Saltar para o conteudo
Avanet

Solução de problemas da CLI Sophos Firewall: comandos importantes

Na solução de problemas do Sophos Firewall, o Log Viewer geralmente é suficiente para o isolamento inicial. Assim que um serviço não inicia sem problemas, as conexões VPN ficam instáveis, os pacotes individuais não chegam ou o suporte precisa de dados detalhados, a CLI se torna importante.

Esta visão geral mostra os comandos mais importantes para o dia a dia: onde executá-los, o que mostram e quando é melhor mudar para um artigo especializado. Para acesso seguro via SSH, Conectar Sophos Firewall via SSH deve ser verificado primeiro. Chaves públicas, verificações de chaves de host e aprovação rigorosa de acesso a dispositivos são mais importantes do que um login rápido de qualquer lugar.

⚠️ Importante: Os comandos CLI e Advanced Shell só devem ser executados em redes administrativas confiáveis ​​e com um objetivo claro. Em particular, depuração, tcpdump, operações de arquivo e comandos de serviço podem afetar o espaço de armazenamento, o desempenho ou a execução de conexões.

Primeiro WebAdmin, depois CLI

A CLI nem sempre é a maneira mais rápida de começar. Quando se trata de correspondência de regras, NAT ou conexões individuais, Log Viewer, Policy Test e Packet Capture no WebAdmin geralmente fornecem um resultado limpo mais rapidamente.

Boas introduções:

  • Qual regra de firewall se aplica? Primeiro use Log Viewer, Policy Test e Packet Capture. A CLI só se torna necessária quando Log Viewer mostra poucos detalhes ou são necessários logs em tempo real.
  • Os pacotes estão chegando no firewall? Primeiro use Packet Capture em WebAdmin. A CLI é útil quando uma captura compacta ou um arquivo PCAP é necessário para suporte.
  • Um serviço tem algum problema? Primeiro verifique o painel, Log Viewer e os logs de serviço. A CLI se torna importante quando o status do serviço, depuração ou arquivos de log precisam ser verificados diretamente.
  • Alguma coisa mudou? Primeiro verifique Audit Trail Logs. A CLI ajuda então ao comparar uma diferença de configuração com logs ou backups.

O objetivo não é entrar no Advanced Shell o mais rápido possível. É melhor ter um processo compreensível: primeiro verifique os eventos visíveis e, em seguida, abra o arquivo de log ou captura apropriado.

Documente as descobertas da CLI de uma forma utilizável

A saída CLI só será útil se posteriormente ficar claro a qual teste ela pertence. Mensagens de erro individuais copiadas sem janela de tempo, endereços IP ou função afetada geralmente levam a consultas e análises duplas.

Uma breve nota por teste geralmente é suficiente:

  • Janela de horário: Início, término e fuso horário da prova.
  • Fluxo de teste: Origem IP, Destino IP ou FQDN, Porta, Usuário ou par VPN.
  • Ferramenta: Device Console, Advanced Shell, Log Viewer ou Packet Capture.
  • Comando ou filtro: comando executado, termo de pesquisa grep ou filtro de captura utilizado.
  • Resultado: Ocorrência, mensagem de erro, entrada de log ausente, pacote visível ou pacote não visível.
  • Próxima conclusão: por exemplo problema de regra, problema de DNS, caminho de retorno, erro de serviço ou caso de suporte.

Antes de compartilhar com o Suporte, a Avanet ou parceiros externos, verifique se as saídas contêm dados confidenciais: IPs públicos, nomes de host internos, nomes de usuário, parâmetros VPN, números de série, tokens, endereços de e-mail ou identificadores de clientes. Para uma análise técnica, os dados não precisam ser distribuídos de forma arbitrária; O que é importante é a menor seção que comprova a descoberta.

Antes do primeiro comando

A solução de problemas da CLI torna-se muito mais confiável se o quadro for corrigido antes do primeiro comando. Caso contrário, surgirão rapidamente trechos de log sem qualquer referência ao tempo, capturas muito amplas ou logs de depuração que ninguém poderá atribuir claramente mais tarde. Antes do teste CLI produtivo, você deve observar:

  • Tempo do problema: Os logs podem ser pesquisados especificamente para a janela de teste.
  • Origem IP, Destino IP e Porta: grep, tcpdump e Packet Capture permanecem estreitos e legíveis.
  • Usuário ou peer afetado: Autenticação, VPN e correspondência de usuário são melhor atribuíveis.
  • Módulo esperado: Você primeiro pesquisa no arquivo de log apropriado em vez de em todos os logs.
  • Ação planejada: Depuração, verificação de serviço ou captura não se tornarão acidentalmente permanentes.
  • Critérios de rollback ou encerramento: O teste é encerrado em caso de carga, memória cheia ou efeitos colaterais.
  • Backup atual para trabalho de alteração: Reinicializações de serviço ou alterações de configuração podem ser armazenadas em backup de forma mais limpa. O primeiro passo deve ser a leitura, se possível: verifique Log Viewer, visualize o arquivo de log apropriado, leia service -S ou inicie uma captura próxima. Reinicializações, modo de depuração e gravações abrangentes só pertencem posteriormente a uma janela de teste consciente.

