Verificar Logs de Trilhas de Auditoria do Sophos Firewall

Os Logs de Trilhas de Auditoria ajudam a rastrear alterações de configuração no Sophos Firewall. Isso é importante quando, após uma alteração, uma regra começa a funcionar de forma diferente, uma interface é alterada, um objeto de host está ausente ou em uma auditoria é questionado quem alterou uma configuração e quando.

Desde a Sophos Firewall v22, o SFOS grava entradas detalhadas em configuration-audit.log. Os logs mostram não apenas que algo foi alterado, mas também os valores antes e depois da alteração. Com o SFOS 22.0 MR1, a rastreabilidade de alterações via Sophos Central foi melhorada, pois a identidade do usuário do Sophos Central é registrada em alterações individuais de firewall.

Qual artigo de logging é adequado?

Os Logs de Trilhas de Auditoria são apenas uma parte da solução de problemas. Dependendo da questão, outra abordagem pode ser mais rápida:

Pergunta	Abordagem Adequada
Quem alterou uma configuração?	Este artigo
O Sophos Central transferiu uma alteração para o firewall?	Verificar Fila de Tarefas de Gerenciamento de Firewall do Sophos Central
Qual regra de firewall permitiu ou bloqueou o tráfego?	Testar regra de firewall com Log Viewer, Policy Test e Packet Capture
Qual arquivo de log pertence a qual serviço?	Solução de Problemas do Sophos Firewall: Serviços e Logs
Proteger logs para suporte ou análise externa	Proteger Logs do Sophos Firewall para Suporte e Análise
Comparar ou documentar configurações	Usar o Sophos Firewall Config Studio

Essa separação evita expectativas erradas. A trilha de auditoria responde a perguntas sobre alterações. Para fluxo de pacotes, NAT, VPN, Web Protection, IPS ou falhas de serviço, ainda são necessários Log Viewer, Packet Capture, Service-Logs, Central Reporting ou Syslog.

Quando os Logs de Trilhas de Auditoria ajudam

Os Logs de Auditoria são especialmente úteis quando a questão não é “por que o tráfego foi bloqueado?”, mas sim “quem ou o que alterou a configuração?”.

Casos típicos:

Uma regra de firewall foi alterada, movida ou excluída.
Um IP Host, FQDN Host ou objeto de rede foi ajustado.
Uma interface ou configuração de VLAN parece diferente do documentado.
Após uma janela de manutenção, não está claro qual alteração causou um problema.
Um MSP ou equipe interna precisa atribuir alterações a vários administradores.
Para conformidade, NIS2, ISO 27001 ou processos internos de mudança, é necessário um comprovante.

Para análise normal de tráfego, outras ferramentas permanecem mais importantes. Se você quiser verificar qual regra permitiu ou bloqueou uma conexão, Testar regra de firewall com Log Viewer, Policy Test e Packet Capture é adequado. Os Logs de Auditoria complementam essa análise quando uma alteração de configuração é suspeita como causa.

O que o configuration-audit registra

configuration-audit registra alterações de configuração feitas por administradores no WebAdmin ou via CLI. São capturados, entre outros:

Configuração antes da alteração.
Configuração após a alteração.
Carimbo de data/hora.
Identidade do administrador.
Endereço IP do administrador.
Console ou método de acesso utilizado.

As entradas são armazenadas em configuration-audit.log e escritas no formato XML. Isso as torna muito detalhadas, mas nem sempre fáceis de ler. Para uma verificação rápida, muitas vezes basta procurar pelo nome do objeto, administrador, endereço IP ou intervalo de tempo. Para análises maiores, pode ser útil pesquisar o arquivo externamente ou importá-lo para uma ferramenta de análise de logs.

Escopo atual de funcionalidades

Atualmente, a trilha de auditoria cobre objetos de configuração importantes, especialmente:

IP Hosts.
Regras de firewall.
Interfaces de rede, incluindo interfaces físicas, virtuais, sem fio e de WAN celular.
A partir do SFOS v22, Hosts and services também fazem parte das áreas suportadas.

Isso já é muito útil para muitas análises de mudanças, mas ainda não é um sistema completo de gerenciamento de mudanças. Os Logs de Trilhas de Auditoria não substituem documentação de mudanças, tickets ou o princípio dos quatro olhos.

⚠️ Os Logs de Auditoria provam que uma alteração foi registrada. No entanto, os logs não explicam automaticamente se a alteração foi tecnicamente correta, aprovada ou completamente testada.

Verificar status do configuration-audit

A configuração é feita na Device Console, não no Advanced Shell.

O status é verificado com:

system configuration-audit show

Se a função estiver ativa, o firewall deve informar que a Auditoria de Configuração está ligada. Se não estiver claro se você está trabalhando no console correto, a distinção em Solução de Problemas do Sophos Firewall: Serviços e Logs pode ajudar.

