Saltar para o conteudo
Avanet

Proteger logs do Sophos Firewall para suporte e análise

Em caso de falhas, problemas de VPN ou eventos de firewall não claros, capturas de tela individuais da interface web muitas vezes não são suficientes. Para uma análise fundamentada, um caso de suporte precisa de marcações de tempo rastreáveis, arquivos de log apropriados e, às vezes, uma captura de pacotes adicional.

Este guia descreve como empacotar os logs de um Sophos Firewall em um arquivo através do Advanced Shell e disponibilizá-los de forma segura para o suporte da Sophos, Avanet ou uma análise externa. Este procedimento não substitui a primeira delimitação no Log Viewer. Se ainda não estiver claro qual módulo está afetado, a visão geral Solução de problemas do Sophos Firewall: Serviços e Logs pode ajudar inicialmente.

Qual artigo de solução de problemas é adequado?

O arquivo de logs é apenas uma ferramenta na solução de problemas. Dependendo do tipo de erro, uma abordagem diferente pode ser mais rápida:

Essa separação economiza tempo. Um arquivo de logs completo ajuda em análises de serviço e suporte, mas não substitui um caso de teste reproduzível no Log Viewer e uma captura de pacotes direcionada.

Quais dados o suporte precisa?

Nem todo problema precisa imediatamente de um arquivo de logs completo. Quanto mais claro o erro for delimitado, menores e mais úteis serão os dados.

  • Regra de firewall ou regra NAT é aplicada inesperadamente: Hora, IP de origem, IP de destino, ID da regra, ID NAT, exportação do Log Viewer e, se necessário, Packet Capture.
  • Serviço não inicia ou WebAdmin mostra erro: Arquivo de logs de /log, serviço afetado, hora e último passo de configuração.
  • Túnel IPsec não é estabelecido ou cai: Arquivo de logs normal, dados de diagnóstico IPsec, IP do peer, redes locais e remotas, momento da tentativa de conexão.
  • Tráfego não chega ao destino: Log Viewer, Packet Capture ou, para análises mais longas, tcpdump-PCAP.
  • Problema após alteração de configuração: Audit Trail, momento aproximado da alteração, administrador envolvido e objetos afetados.

Para muitos tickets, a combinação de momento do problema, breve descrição do erro, arquivo de logs e uma evidência adicional direcionada é melhor do que um pacote de dados muito amplo sem contexto. Se um ticket oficial da Sophos for criado, também é adequado Abrir um ticket de suporte da Sophos: Preparação e Portal.

Pré-requisitos

Para este guia, você precisará de:

  • Acesso administrativo ao Sophos Firewall
  • Acesso ao Advanced Shell
  • Um servidor de destino ou outra maneira segura de transferir o arquivo de logs
  • Espaço de armazenamento suficiente no firewall para o arquivo temporário

Os comandos são executados diretamente no firewall. Portanto, deve-se trabalhar com cuidado e não excluir arquivos, a menos que esteja claro para que são usados.

Se o acesso ao Shell ainda não estiver configurado, o guia Conectar ao Sophos Firewall via SSH explica como estabelecer uma conexão SSH com o firewall.

⚠️ Arquivos de logs e arquivos PCAP podem conter informações sensíveis. Esses arquivos devem ser mantidos no firewall apenas por um curto período, transferidos com segurança e removidos após a entrega bem-sucedida.

Abrir o Advanced Shell

Faça login no Sophos Firewall e abra o Advanced Shell:

  1. Abra Device Management.
  2. Selecione Advanced Shell.
  3. Confirme o acesso, caso o firewall exiba uma consulta adicional.

Após o login, você estará no Shell do firewall. A partir daí, os arquivos de log podem ser arquivados.

Coletar logs direcionados antes de proteger

Se um problema for reproduzível, ele deve ser desencadeado novamente, se possível, imediatamente antes de arquivar os logs. Isso garante que as entradas relevantes estejam o mais atualizadas possível nos arquivos de log.

Para problemas mais complexos, os logs normais às vezes não são suficientes. Nesse caso, pode ser útil ativar um log de debug para o serviço afetado antes de arquivar. Como isso funciona é descrito na seção Ativar log de debug direcionado.

