Solução de problemas da CLI Sophos Firewall: comandos importantes
Na solução de problemas do Sophos Firewall, o Log Viewer geralmente é suficiente para o isolamento inicial. Assim que um serviço não inicia sem problemas, as conexões VPN ficam instáveis, os pacotes individuais não chegam ou o suporte precisa de dados detalhados, a CLI se torna importante.
Esta visão geral mostra os comandos mais importantes para o dia a dia: onde executá-los, o que mostram e quando é melhor mudar para um artigo especializado. Para acesso seguro via SSH, Conectar Sophos Firewall via SSH deve ser verificado primeiro. Chaves públicas, verificações de chaves de host e aprovação rigorosa de acesso a dispositivos são mais importantes do que um login rápido de qualquer lugar.
⚠️ Importante: Os comandos CLI e Advanced Shell só devem ser executados em redes administrativas confiáveis e com um objetivo claro. Em particular, depuração,
tcpdump, operações de arquivo e comandos de serviço podem afetar o espaço de armazenamento, o desempenho ou a execução de conexões.
Primeiro WebAdmin, depois CLI
A CLI nem sempre é a maneira mais rápida de começar. Quando se trata de correspondência de regras, NAT ou conexões individuais, Log Viewer, Policy Test e Packet Capture no WebAdmin geralmente fornecem um resultado limpo mais rapidamente.
Boas introduções:
- Qual regra de firewall se aplica? Primeiro use Log Viewer, Policy Test e Packet Capture. A CLI só se torna necessária quando Log Viewer mostra poucos detalhes ou são necessários logs em tempo real.
- Os pacotes estão chegando no firewall? Primeiro use Packet Capture em WebAdmin. A CLI é útil quando uma captura compacta ou um arquivo PCAP é necessário para suporte.
- Um serviço tem algum problema? Primeiro verifique o painel, Log Viewer e os logs de serviço. A CLI se torna importante quando o status do serviço, depuração ou arquivos de log precisam ser verificados diretamente.
- Alguma coisa mudou? Primeiro verifique Audit Trail Logs. A CLI ajuda então ao comparar uma diferença de configuração com logs ou backups.
O objetivo não é entrar no Advanced Shell o mais rápido possível. É melhor ter um processo compreensível: primeiro verifique os eventos visíveis e, em seguida, abra o arquivo de log ou captura apropriado.
Documente as descobertas da CLI de uma forma utilizável
A saída CLI só será útil se posteriormente ficar claro a qual teste ela pertence. Mensagens de erro individuais copiadas sem janela de tempo, endereços IP ou função afetada geralmente levam a consultas e análises duplas.
Uma breve nota por teste geralmente é suficiente:
- Janela de horário: Início, término e fuso horário da prova.
- Fluxo de teste: Origem IP, Destino IP ou FQDN, Porta, Usuário ou par VPN.
- Ferramenta: Device Console, Advanced Shell, Log Viewer ou Packet Capture.
- Comando ou filtro: comando executado, termo de pesquisa
grepou filtro de captura utilizado. - Resultado: Ocorrência, mensagem de erro, entrada de log ausente, pacote visível ou pacote não visível.
- Próxima conclusão: por exemplo problema de regra, problema de DNS, caminho de retorno, erro de serviço ou caso de suporte.
Antes de compartilhar com o Suporte, a Avanet ou parceiros externos, verifique se as saídas contêm dados confidenciais: IPs públicos, nomes de host internos, nomes de usuário, parâmetros VPN, números de série, tokens, endereços de e-mail ou identificadores de clientes. Para uma análise técnica, os dados não precisam ser distribuídos de forma arbitrária; O que é importante é a menor seção que comprova a descoberta.
Antes do primeiro comando
A solução de problemas da CLI torna-se muito mais confiável se o quadro for corrigido antes do primeiro comando. Caso contrário, surgirão rapidamente trechos de log sem qualquer referência ao tempo, capturas muito amplas ou logs de depuração que ninguém poderá atribuir claramente mais tarde. Antes do teste CLI produtivo, você deve observar:
- Tempo do problema: Os logs podem ser pesquisados especificamente para a janela de teste.