Ativar ou desativar a trilha de auditoria

O registro de auditoria está ativado por padrão. Se foi desativado, pode ser reativado na Device Console:

system configuration-audit enable

Desativar é tecnicamente possível:

system configuration-audit disable

Em ambientes produtivos, o registro de auditoria deve normalmente permanecer ativo. Se for desativado por algum motivo específico, isso deve ser documentado e limitado no tempo.

⚠️ O registro de auditoria não deve ser desativado como primeira medida apenas porque o arquivo parece grande ou difícil de ler. Especialmente em falhas após alterações, esses dados são frequentemente a prova decisiva.

Baixar configuration-audit.log

O arquivo é chamado:

configuration-audit.log

O download é feito através dos Troubleshooting Logs. O caminho no WebAdmin é:

Diagnostics > Tools > Troubleshooting logs

Lá, você pode baixar arquivos de log individuais ou gerar um Consolidated troubleshooting report (CTR). Para uma análise de auditoria direcionada, o download individual do arquivo de auditoria é frequentemente mais prático do que um CTR completo.

Se os logs forem coletados para suporte ou análise externa, Proteger Logs do Sophos Firewall para Suporte e Análise também é adequado. Para análises diretas via shell, Conectar ao Sophos Firewall via SSH é relevante.

Analisar a trilha de auditoria

Para uma análise limpa, deve-se primeiro restringir o período de tempo.

Procedimento prático:

Determinar o momento do problema ou alteração.
Baixar configuration-audit.log.
Procurar por administrador, nome do objeto, nome da regra, interface ou endereço IP.
Comparar o valor antes e depois da alteração.
Comparar a alteração com ticket, janela de manutenção ou documentação de mudança.
Em problemas de tráfego, verificar adicionalmente Log Viewer e Packet Capture.

Os Logs de Auditoria são especialmente úteis em problemas de regras. Se uma regra de repente não funcionar mais, o Log Viewer mostra apenas o estado atual. A trilha de auditoria pode mostrar se pouco antes a origem, destino, serviço, recurso de segurança, posição da regra ou conteúdo do objeto foi alterado.

Usar a trilha de auditoria corretamente em casos de suporte

Em casos de suporte, a trilha de auditoria é mais eficaz quando combinada com um período de tempo específico e um sintoma reproduzível. Um configuration-audit.log completo sem contexto é difícil de avaliar. Melhor é um breve protocolo de mudança que forneça os principais pontos de referência.

Informação	Por que ajuda
Hora exata com fuso horário	Log Viewer, Central Logs e trilha de auditoria podem ser correlacionados de forma limpa
Objeto afetado	Nome da regra, objeto de host, interface, VLAN, serviço ou grupo encontrados mais rapidamente
Comportamento esperado	Suporte vê se é sobre tráfego, login, roteamento, relatórios ou sincronização Central
Comportamento real	O padrão de erro é separado da mera alteração de configuração
Administrador ou usuário Central envolvido	Alterações podem ser verificadas com pessoa, função ou contexto do tenant
Valor antes/depois	O trecho XML relevante é reconhecido mais rapidamente
Ticket ou janela de manutenção	Alterações aprovadas e mudanças espontâneas são separadas

Se uma alteração foi iniciada via Sophos Central, a Central Task Queue também deve ser verificada. A fila de tarefas mostra se o Central processou a tarefa. A trilha de auditoria mostra então o que é rastreável localmente no firewall.

Alterações via Sophos Central

O SFOS 22.0 MR1 melhora a rastreabilidade de alterações de configuração via Sophos Central. Quando um único firewall é configurado via Sophos Central, a identidade do usuário do Sophos Central aparece no contexto de auditoria. Esta informação está disponível no Log Viewer do firewall, bem como nos logs e relatórios do Sophos Central.

Isso é importante para ambientes com vários administradores ou operação MSP. Um acesso Central genérico não é suficiente para uma rastreabilidade limpa. Deve estar claro:

Quais pessoas têm acesso ao Sophos Central?
Os administradores trabalham com contas de usuário próprias em vez de logins compartilhados?
O MFA está ativo no Sophos Central e no firewall?
Os logs do Central são mantidos por tempo suficiente?
Existe um processo para alinhar mudanças do Central com tickets?

A conexão entre o firewall e o Central é abordada no artigo Conectar o Sophos Firewall ao Sophos Central. Para armazenamento de logs mais longo, Ativar Relatórios de Firewall Central é adequado.

Considerar cluster HA

Em ambientes HA, a Sophos, de acordo com a documentação, gera Logs de Auditoria apenas no dispositivo que está ativo no momento. Em análises após um failover, é necessário prestar atenção à mudança de função.

