Ativar e operar o Sophos Firewall Central Reporting
Com o Central Firewall Reporting, o Sophos Firewall envia dados de log selecionados para o Sophos Central. Isso permite que os relatórios sejam avaliados, armazenados e compartilhados centralmente, conforme necessário.
O artigo explica como ativar o Central Reporting, quais pontos devem ser verificados previamente e como controlar se os dados de log estão chegando ao Sophos Central.
Qual artigo de logging é adequado?
O Central Firewall Reporting é um componente da arquitetura de logs. Dependendo do objetivo, uma entrada diferente pode ser mais adequada:
- Avaliar relatórios e logs de firewall no Sophos Central: Este artigo
- Verificar ao vivo uma conexão individual, ID de regra, ID de NAT ou fluxo de pacotes: Testar regras do Sophos Firewall com Log Viewer, Policy tester e Packet Capture
- Enviar logs para um SIEM próprio ou servidor de logs: Enviar Syslog do Sophos Firewall para SIEM
- Classificar arquivos de log locais, serviços e Advanced Shell: Solução de problemas do Sophos Firewall: Serviços e Logs
- Proteger logs para suporte Sophos ou Avanet: Proteger logs do Sophos Firewall para suporte ou análise
- Rastrear alterações de configuração: Verificar logs de trilha de auditoria do Sophos Firewall
- Avaliar detecções de NDR ou Active Threat Response: Operar Sophos Firewall NDR e Active Threat Response
- Analisar fluxos de tráfego em vez de eventos de log: Configurar monitoramento sFlow no Sophos Firewall
Essa separação é importante: o Central Reporting é bom para relatórios, pesquisa e histórico no Sophos Central. Para solução de problemas ao vivo no firewall, pacotes de logs de suporte, correlação de SIEM ou análise de fluxo, são necessárias outras ferramentas.
Quando o Central Firewall Reporting é útil
O Central Firewall Reporting é especialmente útil quando várias firewalls são operadas ou quando relatórios precisam ser avaliados regularmente.
Exemplos típicos:
- Visão geral centralizada de várias firewalls.
- Relatórios regulares para gestão ou operação.
- Análise de eventos de Web, Aplicações, IPS, VPN ou rede.
- Retenção mais longa e pesquisa mais fácil em dados de log.
- Suporte em solução de problemas e revisões de segurança.
Para uma análise ao vivo diretamente no firewall, muitas vezes os logs locais são suficientes. Para avaliações de longo prazo, o Central Reporting é significativamente mais confortável. Se os logs forem enviados para um SIEM próprio ou servidor de logs externo, Enviar Syslog do Sophos Firewall para SIEM é mais adequado.
Pré-requisitos
Antes da ativação, deve-se verificar:
- O firewall está registrado no Sophos Central.
- O firewall tem acesso à Internet para os serviços Sophos necessários.
- DNS e horário estão funcionando corretamente.
- A licença utilizada suporta a função de reporting desejada.
- O firewall é visível no Sophos Central.
Se o firewall ainda não estiver registrado no Sophos Central, isso deve ser feito primeiro. Sem registro, o Central Firewall Reporting não pode ser ativado.
Ativar o Central Reporting
O Central Firewall Reporting é ativado em dois locais: primeiro no firewall e depois no Sophos Central.
- Faça login no WebAdmin do Sophos Firewall.
- Abra System > Sophos Central.
- Em Sophos Central registration, verifique se o firewall está registrado.
- Se o firewall ainda não estiver registrado, selecione Register e faça login com a conta Sophos Central apropriada.
- Ative Sophos Central services ou selecione Configure se o serviço já estiver ativo.
- Ative Send reports and logs to Sophos Central.
- Opcionalmente, ative Manage from Sophos Central se o firewall também deva ser gerenciado centralmente.
- Opcionalmente, ative Send configuration backups to Sophos Central se os backups de configuração devam ser armazenados centralmente.
- Selecione Apply.

Após salvar, o serviço deve ser confirmado no Sophos Central:
- Faça login no Sophos Central.
- Abra My Products > Firewall Management > Firewalls.
- Encontre o firewall com o status ou símbolo Approval pending.
- Selecione Accept services.
Após a ativação, o firewall cria automaticamente uma entrada de Syslog para Central reporting e começa a enviar dados de log para o Sophos Central. A transmissão e o processamento não são necessariamente imediatos. O firewall envia dados para o Sophos Central pelo menos a cada cinco minutos. Depois disso, o processamento no Central pode demorar mais alguns minutos; a Sophos normalmente indica cinco a trinta minutos para o processamento na base de dados. Para a primeira verificação, não se deve continuar a alterar a configuração imediatamente após guardar.