Qual arquivo de log pertence a qual módulo do firewall está resumido em Solução de problemas do Sophos Firewall: Serviços e Logs. Esta visão geral é útil se você quiser verificar especificamente se para um problema são mais relevantes os logs de VPN, IPS, Web, Mail, GUI ou do sistema.

Se não for um problema de serviço, mas o fluxo de pacotes em si não estiver claro, um arquivo de logs sozinho muitas vezes não é suficiente. Para testes curtos, Packet Capture no WebAdmin é adequado. Para arquivos PCAP, capturas mais longas ou análises de suporte, tcpdump no Sophos Firewall é a ferramenta apropriada.

Proteger todos os arquivos de log

Antes de arquivar, deve-se verificar se há espaço de armazenamento livre suficiente em /var:

df -h /var

Em seguida, crie um arquivo compactado com os arquivos do diretório /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

O comando cria o arquivo:

/var/Sophos-Firewall-Logs.tar.gz

Os componentes principais do comando:

  • tar cria um arquivo.
  • -c cria um novo arquivo.
  • -v exibe os arquivos processados.
  • -z compacta o arquivo com gzip.
  • -f especifica o nome do arquivo.
  • -C / muda para o diretório raiz para o processo de arquivamento.
  • log é o diretório com os arquivos de log do Sophos Firewall.

A vantagem de -C / é que o comando funciona independentemente do diretório de trabalho atual. Um cd / anterior não é necessário. Se o arquivo já existir, ele será sobrescrito pelo comando.

Dependendo do tamanho e da carga do firewall, o processo de arquivamento pode demorar algum tempo. A saída de tar mostra, durante o processo, quais arquivos estão sendo escritos no arquivo.

Em seguida, pode-se verificar o tamanho do arquivo:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Além disso, deve-se verificar rapidamente se o arquivo é legível e realmente contém o diretório de logs:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

A saída deve mostrar caminhos sob log/. Se o comando relatar um erro ou o arquivo for incomumente pequeno, ele não deve ser transmitido. Primeiro, verifique o espaço livre, permissões de escrita e a execução anterior do tar.

Copiar arquivo de logs para um servidor Linux

Se um servidor Linux for acessível via SSH, o arquivo pode ser transferido com scp.

Exemplo:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Aí, o endereço IP, o usuário e o caminho de destino devem ser ajustados ao seu ambiente.

Após a transferência, o arquivo estará no servidor de destino em:

/root/Sophos-Firewall-Logs.tar.gz

A partir daí, ele pode ser transmitido internamente ou disponibilizado para o suporte da Sophos ou Avanet.

Proteger dados de diagnóstico IPsec separadamente

Para problemas de VPN ou IPsec, os dados de conexão IPsec de /tmp/ipsec/connections/ podem ser úteis.

Para isso, crie um arquivo separado:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Aqui também, o arquivo gerado pode ser verificado rapidamente:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Este arquivo também pode ser copiado para um servidor de destino via scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Especialmente em caso de erros IPsec, é aconselhável fornecer este arquivo junto com os logs normais do firewall, para que o status do túnel, informações de conexão e entradas de log possam ser avaliados em conjunto.

Arquivo de logs, Central Reporting ou Syslog?

Um arquivo de logs local responde a uma pergunta diferente do que Central Reporting ou Syslog.

  • Arquivo de logs de /log: Caso de suporte, erro de serviço, debug de VPN, análise de detalhes local. Instantâneo do firewall local.
  • Central Firewall Reporting: Relatórios, histórico e pesquisa no Sophos Central. não substitui logs de suporte locais completos.
  • Syslog ou SIEM: armazenamento de longo prazo próprio, correlação e processos SOC. requer parser, operação e logging ativado previamente.
  • Audit Trail Logs: Rastrear alterações de configuração. não é análise de fluxo de pacotes ou serviço.

Para um caso de suporte agudo, o arquivo de logs local ainda é frequentemente necessário, mesmo que Central Reporting ou Syslog estejam ativos. Por outro lado, para armazenamento de longo prazo, não se deve esperar que os logs locais no firewall ainda estejam completos mais tarde.