Perguntas importantes:

Qual firewall estava ativo no momento da alteração?
Houve um failover pouco antes ou depois?
Os arquivos de log de ambos os dispositivos são relevantes?
A alteração foi sincronizada corretamente no cluster?

Para operação HA e interpretação de logs, Configurar Alta Disponibilidade no Sophos Firewall é adequado.

Validação após uma mudança

A trilha de auditoria mostra que um objeto foi alterado. Depois, deve-se verificar se a alteração teve o efeito desejado e não gerou efeitos colaterais. Especialmente em regras de firewall, interfaces, VPNs e objetos de host, não se deve parar apenas no log de auditoria.

Um procedimento sensato após mudanças críticas:

Encontrar a alteração na trilha de auditoria por intervalo de tempo e nome do objeto.
Comparar valor antes/depois com ticket ou documentação de mudança.
Verificar regra de firewall afetada, regra NAT, rota ou interface no WebAdmin.
Gerar tráfego de teste concreto.
Verificar Log Viewer, Policy Test e Packet Capture.
Em alterações do Central, verificar adicionalmente fila de tarefas e logs do Central.
Em clusters HA, verificar status de função e sincronização.

Assim, a trilha de auditoria se torna uma prova confiável em vez de apenas um achado de log. Se a trilha de auditoria mostrar uma alteração, mas o tráfego de teste ainda estiver incorreto, a causa geralmente está na ordem das regras, NAT, roteamento, atribuição de usuário, recurso de segurança ou caminho de retorno.

Limites e armadilhas típicas

Log de Auditoria não é um backup

A trilha de auditoria mostra alterações, mas não substitui um backup de configuração. Antes de grandes alterações, ainda é necessário um backup completo e um plano de reversão. Isso é descrito no artigo Criar ou Restaurar Backup do Sophos Firewall.

XML é detalhado, mas não bonito

O arquivo é bom para máquinas e comparações precisas, mas difícil de ler rapidamente. Se você precisar comparar muitas alterações, Sophos Firewall Config Studio ou uma ferramenta externa de comparação de logs pode ser mais útil.

Nem toda análise pertence à trilha de auditoria

Se uma conexão não funcionar, primeiro verifique o tráfego. Logs de auditoria são relevantes quando uma alteração é suspeita como causa. Para solução de problemas ao vivo, Log Viewer, Policy Test, Packet Capture e Service-Logs são frequentemente mais diretos.

Contas de administrador compartilhadas enfraquecem a prova

Se várias pessoas usarem a mesma conta de administrador, a trilha de auditoria é menos significativa. Administradores nomeados, funções, MFA e usuários Central limpos são, portanto, parte do modelo operacional, não apenas um extra de segurança.

Lista de verificação operacional

Verificar system configuration-audit show.
Manter o registro de auditoria ativado.
Usar contas de administrador nomeadas em vez de logins compartilhados.
Verificar MFA para WebAdmin, VPN Portal e Acesso Remoto.
Documentar alterações com ticket ou janela de manutenção.
Criar backup antes de grandes alterações.
Após problemas, pesquisar configuration-audit.log por intervalo de tempo e nome do objeto.
Comparar valores antes/depois com a alteração esperada.
Em problemas de regra, NAT ou VPN, complementar com Log Viewer e Packet Capture.
Em clusters HA, considerar nó ativo e momento do failover.
Alinhar alterações do Central com logs e relatórios do Sophos Central.

Para MFA no firewall, Ativar MFA para Sophos Firewall WebAdmin, VPN Portal e Acesso Remoto é adequado. Para acessos de gerenciamento, Configurar corretamente o Device Access também deve ser verificado.

FAQ

O que é configuration-audit no Sophos Firewall?

configuration-audit é a função de trilha de auditoria do Sophos Firewall. A função registra alterações de configuração selecionadas com valores antes/depois, carimbo de data/hora, informações do administrador, endereço IP e console utilizada.

Como verificar se o registro de auditoria está ativo?

Na Device Console, você pode exibir o status com system configuration-audit show. Ativar é feito com system configuration-audit enable.

Onde encontrar o arquivo configuration-audit.log?

O arquivo pode ser baixado em Diagnostics > Tools > Troubleshooting logs. Alternativamente, pode ser considerado em análises mais profundas através dos arquivos de log do firewall.

O Audit Trail também mostra alterações do Sophos Central?

Desde o SFOS 22.0 MR1, a Sophos registra a identidade do usuário do Sophos Central em alterações em um único firewall via Sophos Central. De acordo com a Sophos, essa informação está disponível no Log Viewer do firewall e nos logs e relatórios do Sophos Central.

O Audit Trail substitui um backup?

Não. Logs de auditoria ajudam na rastreabilidade de alterações, mas não substituem um backup de configuração e um plano de reversão.