- Origem IP, Destino IP e Porta:
grep,tcpdumpe Packet Capture permanecem estreitos e legíveis. - Usuário ou peer afetado: Autenticação, VPN e correspondência de usuário são melhor atribuíveis.
- Módulo esperado: Você primeiro pesquisa no arquivo de log apropriado em vez de em todos os logs.
- Ação planejada: Depuração, verificação de serviço ou captura não se tornarão acidentalmente permanentes.
- Critérios de rollback ou encerramento: O teste é encerrado em caso de carga, memória cheia ou efeitos colaterais.
- Backup atual para trabalho de alteração: Reinicializações de serviço ou alterações de configuração podem ser armazenadas em backup de forma mais limpa.
O primeiro passo deve ser a leitura, se possível: verifique Log Viewer, visualize o arquivo de log apropriado, leia
service -Sou inicie uma captura próxima. Reinicializações, modo de depuração e gravações abrangentes só pertencem posteriormente a uma janela de teste consciente.
Para clusters HA, também deve ficar claro qual dispositivo está ativo no momento. Logs, depuração e capturas devem ser verificados no nó através do qual o tráfego relevante realmente é executado.
Device Console ou Advanced Shell?
Sophos Firewall possui duas áreas de console diferentes. Muitos erros ocorrem porque um comando é inserido na área errada.
As áreas têm tarefas diferentes:
- Device Console: Sophos CLI para comandos de rede, sistema e diagnóstico. Os comandos típicos são
ping,dnslookup,traceroute,tcpdump,drop-packet-captureeshow. - Advanced Shell: Shell semelhante ao Linux para arquivos, logs, processos e verificações de serviço. Os comandos típicos são
cd /log,tail -f,grep,less,df -kh,service -Seconntrack.
Após fazer login via SSH, o firewall mostra primeiro o menu do console. Para Device Console você normalmente escolhe 4. Device Console. Para Advanced Shell use 5. Device Management > Advanced Shell.
A ajuda oficial do Sophos CLI suporta Tab e ? para verificação de sintaxe. Isso é útil no Device Console porque nem todos os comandos são estruturados da mesma forma.
Especialmente no Device Console, comandos não devem ser executados meio adivinhados. A Sophos indica que comandos incompletos podem ter efeitos colaterais. Primeiro exiba a sintaxe e só depois execute conscientemente o comando completo.
Um comando especial de emergência é system appliance_access enable. Ele substitui a configuração de Device Access e permite acesso a todos os serviços locais do firewall, incluindo serviços legados como Telnet. Importante: enquanto esse modo estiver ativo, o firewall deixa de encaminhar tráfego de saída para a internet. Isso não é uma etapa normal de troubleshooting, mas apenas uma medida para emergências curtas. Assim que o acesso for restaurado, o estado deve ser revertido:
system appliance_access disable
Se um comando não for reconhecido, verifique primeiro a área do console. Um intervalo errado é mais provável do que um comando imediatamente quebrado.
Verifique os registros no Advanced Shell
Os arquivos de log mais importantes estão localizados em /log. Para orientação inicial, mude para este diretório e liste os arquivos.
cd /log
ls -lah

- Registro de rastreamento ao vivo:
tail -f /log/strongswan.log. Bom para erros VPN reproduzíveis. - Ler arquivo de log:
less /log/ips.log. Dentro delessvocê pode pesquisar com/Suchbegriff. - Verifique se há erros:
grep -i "error" /log/ips.log.-inão diferencia maiúsculas de minúsculas. - Acerte com o número da linha:
grep -n "192.0.2.10" /log/firewall_rule.log. Útil para arquivos mais longos. - Mostrar últimas linhas:
tail -n 100 /log/syslog.log. Visão geral rápida sem modo ao vivo.
Qual arquivo de log pertence a qual módulo está resumido em Sophos Firewall Solução de problemas: Services e logs.
