. Do skonsolidowanych raportów praktyczniejszy jest Sophos Central Firewall Reporting.
Mail i Anti-Spam
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| Błędy SMTP | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Przy problemach mail trzeba zawsze sprawdzić, czy MTA Mode, firewall rule, DNS, certyfikaty i ograniczenia operatora pasują do siebie.
Sophos Firewall używa Avira i Sophos Antivirus. Usługa Anti-Spam startuje tylko wtedy, gdy istnieje przychodząca lub wychodząca spam policy. Ta zależność jest ważna, jeśli sasi.log pozostaje pusty albo usługa Anti-Spam nie działa.
Wireless, RED, Hotspot i inne usługi
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Baza danych i reporting
| Funkcja | Usługa / kontekst | Plik logu |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Jeśli raportów brakuje, są wolne albo pojawiają się problemy z miejscem, ważne są logi reportingu i bazy danych. Trzeba też sprawdzić, czy raporty są przechowywane lokalnie czy wysyłane do Sophos Central.
Praktyczna kolejność analizy
- Dokładnie zanotować problem: czas, klient, cel, port, użytkownik, akcja.
- W Log Viewer filtrować po source IP i czasie.
- Sprawdzić, czy widoczne są Firewall Rule ID i NAT Rule ID.
- Obserwować właściwy plik logu przez
tail -f. - Odtworzyć problem.
- Jeśli trzeba, na krótko włączyć debug.
- Użyć Packet Capture, jeśli przepływ pakietów jest niejasny.
- Zapisać logi, gdy błąd został świeżo odtworzony.
W przypadkach supportowych należy udokumentować wszystkie komunikaty błędów, kroki odtworzenia i już wykonane działania troubleshooting. Takie informacje znacząco przyspieszają obsługę zgłoszeń.
Więcej informacji
Tabele w tym artykule opierają się na praktycznym doświadczeniu oraz oficjalnym zestawieniu Sophos dotyczącym plików logów modułów. Oficjalne źródła: