Saltar para o conteudo
Avanet

Verificar a Fila de Tarefas de Gestão de Firewall do Sophos Central

Sophos Firewall

Quando uma alteração é guardada no Sophos Central, mas não chega à Sophos Firewall, a firewall local nem sempre é a primeira fonte de erro. Em firewalls geridas centralmente, deve-se também verificar a Fila de Tarefas no Sophos Central. Lá, pode-se ver se o Central ainda está a processar, aplicar parcialmente, ignorar ou terminar com erro uma política de grupo, uma tarefa de firewall baseada em API ou outra alteração central.

Isto é especialmente importante quando várias firewalls são geridas em grupo. Uma única tarefa falhada pode atrasar alterações futuras ou confundir a resolução de problemas, pois a configuração no Sophos Central pode parecer diferente da firewall afetada.

Quando a Fila de Tarefas é relevante

A Fila de Tarefas é relevante assim que as alterações não são executadas diretamente na firewall local, mas através do Sophos Central. Isto aplica-se especialmente a ambientes onde as firewalls estão conectadas ao Sophos Central e a Gestão de Firewall Central está a ser utilizada ativamente.

Situações típicas:

  • uma política de grupo foi alterada no Sophos Central
  • uma alteração chegou a algumas firewalls, mas não a outras
  • uma atualização de firmware foi planeada ou iniciada através do Sophos Central
  • tarefas de firewall baseadas em MDR ou API não foram totalmente implementadas
  • uma tarefa está há muito tempo em Pending ou In Progress
  • uma tarefa está Failed, Skipped, Invalid license ou apenas parcialmente bem-sucedida
  • após um erro, alterações futuras não são processadas como esperado

Para a resolução de problemas ao vivo localmente, o Log Viewer da firewall continua a ser importante. No entanto, a Fila de Tarefas responde a outra questão: O Sophos Central conseguiu aplicar a alteração com sucesso até à firewall?

Onde encontrar a Fila de Tarefas

O caminho no Sophos Central é:

My Products > Firewall Management > Tasks Queue

A Sophos distingue entre Task Queue e Firewall Task Queue.

VistaPara que serve
Task QueueStatus de políticas de grupo de firewall aplicadas através do Sophos Central em firewalls
Firewall Task QueueTarefas de firewall de MDR Settings, MDR IOCs e Firewall Configuration API

Para problemas clássicos de Gestão de Firewall Central, a Task Queue é geralmente a mais relevante. A Firewall Task Queue torna-se mais importante quando as alterações são desencadeadas através da API de Configuração de Firewall ou funções de firewall relacionadas com MDR.

Quais informações são importantes

Uma única tarefa só é útil se for corretamente classificada. Antes de uma alteração ou tentativa novamente, deve-se anotar pelo menos estes campos:

  • Número da tarefa
  • grupo ou firewall afetado
  • Status
  • Momento
  • Administrador ou ID de Credencial
  • Entidade e Sub-entidade
  • Mensagem de erro exibida
  • Número de firewalls bem-sucedidas e falhadas

O momento nem sempre é sinónimo do início do processamento em cada firewall. Para políticas de grupo, o Sophos Central mostra primeiro o momento da criação ou alteração e atualiza-o mais tarde quando a política é aplicada nas firewalls. Portanto, em implementações mais longas, não se deve olhar apenas para o primeiro horário.

Interpretar corretamente o status

StatusSignificado na prática
PendingA tarefa ainda está à espera de processamento. Se demorar muito, verificar conectividade, licença e ligação ao Central.
In ProgressO Central ainda está a processar a tarefa. Não iniciar várias correções em paralelo quando a tarefa está a decorrer.
SuccessO Central reporta a tarefa como bem-sucedida. Depois, validar na firewall se o efeito esperado é visível.
Partial SuccessParte foi aplicada, parte não. Isto é especialmente importante para grupos ou múltiplos objetos.
FailedA alteração não foi concluída com sucesso. Documentar a mensagem de erro e a firewall afetada.
SkippedA tarefa foi conscientemente ignorada. Depois, é necessária uma revisão técnica.
Invalid licenseLicença ou permissão não corresponde à ação planeada. Não tentar resolver com tentativas repetidas.

O Sophos Central pode remover automaticamente tarefas com o status Pending após várias semanas. Para documentação operacional, casos de suporte ou revisões de alterações, deve-se guardar erros relevantes em tempo útil.

Processo de verificação limpo

Para uma alteração bloqueada no Central, um processo calmo ajuda mais do que clicar repetidamente em Retry.

  1. Abrir My Products > Firewall Management > Tasks Queue no Sophos Central.
  2. Restringir o período e a firewall ou grupo de firewalls afetado.
  3. Expandir a tarefa e verificar as firewalls afetadas.
  4. Documentar status, mensagem de erro, entidade, sub-entidade e momento.
  5. Verificar na firewall se a alteração é visível ou apenas guardada no Central.
  6. Para alterações de configuração, verificar também os Audit Trail Logs.
  7. Para problemas de tráfego, avaliar Log Viewer, Policy Test e logs de serviço relevantes.
  8. Só depois decidir se Retry, Skip ou um caso de suporte é apropriado.

Se não estiver claro qual log local é relevante, Solução de Problemas do Sophos Firewall: Serviços e Logs pode ajudar. Para análise de regras e tráfego, Testar Regras de Firewall com Log Viewer, Policy Test e Packet Capture é adicionalmente adequado.

Ignorar ou Tentar Novamente?

O Sophos Central oferece as ações Skip e Retry dependendo do status. Ambas são úteis, mas não devem ser vistas como uma ação de limpeza pura.

AçãoÚtil quandoVerificar antes
Retrya causa foi resolvida, por exemplo, conexão, licença, conflito de objeto ou interrupção temporária do CentralEstá claro por que a tarefa falhou?
Skipuma tarefa falhada ou não mais relevante bloqueia tarefas futuras e o impacto técnico é compreendidoIsso faz com que uma alteração de política planeada não seja aplicada conscientemente?
Esperara tarefa está a decorrer ou o Central está a processar muitas firewallsHá indícios de um bloqueio real ou apenas um atraso normal?
Caso de suporteo erro ocorre repetidamente, afeta várias firewalls produtivas ou a mensagem não é claraEstão os detalhes da tarefa, horário, nome da firewall e logs guardados?

⚠️ Não se deve ignorar uma tarefa falhada apenas para que a fila pareça limpa. Ignorar é uma decisão operacional: A alteração não aplicada deve ser conscientemente verificada ou implementada separadamente depois.

Padrões de erro típicos

Alteração é visível no Central, mas não na firewall

Neste caso, primeiro verificar se a tarefa correspondente foi concluída com sucesso. Se a tarefa ainda estiver Pending, In Progress, Failed ou Partial Success, o problema não está necessariamente na regra local da firewall. Só quando o Central reporta a tarefa como bem-sucedida, deve-se aprofundar a análise de políticas locais, objetos ou logs.

Apenas algumas firewalls num grupo são afetadas

Para políticas de grupo, uma alteração pode ser bem-sucedida em várias firewalls e falhar numa. Não se deve alterar todo o grupo de forma geral, mas expandir a firewall afetada e verificar diferenças: licença, versão de firmware, conexão ao Central, conflitos de objetos locais, plataforma e problemas conhecidos.

Tarefa de firmware através do Central não inicia corretamente

Se uma Atualização de Firmware do Sophos Firewall foi planeada através do Sophos Central, a Fila de Tarefas deve fazer parte da revisão. Se a firewall permanecer na versão antiga, primeiro verificar se o Central iniciou e concluiu a tarefa. Para lançamentos principais, a Verificação de Atualização do SFOS 22 faz parte da preparação.

