Saltar para o conteudo
Avanet

Central Firewall Reporting na Sophos Firewall

Com Central Firewall Reporting, a Sophos Firewall envia dados de log selecionados para Sophos Central. Assim, os Reports podem ser analisados centralmente, armazenados e, se necessário, partilhados com outras pessoas.

Este guia mostra como ativar Central Reporting, que pontos verificar previamente e como confirmar se os dados de log chegam a Sophos Central.

Quando Central Firewall Reporting é útil

Central Firewall Reporting é especialmente útil quando se operam várias Firewalls ou quando os Reports têm de ser analisados regularmente.

Exemplos típicos:

  • Visão central sobre várias Firewalls.
  • Reports regulares para gestão ou operação.
  • Análise de eventos Web, Application, IPS, VPN ou de rede.
  • Retenção mais longa e pesquisa mais simples em dados de log.
  • Apoio em Troubleshooting e Security Reviews.

Para uma análise live diretamente na Firewall, os Logs locais são muitas vezes suficientes. Para avaliações de longo prazo, Central Reporting é claramente mais confortável.

Pré-requisitos

Antes da ativação, deve-se verificar:

  • A Firewall está registada em Sophos Central.
  • A Firewall tem acesso à Internet para os serviços Sophos necessários.
  • DNS e hora funcionam corretamente.
  • A licença utilizada suporta a função de Reporting pretendida.
  • A Firewall está visível em Sophos Central.

Se a Firewall ainda não estiver registada em Sophos Central, isso tem de ser feito primeiro. Sem registo, Central Firewall Reporting não pode ser ativado.

Ativar Central Reporting

Central Firewall Reporting é ativado em dois locais: primeiro na Firewall e depois em Sophos Central.

  1. Inicia sessão no WebAdmin da Sophos Firewall.
  2. Abre System > Sophos Central.
  3. Em Sophos Central registration, verifica se a Firewall está registada.
  4. Se a Firewall ainda não estiver registada, clica em Register e inicia sessão com a conta Sophos Central correta.
  5. Ativa Sophos Central services ou clica em Configure, se o serviço já estiver ativo.
  6. Ativa Send reports and logs to Sophos Central.
  7. Opcional: ativa Manage from Sophos Central, se a Firewall também tiver de ser gerida centralmente.
  8. Opcional: ativa Send configuration backups to Sophos Central, se os backups de configuração tiverem de ser guardados centralmente.
  9. Clica em Apply.
Sophos Firewall - ativar Sophos Central services com Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Depois de guardar, o serviço tem de ser confirmado em Sophos Central:

  1. Inicia sessão em Sophos Central.
  2. Abre My Products > Firewall Management > Firewalls.
  3. Procura a Firewall com o estado ou símbolo Approval pending.
  4. Clica em Accept services.

A Sophos também descreve este processo no guia oficial Turn on firewall reporting.

Após a ativação, a Firewall cria automaticamente uma entrada Syslog para Central reporting e começa a enviar dados de log para Sophos Central. Segundo a Sophos, a Firewall envia os dados pelo menos a cada cinco minutos. Depois, os dados são processados em Sophos Central, o que pode demorar mais alguns minutos.

Que dados são transferidos

Os tipos de log enviados para Sophos Central são definidos diretamente na Firewall.

O caminho de menu é Configure > System services > Log settings.

Em Log settings, existe uma coluna própria Central reporting. Aí é possível decidir por tipo de log se esse Log é enviado localmente, para Central ou para ambos os destinos.

Áreas típicas:

  • Regras de Firewall.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Eventos de sistema.
Sophos Firewall - Log settings com coluna Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Nem todos os ambientes precisam de enviar todos os dados para Sophos Central. Em ambientes produtivos, deve-se verificar que tipos de log são realmente necessários e se as regras internas de proteção de dados são cumpridas.

⚠️ Quanto mais tipos de log forem enviados para Sophos Central, mais depressa o armazenamento disponível será consumido. Em ambientes produtivos, deve-se decidir conscientemente quais os Logs realmente necessários para operação, Security e Compliance.

Durante quanto tempo a Sophos guarda os Logs

O período de retenção depende da licença e do armazenamento disponível. Importante: aplica-se sempre o limite que for atingido primeiro. Se o armazenamento ficar cheio, os dados mais antigos são removidos segundo o princípio FIFO.

Licença / VarianteRetençãoNota
Central Firewall Reporting sem licença adicional de ReportingAté 7 diasDisponível com uma Firewall Subscription ativa. O armazenamento depende do modelo e é limitado.
Xstream Protection BundleAté 30 diasA Sophos designa isto como uma autorização limitada de Central Firewall Reporting Advanced.
Sophos Central Firewall Reporting AdvancedAté 365 diasCada licença disponibiliza 100 GB de armazenamento adicional. Várias licenças podem ser combinadas conforme necessário.

A Sophos documenta os detalhes em Firewall reporting storage by firewall model e nas Firewall reporting FAQs.

A licença Sophos Central Firewall Reporting Advanced pode ser adquirida na Avanet: Sophos Central Firewall Reporting Advanced. A ficha técnica descreve Central Firewall Reporting também como Reporting cloud com pesquisa, Reports e até 365 dias de retenção: Ficha técnica Sophos Central Firewall Reporting.

Verificar a chegada dos Logs

Após a ativação, os dados nem sempre aparecem imediatamente em Sophos Central. Planeia alguns minutos de atraso.

Depois verifica:

  1. Inicia sessão em Sophos Central.
  2. Abre My Products > Firewall Management > Report Hub.
  3. Seleciona a Firewall afetada.
  4. Verifica se existem eventos recentes visíveis.
  5. Cria um Report simples para teste.
Sophos Central - Firewall Reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Se não estiverem visíveis dados, deve-se verificar primeiro a ligação, a licença e as definições de Log.

Usar Reports

Sophos Central pode apresentar, filtrar e, dependendo da licença, também agendar Reports.

Reports úteis para operação:

  • Top aplicações bloqueadas.
  • Categorias Web com muito tráfego.
  • Ligações VPN.
  • Eventos IPS.
  • Top regras por número de hits.
  • Análises por utilizador ou host.

Para controlos operacionais recorrentes, é possível agendar Reports ou guardá-los como template.

Troubleshooting

Sem dados em Sophos Central

Verifica se a Firewall está online e consegue comunicar com Sophos Central. Além disso, devem ser verificados DNS, gateway predefinido e hora.

Faltam apenas alguns tipos de log

Verifica as definições locais de Log da Firewall. Se uma área não for registada localmente, também não pode ser transferida de forma útil para Central Reporting.

Reports mostram dados antigos

Central Reporting nem sempre trabalha em tempo real. Verifica o período selecionado no Report e aguarda alguns minutos antes de alterar novamente a configuração.

Demasiados ou poucos dados

Ajusta a seleção de Logs e os filtros em Sophos Central. Para auditorias ou casos de suporte, pode fazer sentido recolher mais dados. Para operação normal, Reports direcionados costumam ser suficientes.

Guardar Logs para casos de suporte

Central Reporting não substitui todas as análises locais de Log. Se Sophos Support ou a Avanet precisarem de uma coleção completa de Logs locais, também se podem exportar os Logs da Firewall.

Ver: Sophos Firewall Logs für Support oder Analyse sichern

Recomendação

Ativa Central Firewall Reporting sobretudo quando existem várias Firewalls ou quando são necessários Reports regulares. Para Troubleshooting, é útil usar Logs locais e Central Reporting em conjunto: Central para visão geral e histórico, Logs locais para análise detalhada diretamente na Firewall.