Sophos Firewall - resolução de problemas, dicas e truques para a CLI
Como administrador de TI responsável pela gestão da Sophos Firewall, um bom conhecimento da Command Line Interface (CLI) é essencial. A CLI oferece ferramentas e comandos poderosos, que permitem não só navegar de forma eficiente pelos diretórios do sistema, mas também realizar análises detalhadas e resolver problemas. Neste artigo mostramos como usar a CLI da Sophos Firewall para pesquisar logs, monitorizar ligações de rede, transferir ficheiros em segurança e iniciar serviços em modo debug. Este guia ajuda a compreender os comandos mais importantes e a usá-los de forma direcionada no trabalho diário.
Navegar na Sophos Shell
Na Sophos Shell é possível percorrer a estrutura de diretórios com comandos Linux simples. Para mostrar, por exemplo, os ficheiros de log existentes no diretório /log, use o comando seguinte:
cd /log
ls -la
cd /log: muda para o diretório
/log, onde se encontram os ficheiros de log da Sophos Firewall.ls -la: lista todos os ficheiros no diretório atual de forma detalhada, incluindo ficheiros ocultos.
-lmostra detalhes como tamanho do ficheiro e timestamp, enquanto-alista todos os ficheiros, incluindo os ocultos.
Para mostrar os ficheiros ordenados por tamanho, pode ampliar o comando ls da seguinte forma:
ls -lSrh
- -lSrh: estas opções listam os ficheiros em formato detalhado, ordenados por tamanho (
-S) e em formato legível (-hpara “human-readable”).
Mostrar e pesquisar logs
A pesquisa e análise de ficheiros de log é uma das tarefas mais frequentes na resolução de problemas. Para isso, os comandos cat, tail e grep são extremamente úteis.
tail - monitorizar log em tempo real
Para acompanhar o conteúdo de um ficheiro de log em tempo real, use o comando tail:
tail -f smtpd_main.log
- tail -f: mostra as últimas linhas do ficheiro
smtpd_main.loge atualiza em tempo real quando surgem novas entradas.
grep - filtrar logs
Para procurar um termo específico, por exemplo um domínio ou endereço de email, num ficheiro de log, use grep:
cat smtpd_main.log | grep "avanet.com"
Ou, se quiser monitorizar em tempo real o log IPsec e mostrar entradas de um endereço IP:
tail -f strongswan.log | grep 46.33.21.12
- grep: pesquisa no ficheiro
smtpd_main.loglinhas que contenham o termo “avanet.com”.
Outras opções úteis para grep:
- -i: ignora maiúsculas e minúsculas na pesquisa.
- -n: mostra os números das linhas dos resultados.
- -m 1: termina a pesquisa após o primeiro resultado.
Conntrack e TCP Dump
A Sophos Firewall disponibiliza ferramentas poderosas para analisar ligações e tráfego de rede.
Conntrack
Com conntrack pode monitorizar ligações ativas:
conntrack -L | grep "10.128.138.150"
- conntrack -L: lista todas as ligações ativas na firewall.
- grep “endereço IP”: filtra as ligações associadas ao endereço IP indicado.
tcpdump
Para analisar diretamente o tráfego de rede, use tcpdump:
tcpdump -i any port 80
- tcpdump -i any: monitoriza todo o tráfego de rede em todas as interfaces.
- port 80: filtra o tráfego que passa pela porta 80 (HTTP).
O tema tcpdump é tratado num artigo separado, por ser bastante extenso: Sophos Firewall - recolher logs com TCPDump para análise
Descarregar e carregar ficheiros
Para descarregar ficheiros da firewall, pode usar ferramentas como WinSCP ou, em macOS, Cyberduck. Primeiro deve garantir que o acesso SSH à firewall está permitido. Depois pode ligar-se com a ferramenta e transferir ficheiros de forma confortável.
Para carregar ficheiros para um servidor FTP, pode usar ftpput:
ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
- ftpput: transfere um ficheiro para um FTP server.
- -u username -p password: autentica com as credenciais FTP indicadas.
- ftp.server.com: endereço do FTP server.
- /path/to/upload/file.log: caminho para o ficheiro local a carregar.
Em alternativa, também pode usar o comando curl para carregar ficheiros para um FTP:
curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}
Lista de todos os serviços da firewall e respetivos logs
A Sophos tem uma lista excelente onde estão indicados todos os serviços e os logs correspondentes: Sophos KB: Log file details.
Listar serviços da firewall
Este comando da Advanced Shell lista todos os serviços ativos e o respetivo estado:
service -S
Ou, se precisar apenas do estado de um serviço individual, também pode verificar o estado com service -S em combinação com grep:
service -S | grep strongswan
Este comando faz o mesmo na Firewall Console:
system diagnostics show subsystem-info
Debug Log
O modo debug é essencial quando os logs normais não fornecem informação suficiente para compreender um problema. Comparado com o modo de log normal, que regista apenas eventos e mensagens de erro básicos, o modo debug oferece registos mais profundos e detalhados. Captura dados e processos internos mais abrangentes, que não são visíveis no funcionamento normal. Assim é possível identificar com precisão erros complexos ou raros, o que é especialmente útil em problemas que poderiam passar despercebidos no modo de log normal.
Para iniciar um serviço específico em modo debug, use o comando seguinte:
service ips:debug -ds nosync
Para terminar novamente o modo debug e evitar que o log encha o disco, deve desativá-lo após algum tempo:
service ips:debug -ds nosync
Descrevemos o tema dos serviços e do reinício com mais detalhe neste artigo: Reiniciar serviços na Sophos Firewall
Últimas palavras
Navegar e trabalhar na Sophos Shell pode parecer complexo no início, mas com os comandos certos é possível identificar e resolver problemas rapidamente. Este guia pretende ajudar a compreender os comandos mais importantes e a usá-los de forma eficaz. Um conhecimento sólido da CLI pode melhorar significativamente a capacidade de resolver problemas; em alternativa, o nosso suporte também está naturalmente disponível.