Com logs dinâmicos, você deve manter o período de teste curto e anotar o tempo. Isto é particularmente importante se um arquivo de log for fornecido posteriormente ao Suporte Sophos ou à Avanet.
Device Console para verificações rápidas de rede
O Device Console é adequado para testes rápidos do ponto de vista do firewall. Isso permite que você verifique se o DNS, o roteamento ou a acessibilidade estão basicamente funcionando.
Verificações rápidas:
- Alcance o host:
ping 192.0.2.10 count 4verifica a acessibilidade do ICMP. - Verificar DNS:
dnslookup example.comverifica a resolução de nomes da perspectiva do firewall. - Verificar rota:
traceroute 192.0.2.10mostra o caminho até o destino. - Ver status da interface:
show interfacesmostra informações da interface. - Iniciar captura de descarte:
drop-packet-capture 'host 192.0.2.10'mostra pacotes descartados por regras de firewall. - Iniciar captura de pacotes:
tcpdump 'host 192.0.2.10 and port 443'verifica se os pacotes estão visíveis no firewall.drop-packet-captureé particularmente útil quando não está claro se o firewall está descartando pacotes ativamente. No entanto, isso não substitui a análise do aplicativo. Se um servidor responder, mas o aplicativo ainda não funcionar, ele também precisará da verificação Log Viewer, NAT, Packet Capture ou logs do aplicativo.
Para gravações de pacotes mais longas e arquivos PCAP, o artigo separado Sophos Firewall: Coletar logs com TCPDump para análise é mais adequado. Você também deve planejar o tamanho do arquivo, onde será armazenado e como será transferido com segurança.
Verifique as conexões e o fluxo de pacotes no Advanced Shell
Se Log Viewer e Device Console não fornecerem uma resposta clara, alguns comandos shell avançados ajudarão você a entender o fluxo de pacotes.
Conntrack
conntrack mostra conexões ativas que o caminho do firewall com estado reconhece. Isso é útil se você deseja verificar se uma conexão aparece no rastreamento de conexão.
conntrack -L | grep "192.0.2.10"
Se uma entrada estiver faltando, isso pode indicar roteamento, NAT, origem incorreta, regra de firewall ausente ou teste no caminho errado. Se existir uma entrada, mas o aplicativo não funcionar, uma verificação adicional deverá ser feita para ver se os pacotes de resposta são retornados e se NAT, a política ou o aplicativo estão funcionando corretamente.
tcpdump no Advanced Shell
Para testes rápidos ao vivo, o tcpdump também pode ser usado no Advanced Shell.
tcpdump -i any -nn host 192.0.2.10
Para análises produtivas, o filtro deve ser o mais estreito possível. Gravações amplas como tcpdump -i any sem host, porta ou contagem produzem rapidamente muita saída e são impraticáveis em firewalls ocupados.
Um início seguro é uma gravação curta com limite de host, porta e pacote:
tcpdump -i any -nn -c 50 host 192.0.2.10 and port 443
Se forem necessários mais dados, o espaço de armazenamento deverá ser verificado previamente e um local de armazenamento PCAP deverá ser escolhido deliberadamente.
Verifique o espaço de armazenamento e a integridade do sistema
Antes do registro de depuração, grandes arquivos de log ou gravações de pacotes mais longos, o espaço de armazenamento livre deve ser verificado.
df -kh
df -h /var
Outras verificações rápidas:
uptime
top
service -S
service -S | grep strongswan
service -S mostra o status de muitos serviços. Os nomes de serviços individuais nem sempre são autoexplicativos. Portanto, você deve comparar o serviço com o arquivo de log apropriado antes de ativar reinicializações ou depuração.
Se o espaço de armazenamento já estiver limitado, o registro de depuração e a gravação de pacotes longos não deverão ser iniciados. Primeiro, esclareça quais registros ou relatórios podem ser copiados e limpos com segurança.
Ative o log de depuração especificamente
O log de depuração pode ajudar com erros complexos, mas só deve ficar ativo por um curto período e apenas para o serviço afetado. A depuração gera significativamente mais dados de log e pode consumir espaço de armazenamento se for executada por um longo período.
