Saltar para o conteudo
Avanet

Guardar logs da Sophos Firewall para suporte e análise

Sophos Firewall

Em falhas, problemas VPN ou eventos pouco claros da firewall, capturas de ecrã da interface web muitas vezes não são suficientes. O Sophos Support, a Avanet ou um parceiro externo de segurança normalmente precisa dos logs relevantes da firewall.

Este guia mostra como arquivar os logs da Sophos Firewall via Advanced Shell e prepará-los para análise.

Requisitos

Para este guia é necessário:

  • Acesso administrativo à Sophos Firewall
  • Acesso à Advanced Shell
  • Um servidor de destino ou outro método seguro para transferir o arquivo de logs
  • Espaço livre suficiente na firewall para o arquivo temporário

Os comandos são executados diretamente na firewall. Deve trabalhar com cuidado e não apagar ficheiros se não for claro para que servem.

Se o acesso shell ainda não estiver configurado, o guia Ligar à Sophos Firewall por SSH explica como estabelecer uma ligação SSH.

Abrir Advanced Shell

Iniciar sessão na Sophos Firewall e abrir Advanced Shell:

  1. Abrir Device Management.
  2. Selecionar Advanced Shell.
  3. Confirmar o acesso se a firewall mostrar uma pergunta adicional.

Após o login, a shell fica disponível e os logs podem ser arquivados.

Recolher logs específicos antes de arquivar

Se o problema for reproduzível, deve ser desencadeado novamente pouco antes de criar o arquivo. Assim, as entradas relevantes ficam recentes nos ficheiros de log.

Em problemas mais complexos, os logs normais podem não ser suficientes. Nesse caso, pode ser útil ativar o debug log para o serviço afetado antes de arquivar. A página Sophos Firewall troubleshooting explica isto na secção de debug.

A nossa visão geral Sophos Firewall troubleshooting: serviços e logs resume que ficheiro de log pertence a cada módulo da firewall. Esta lista ajuda a identificar se são relevantes logs de VPN, IPS, web, mail, GUI ou sistema.

Guardar todos os logs

Antes de criar o arquivo, verificar se /var tem espaço livre suficiente:

df -h /var

Depois criar um arquivo comprimido do diretório /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

O comando cria:

/var/Sophos-Firewall-Logs.tar.gz

Partes importantes do comando:

  • tar cria um arquivo.
  • -c cria um novo arquivo.
  • -v mostra os ficheiros processados.
  • -z comprime com gzip.
  • -f define o nome do ficheiro do arquivo.
  • -C / muda para o diretório raiz durante a operação.
  • log é o diretório com os logs da Sophos Firewall.

A vantagem de -C / é que o comando funciona independentemente do diretório atual. Um cd / anterior não é necessário. Se o ficheiro já existir, será substituído.

Dependendo do tamanho dos logs e da carga da firewall, a criação do arquivo pode demorar. A saída de tar mostra que ficheiros são escritos no arquivo.

Depois verificar o tamanho do arquivo:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Copiar o arquivo para um servidor Linux

Se um servidor Linux estiver acessível por SSH, o arquivo pode ser transferido com scp.

Exemplo:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Adaptar o endereço IP, o utilizador e o caminho de destino ao ambiente.

Após a transferência, o arquivo fica no servidor de destino:

/root/Sophos-Firewall-Logs.tar.gz

A partir daí pode ser partilhado internamente ou enviado ao Sophos Support ou à Avanet.

Guardar dados de diagnóstico IPsec separadamente

Em problemas VPN ou IPsec, os dados de ligação IPsec de /tmp/ipsec/connections/ também podem ser úteis.

Criar um arquivo separado:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Verificar o ficheiro criado:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Transferir também este arquivo com scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Em erros IPsec, é útil fornecer este arquivo juntamente com os logs normais da firewall, para que estado do túnel, informações de ligação e entradas de log possam ser analisados em conjunto.

Segurança e proteção de dados

Os logs podem conter informação sensível, por exemplo:

  • Endereços IP públicos e internos
  • Nomes de utilizador
  • Hostnames
  • Informação VPN
  • Mensagens de erro com detalhes técnicos
  • Indicações sobre estruturas internas da rede

Transferir arquivos de logs apenas por canais seguros e disponibilizá-los apenas a pessoas ou organizações envolvidas na análise. Antes de enviar logs a um parceiro externo, confirmar internamente se isso é permitido pelas políticas de proteção de dados e segurança.

Remover arquivos temporários

Depois de o arquivo ser transferido com sucesso, removê-lo da firewall para libertar espaço:

rm /var/Sophos-Firewall-Logs.tar.gz

Se também foi criado um arquivo IPsec separado, removê-lo:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Antes de apagar, confirmar que os ficheiros chegaram corretamente ao sistema de destino.