Quais dados são transmitidos
Os tipos de log enviados para o Sophos Central são definidos diretamente no firewall.
O caminho do menu é Configure > System services > Log settings.
Em Log settings, há uma coluna própria Central reporting. Lá, pode-se decidir por tipo de log se ele será enviado localmente, para o Central ou para ambos os destinos.
Áreas típicas são:
- Regras de Firewall.
- Proteção Web.
- Controle de Aplicações.
- IPS.
- Active Threat Response.
- Zero-Day Protection.
- SD-WAN.
- VPN.
- Wireless, se eventos de access point e SSID devem ficar visíveis centralmente.
- Eventos do sistema.

Nem todos os ambientes precisam enviar todos os dados para o Sophos Central. Em ambientes produtivos, deve-se verificar quais tipos de log são realmente necessários e se as diretrizes internas de proteção de dados são cumpridas.
⚠️ Quanto mais tipos de log forem enviados para o Sophos Central, mais rápido o armazenamento disponível será consumido. Para ambientes produtivos, deve-se decidir conscientemente quais logs são realmente necessários para operação, segurança e conformidade.
Também é importante distinguir logs e reports: a seleção em Central reporting controla quais event logs são enviados para o Sophos Central. Esta seleção não substitui automaticamente os reports locais on-box e não é o mesmo que um pacote completo de logs de suporte.
Quanto tempo a Sophos armazena os logs
A duração da retenção depende da licença e do armazenamento disponível. Importante: sempre vale o limite que for atingido primeiro. Se o armazenamento estiver cheio, dados mais antigos serão removidos pelo princípio FIFO.
- Central Firewall Reporting sem licença adicional de reporting: Até 7 dias Disponível com assinatura de firewall ativa. O armazenamento é dependente do modelo e limitado.
- Xstream Protection Bundle: Até 30 dias Isso corresponde a uma permissão limitada do Central Firewall Reporting Advanced.
- Sophos Central Firewall Reporting Advanced: Até 365 dias. Cada licença CFR Advanced aumenta o armazenamento disponível em 100 GB. Firewalls com volume de logs muito elevado podem precisar de mais de uma unidade de 100 GB para atingir realisticamente a retenção máxima.
A licença Sophos Central Firewall Reporting Advanced pode ser adquirida na Avanet: Sophos Central Firewall Reporting Advanced. A ficha técnica descreve o Central Firewall Reporting adicionalmente como um reporting baseado em nuvem com pesquisa, relatórios e até 365 dias de retenção: Ficha técnica do Sophos Central Firewall Reporting.
Em todas as variantes, armazenamento e retenção máxima trabalham em conjunto. Assim que um limite é atingido, os dados mais antigos são removidos pelo princípio first-in-first-out. Uma licença com retenção máxima longa, portanto, não garante automaticamente que cada firewall retenha os dados durante todo esse período.
Planejar retenção e responsabilidade
Central Reporting não deve ser ativado apenas tecnicamente. Antes deve ficar claro quais tipos de log são realmente necessários, por quanto tempo os dados devem estar disponíveis e quem revisa regularmente os relatórios.
Para a operação, esses pontos devem ser documentados:
- Propósito da coleta de dados: solução de problemas, revisão de segurança, auditoria, relatório de gestão ou suporte.
- Tipos de log necessários, por exemplo, Firewall, Web, IPS, VPN ou Active Threat Response.
- Duração de retenção desejada e licença adequada.
- Responsável por modelos de relatório, relatórios planejados e escalonamentos.
- Diretrizes de proteção de dados ou conformidade para dados de usuário, URL e rede.
- Decisão se Syslog ou SIEM adicional é necessário.
Se os logs forem relevantes para resposta a incidentes ou auditorias, não se deve esperar até uma falha para verificar se os dados estão completos. Um breve relatório de controle mensal geralmente é suficiente para ver se os tipos de log esperados estão chegando e se o consumo de armazenamento corresponde à retenção planejada.
Verificar chegada dos logs
Após a ativação, os dados nem sempre aparecem imediatamente no Sophos Central. Deve-se planejar alguns minutos de atraso.
Depois, verifique estes pontos:
- Faça login no Sophos Central.
- Abra My Products > Firewall Management > Report Hub.