Exemplo para depuração IPS:
service ips:debug -ds nosync
Reproduza o problema, anote o horário relevante e desative a depuração novamente:
service ips:debug -ds nosync off

Antes de reiniciar um serviço, você deve verificar qual função foi afetada e se o tráfego produtivo está passando por ela. Reiniciar VPN, IPS, web ou serviços de autenticação pode afetar sessões ativas ou logins de usuários.
Entregue registros com segurança
Trechos de registros individuais muitas vezes não são suficientes para casos complexos. Para suporte Sophos, Avanet ou análise externa, um arquivo de log completo geralmente é mais útil.
Em vez de gravar dados de acesso FTP em comandos, você deve transferir logs de uma forma segura e rastreável, por exemplo, via scp para seu próprio servidor ou através de um portal de suporte. As instruções apropriadas estão disponíveis em Sophos Firewall Logs de backup para suporte e análise.
Os arquivos de log podem conter informações confidenciais: endereços IP internos, IPs públicos, nomes de host, nomes de usuário, parâmetros VPN e mensagens de erro. Antes de compartilhá-los, deve ficar claro quem receberá os dados e por quanto tempo eles ficarão armazenados.
Erros típicos de solução de problemas de CLI
- Comando na área de console errada: Device Console e Advanced Shell suportam sintaxe diferente. Verifique a área primeiro.
- Deixe a depuração ativa após a análise: Os logs crescem desnecessariamente e podem consumir espaço de armazenamento. Desative a depuração novamente imediatamente.
- Amplo tcpdump sem filtro: Muita saída, alta carga e dados difíceis de avaliar. Restrinja host, porta, interface ou contagem.
- Credenciais FTP no histórico do shell: As credenciais podem acabar em logs, capturas de tela ou histórico. Use transferência segura e credenciais temporárias.
- Verifique apenas um arquivo de log: Muitos problemas afetam vários módulos. Combine Log Viewer, registros de serviço correspondentes e Packet Capture.
- Não documente o tempo: O suporte precisa pesquisar áreas de registro desnecessariamente grandes. Observe o horário, a ação do teste e os IPs envolvidos.
- Não limpar após o teste: Debug, arquivos temporários ou acessos amplos permanecem ativos. Desligue a depuração, verifique os arquivos e remova os compartilhamentos SSH temporários.
Lista de verificação
- Acesso SSH permitido apenas em redes administrativas confiáveis.
- Impressão digital SSH e acesso
adminverificados antes da análise. - Faixa correta do console selecionada: Device Console ou Advanced Shell.
- Hora do problema, origem IP, destino IP, porta e usuário documentados.
- Descobertas CLI documentadas com janela de tempo, comando, filtro e resultado.
- Leia os comandos usados primeiro antes da depuração, reinicializações de serviço ou capturas mais longas serem iniciadas.
- Log Viewer verificado primeiro.
- Arquivo de log correspondente identificado em
/log. tail,grepoulessusado com termo de pesquisa restrito.- Usado especificamente para problemas de rede
ping,dnslookup,traceroute,drop-packet-captureoutcpdump. - Debug ativado apenas brevemente e desativado novamente.
- Espaço em disco verificado antes da depuração ou PCAP.
- Transfira com segurança o arquivo de log e remova arquivos temporários.
- Acesso temporário ao dispositivo ou exceções SSH removidas após caso de suporte.
PERGUNTAS FREQUENTES
Quais comandos CLI Sophos Firewall são mais importantes para começar?
ping, dnslookup, traceroute, tcpdump, drop-packet-capture e show. No Advanced Shell, tail, grep, less, df, service -S, conntrack e tcpdump são particularmente úteis.Quando o Log Viewer é suficiente e quando a CLI é necessária?
Você deve deixar o log de depuração ativo permanentemente?
O que você deve observar antes da solução de problemas da CLI?
grep, tail, Packet Capture e análises de suporte posteriores muito mais direcionadas.