Sincronização de política Web ou TLS falha

Para Web Protection, grupos de URLs ou exclusões de TLS, uma sincronização do Central pode parecer especialmente confusa, pois o Central aceitou uma alteração que a firewall não processou completamente. Deve-se então comparar a entidade afetada da Fila de Tarefas com a configuração local. Para a classificação técnica, Introduzir corretamente a Inspeção TLS do Sophos Firewall e Criar Política de Proteção Web do Sophos Firewall são adequados.

XGS 88/w e Lista de Exclusão de TLS Local

Na lista de problemas conhecidos, um problema específico nos modelos XGS 88/w está documentado: Ao sincronizar uma política do Sophos Central, o processamento da Lista de Exclusão de TLS Local pode falhar. A mensagem de erro exibida refere-se a um grupo de URLs que não pôde ser atualizado. Neste caso, pode-se ignorar a transação falhada da Fila de Tarefas para que tarefas futuras continuem.

Na prática, não se deve simplesmente continuar depois. É importante uma revisão:

  • A exceção de TLS desejada está presente localmente na firewall?
  • As políticas Web e TLS na firewall ainda são tecnicamente corretas?
  • O problema afeta apenas uma XGS 88/w ou várias firewalls?
  • A alteração precisa ser implementada temporariamente localmente ou adiada?
  • Existe uma versão de manutenção ou um aviso da Sophos para a versão afetada?

Revisão na firewall

Uma tarefa Central bem-sucedida é um bom sinal, mas ainda não é um teste operacional completo. Dependendo da alteração, deve-se verificar localmente:

  • A regra, política, lista ou versão de firmware alterada é visível?
  • O Log Viewer mostra eventos esperados?
  • A alteração foi registada no Audit Trail?
  • A conexão ao Central e o relatório continuam ativos?
  • Funcionam os utilizadores, VPNs, acessos web ou aplicações afetados?

Para alterações de segurança, deve-se adicionalmente definir um ponto de reversão curto. Isto aplica-se especialmente a Web Protection, Inspeção TLS, regras de firewall, VPN, clusters HA e atualizações de firmware.

Lista de verificação operacional

  • Antes de alterações através do Sophos Central, esclarecer quais firewalls ou grupos são afetados.
  • Após alterações no Central, verificar a Fila de Tarefas.
  • Documentar tarefas falhadas com mensagem de erro, horário e nome da firewall.
  • Não tratar Partial Success como totalmente concluído.
  • Usar Retry apenas após verificar as causas.
  • Usar Skip apenas quando o impacto técnico é compreendido.
  • Para tarefas de firmware, planear janelas de manutenção, backup e acesso local.
  • Em caso de erros repetidos, guardar informações do Audit Trail, Log Viewer e suporte da Sophos.

FAQ

O que mostra a Fila de Tarefas do Sophos Central?

A Fila de Tarefas mostra o status de políticas de grupo de firewall aplicadas através do Sophos Central em firewalls. Mostra, entre outros, grupos afetados, firewalls, status, administrador, entidade, sub-entidade e momento.

O que é a Fila de Tarefas de Firewall?

A Fila de Tarefas de Firewall mostra tarefas de firewall que vêm de MDR Settings, MDR IOCs ou da Firewall Configuration API. Lá, são relevantes, por exemplo, status, ID de credencial, entidade, ação e momento.

Pode-se ignorar uma tarefa falhada?

Sim, tecnicamente pode-se ignorar certas tarefas. Operacionalmente, deve-se fazer isso apenas quando está claro qual alteração não foi aplicada e como a firewall afetada será verificada depois.

Quando é que Retry é útil?

Retry é útil quando a causa do erro foi resolvida. Exemplos são uma conexão ao Central restaurada, uma licença corrigida, um conflito de objeto resolvido ou um erro temporário que não existe mais.

A Fila de Tarefas substitui o Log Viewer?

Não. A Fila de Tarefas mostra se o Central processou uma alteração. O Log Viewer mostra eventos locais da firewall e continua a ser necessário para análise de tráfego, políticas e serviços.