Tratar capturas de pacotes separadamente

Arquivos de logs e capturas de pacotes são evidências diferentes. O arquivo de logs mostra mensagens de serviço, erros, estados de VPN e eventos do sistema. Um Packet Capture ou tcpdump mostra, por outro lado, se os pacotes realmente chegam, são encaminhados ou se as respostas estão faltando.

Para casos de suporte, não se deve enviar capturas de pacotes sem filtro. É melhor:

  1. Anotar o caso de teste com IP de origem, IP de destino, porta, protocolo e hora.
  2. Primeiro verificar o Log Viewer e o WebAdmin Packet Capture, se isso for suficiente.
  3. Somente se necessário, criar uma captura tcpdump restrita como PCAP.
  4. Transferir o arquivo PCAP com segurança.
  5. Remover o arquivo PCAP do firewall após a transferência bem-sucedida.

O arquivo PCAP não pertence ao arquivo /log, mas é criado e transferido separadamente. Isso mantém claro qual arquivo contém logs de serviço e qual arquivo contém pacotes de rede.

Segurança e privacidade

Arquivos de log podem conter informações sensíveis, como:

  • Endereços IP públicos e internos
  • Nomes de usuário
  • Nomes de host
  • Informações de VPN
  • Mensagens de erro com detalhes técnicos
  • Indicações de estruturas de rede internas

Arquivos de logs devem, portanto, ser transmitidos apenas por canais seguros e disponibilizados apenas para pessoas ou organizações envolvidas na análise. Se os logs forem enviados a um parceiro externo, deve-se primeiro verificar internamente se a transmissão está de acordo com as políticas de privacidade e segurança da própria organização.

Remover arquivos temporários

Após a transferência bem-sucedida do arquivo, ele deve ser excluído do firewall para que não ocupe espaço de armazenamento desnecessário:

rm /var/Sophos-Firewall-Logs.tar.gz

Se também foi criado um arquivo IPsec separado, ele também deve ser removido:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Antes de excluir, deve-se verificar se os arquivos chegaram com sucesso ao sistema de destino.

Lista de verificação para casos de suporte

  • Problema brevemente descrito: O que não funciona, desde quando, com que frequência?
  • Hora exata com fuso horário anotada.
  • IP de origem, IP de destino, usuário, serviço ou nome do túnel afetado anotado.
  • Módulo relevante verificado no Log Viewer.
  • Se necessário: Debug ativado apenas brevemente e desativado novamente.
  • Arquivo de logs de /log criado.
  • Para problemas IPsec, dados de diagnóstico IPsec também protegidos.
  • Para problemas de fluxo de pacotes, Packet Capture ou tcpdump criado separadamente.
  • Arquivo verificado rapidamente com tar -tzf para legibilidade.
  • Arquivo e PCAP transmitidos apenas por canais seguros.
  • Arquivos temporários no firewall removidos após a transferência bem-sucedida.

FAQ

Uma captura de tela do Log Viewer é suficiente para o suporte da Sophos?

Para casos simples, uma captura de tela pode ajudar. Em erros complexos, arquivos de log, marcações de tempo precisas e, dependendo do problema, uma captura de pacotes ou captura tcpdump são significativamente mais informativos.

Deve-se sempre proteger todos os logs do Sophos Firewall?

Nem sempre. Se o problema estiver claramente delimitado, logs direcionados e o período exato geralmente são suficientes. Para casos de suporte, um arquivo completo de /log é frequentemente útil, pois vários serviços podem estar interligados.

Um arquivo PCAP pertence ao arquivo de logs?

Não. Arquivos PCAP são criados separadamente com Packet Capture ou tcpdump e transferidos separadamente. Isso mantém os logs de serviço e as capturas de pacotes claramente separados.

Central Reporting substitui um arquivo de logs local?

Não. Central Reporting é útil para histórico, pesquisa e relatórios no Sophos Central. Para casos de suporte ou análise de serviço, frequentemente ainda são necessários arquivos de log locais de /log, pois contêm informações detalhadas de módulos e serviços.

Como verificar se o arquivo de logs foi criado?

Primeiro, verifique com ls -lh /var/Sophos-Firewall-Logs.tar.gz se o arquivo existe e tem um tamanho plausível. Depois, pode-se verificar com tar -tzf /var/Sophos-Firewall-Logs.tar.gz se o arquivo é legível e contém arquivos sob log/.