- Selecione o firewall afetado.
- Verifique a visibilidade dos eventos atuais.
- Crie um relatório simples como teste.

Se nenhum dado estiver visível, deve-se primeiro verificar conexão, licença e configurações de log.
Validar reporting de forma direcionada
Um relatório com dados não prova que o Central Reporting é totalmente utilizável para operação. Após a ativação, pelo menos um pequeno plano de validação deve ser executado.
- Os logs de regras de firewall estão chegando?: Acione uma regra de teste registrada e procure por Source, Destination e Rule ID no Report Hub. O evento é visível com o firewall, tempo e ação corretos.
- Eventos de Web ou Aplicações estão sendo transmitidos?: Execute um teste conhecido de controle de Web ou Aplicações. Categoria, usuário ou IP do cliente aparecem no relatório correspondente.
- Eventos de VPN são visíveis?: Estabeleça e desconecte uma conexão de teste. Login, conexão e desconexão são visíveis no período escolhido.
- A base de tempo está correta?: Compare o tempo do firewall, período do Sophos Central e fuso horário local. Eventos não aparecem em um período inesperado.
- A retenção é suficiente?: Verifique dados mais antigos no Report Hub e observe o consumo de armazenamento. A retenção corresponde à licença e ao propósito interno.
- Verificar log settings: Em System services > Log settings, confirmar se as regras de firewall geram Log firewall traffic e se as regras de SSL/TLS inspection têm Log connections ativo quando necessário.
Em caso de várias firewalls, deve-se também verificar se o nome do host, número de série, modelo ou localização são claramente reconhecíveis. Caso contrário, um caso de segurança ou suporte posterior se tornará desnecessariamente trabalhoso, pois os eventos estão presentes, mas não podem ser rapidamente atribuídos ao appliance correto.
Usar relatórios
O Sophos Central pode exibir, filtrar e, dependendo da licença, também planejar relatórios.
Relatórios úteis para operação:
- Principais aplicações bloqueadas.
- Categorias da Web com alto tráfego.
- Conexões VPN.
- Eventos de IPS.
- Eventos de NDR e Active Threat Response.
- Principais regras por número de acertos.
- Avaliações baseadas em usuário ou host.
Se as categorias da Web não apenas forem avaliadas, mas também notificadas ativamente em acessos críticos, Usar categorias da Web e alertas instantâneos do Sophos Firewall é adequado.
Para controles operacionais recorrentes, pode-se planejar relatórios ou salvá-los como modelo. Se o NDR Essentials ou NDR Active Threat Intelligence for utilizado, o procedimento de Operar Sophos Firewall NDR e Active Threat Response deve ser conectado com o Central Reporting ou avaliação de SIEM.
Solução de problemas
Nenhum dado no Sophos Central
Verifique se o firewall está online e pode se comunicar com o Sophos Central. Além disso, DNS, gateway padrão e horário devem ser verificados. Depois, no firewall, em System > Sophos Central, verifique se Send reports and logs to Sophos Central ainda está ativo e se ainda há uma confirmação de serviço pendente no Sophos Central.
Se o firewall for gerenciado pelo Sophos Central, mas não fornecer relatórios, o acesso de gerenciamento e o reporting ainda devem ser verificados separadamente. Um login funcional no Central para o firewall não prova automaticamente que todos os tipos de log selecionados também chegam ao Report Hub.
Apenas alguns tipos de log estão faltando
Verifique as configurações de log locais do firewall. Se uma área não for registrada localmente, ela também não pode ser transmitida de forma significativa para o Central Reporting.
Frequentemente, não falta a conexão Central, mas o evento real:
- Regras de firewall não têm Log firewall traffic ativado.
- Em System services > Log settings, a coluna Central reporting para o tipo de log não está ativa.
- O relatório escolhido considera um período ou firewall diferente.
- Relatórios de usuário ou Web ficam vazios porque o firewall não vê a identidade do usuário.
- Eventos de NDR ou Active Threat Response estão ausentes porque a função está ativa globalmente, mas não foi totalmente integrada em regras ou logging.
Relatórios mostram dados antigos
O Central Reporting nem sempre trabalha em tempo real. Verifique o período escolhido no relatório e aguarde alguns minutos antes de alterar a configuração novamente.
Se os dados parecerem permanentemente atrasados ou incompletos, não se deve redefinir os mesmos marcadores várias vezes. É melhor um teste definido com horário, origem, destino, tipo de log e firewall esperado. Depois, é possível comparar o Log Viewer, Central Report Hub e, se necessário, Syslog ou logs locais de forma limpa.
Muitos ou poucos dados
Ajuste a seleção de logs e os filtros no Sophos Central. Para auditorias ou casos de suporte, pode ser útil coletar mais dados. Para operação normal, relatórios direcionados geralmente são suficientes.
Muitos dados não são apenas um problema de armazenamento. A avaliação também se torna mais difícil se ninguém revisar os relatórios regularmente. Poucos dados são críticos se, em um incidente, eventos de firewall, VPN, Web ou IPS estiverem ausentes. Portanto, a seleção de logs não deve ser definida uma vez de forma casual, mas sim corresponder aos casos de uso planejados.
Verificar Central Reporting após alterações
Após certas alterações, o Central Reporting deve ser conscientemente controlado:
- Atualização ou rollback de firmware.
- Failover de HA ou substituição de um appliance.
- Alteração no registro ou serviços do Sophos Central.
- Novas regras de firewall, políticas de Web, políticas de IPS ou perfis de VPN.
- Mudança de licença, pacote ou permissão de Reporting Advanced.
- Reimagem, restauração ou migração para um novo modelo.
Para alterações centrais via Sophos Central, o Sophos Central Firewall Management Task Queue é adequado. Lá, é possível ver se o Central aplicou uma alteração com sucesso no firewall. Para alterações de configuração local, deve-se incluir Audit Trail Logs e, em caso de problemas de regras, o Log Viewer com Policy Test e Packet Capture.
Proteger logs para casos de suporte
O Central Reporting não substitui toda análise de log local. Se o suporte Sophos ou Avanet precisar de uma coleção completa de logs locais, pode-se exportar os logs do firewall adicionalmente.
Para casos de suporte, deve-se separar claramente:
- Mostrar histórico, relatórios, usuários afetados ou principais eventos: Central Reporting
- Verificar ao vivo uma conexão individual: Log Viewer, Policy Test e Packet Capture
- Verificar erros de serviço, logs de depuração ou status de módulo: arquivos de log locais e logs de serviço
- Fornecer pacote completo para suporte Sophos ou Avanet: exportação de log local ou relatório de solução de problemas consolidado
Na prática, o Central Reporting é frequentemente a melhor entrada, pois é possível restringir rapidamente a janela de tempo, firewall, usuário, IP de origem e regra afetada. Para a análise de causa real, no entanto, muitas vezes são necessários logs locais adicionais, especialmente em problemas de VPN, WAF, IPS, HA, sistema ou serviço. O procedimento está em Proteger logs do Sophos Firewall para suporte e análise. Para atribuição de módulo e serviço, Solução de problemas do Sophos Firewall: Serviços e Logs também é útil.
Recomendação de operação
O Central Firewall Reporting é especialmente útil em caso de várias firewalls ou relatórios necessários regularmente. Para solução de problemas, é útil usar logs locais e Central Reporting juntos: Central para visão geral e histórico, logs locais para análise detalhada diretamente no firewall.
Em ambientes produtivos, o Central Reporting deve ser tratado como um processo operacional:
- Selecione tipos de log de acordo com o propósito, não ative tudo simplesmente.
- Defina um responsável por relatórios que realmente revise relatórios planejados e tendências notáveis.
- Controle regularmente o consumo de armazenamento e os dados mais antigos disponíveis.
- Após atualizações de firmware, failover de HA, restauração ou mudança de licença, realize um breve teste de reporting.
- Defina pelo menos um teste de incidente: encontre IP de origem afetado, ID de regra, usuário de VPN ou categoria da Web no Report Hub.
- Para operações de segurança, decida quais eventos permanecem no Central e quais também vão para um SIEM.
Para pequenos ambientes, muitas vezes basta uma verificação mensal de relatórios de firewall, Web, VPN e IPS. Em caso de vários locais, operação de MSP ou requisitos de conformidade, deve existir uma revisão fixa. Então, verifica-se se os tipos de log esperados ainda estão chegando, se o armazenamento e a licença correspondem à retenção desejada e se os relatórios respondem rapidamente às perguntas certas em caso de emergência.
Se os logs forem relevantes para operações de segurança, resposta a incidentes ou conformidade, deve-se decidir adicionalmente se Syslog para um SIEM é necessário. O Central Reporting é muito útil para avaliações do Sophos Central, mas não substitui automaticamente um arquivo de log de múltiplos fornecedores ou um processo de SOC.