Para clusters HA, também deve ficar claro qual dispositivo está ativo no momento. Logs, depuração e capturas devem ser verificados no nó através do qual o tráfego relevante realmente é executado.

Device Console ou Advanced Shell?

Sophos Firewall possui duas áreas de console diferentes. Muitos erros ocorrem porque um comando é inserido na área errada.

As áreas têm tarefas diferentes:

  • Device Console: Sophos CLI para comandos de rede, sistema e diagnóstico. Os comandos típicos são ping, dnslookup, traceroute, tcpdump, drop-packet-capture e show.
  • Advanced Shell: Shell semelhante ao Linux para arquivos, logs, processos e verificações de serviço. Os comandos típicos são cd /log, tail -f, grep, less, df -kh, service -S e conntrack.

Após fazer login via SSH, o firewall mostra primeiro o menu do console. Para Device Console você normalmente escolhe 4. Device Console. Para Advanced Shell use 5. Device Management > Advanced Shell.

A ajuda oficial do Sophos CLI suporta Tab e ? para verificação de sintaxe. Isso é útil no Device Console porque nem todos os comandos são estruturados da mesma forma.

Especialmente no Device Console, comandos não devem ser executados meio adivinhados. A Sophos indica que comandos incompletos podem ter efeitos colaterais. Primeiro exiba a sintaxe e só depois execute conscientemente o comando completo.

Um comando especial de emergência é system appliance_access enable. Ele substitui a configuração de Device Access e permite acesso a todos os serviços locais do firewall, incluindo serviços legados como Telnet. Importante: enquanto esse modo estiver ativo, o firewall deixa de encaminhar tráfego de saída para a internet. Isso não é uma etapa normal de troubleshooting, mas apenas uma medida para emergências curtas. Assim que o acesso for restaurado, o estado deve ser revertido:

system appliance_access disable

Se um comando não for reconhecido, verifique primeiro a área do console. Um intervalo errado é mais provável do que um comando imediatamente quebrado.

Verifique os registros no Advanced Shell

Os arquivos de log mais importantes estão localizados em /log. Para orientação inicial, mude para este diretório e liste os arquivos.

cd /log
ls -lah

Sophos Firewall Advanced Shell com ls -lah no diretório de log
No Advanced Shell, os arquivos de log em /log podem ser verificados diretamente.
Comandos básicos úteis:

  • Registro de rastreamento ao vivo: tail -f /log/strongswan.log. Bom para erros VPN reproduzíveis.
  • Ler arquivo de log: less /log/ips.log. Dentro de less você pode pesquisar com /Suchbegriff.
  • Verifique se há erros: grep -i "error" /log/ips.log. -i não diferencia maiúsculas de minúsculas.
  • Acerte com o número da linha: grep -n "192.0.2.10" /log/firewall_rule.log. Útil para arquivos mais longos.
  • Mostrar últimas linhas: tail -n 100 /log/syslog.log. Visão geral rápida sem modo ao vivo.

Qual arquivo de log pertence a qual módulo está resumido em Sophos Firewall Solução de problemas: Services e logs.

Com logs dinâmicos, você deve manter o período de teste curto e anotar o tempo. Isto é particularmente importante se um arquivo de log for fornecido posteriormente ao Suporte Sophos ou à Avanet.

Device Console para verificações rápidas de rede

O Device Console é adequado para testes rápidos do ponto de vista do firewall. Isso permite que você verifique se o DNS, o roteamento ou a acessibilidade estão basicamente funcionando.

Verificações rápidas:

  • Alcance o host: ping 192.0.2.10 count 4 verifica a acessibilidade do ICMP.
  • Verificar DNS: dnslookup example.com verifica a resolução de nomes da perspectiva do firewall.
  • Verificar rota: traceroute 192.0.2.10 mostra o caminho até o destino.
  • Ver status da interface: show interfaces mostra informações da interface.
  • Iniciar captura de descarte: drop-packet-capture 'host 192.0.2.10' mostra pacotes descartados por regras de firewall.
  • Iniciar captura de pacotes: tcpdump 'host 192.0.2.10 and port 443' verifica se os pacotes estão visíveis no firewall. drop-packet-capture é particularmente útil quando não está claro se o firewall está descartando pacotes ativamente. No entanto, isso não substitui a análise do aplicativo. Se um servidor responder, mas o aplicativo ainda não funcionar, ele também precisará da verificação Log Viewer, NAT, Packet Capture ou logs do aplicativo.

Para gravações de pacotes mais longas e arquivos PCAP, o artigo separado Sophos Firewall: Coletar logs com TCPDump para análise é mais adequado. Você também deve planejar o tamanho do arquivo, onde será armazenado e como será transferido com segurança.

Verifique as conexões e o fluxo de pacotes no Advanced Shell

Se Log Viewer e Device Console não fornecerem uma resposta clara, alguns comandos shell avançados ajudarão você a entender o fluxo de pacotes.

Conntrack

conntrack mostra conexões ativas que o caminho do firewall com estado reconhece. Isso é útil se você deseja verificar se uma conexão aparece no rastreamento de conexão.

conntrack -L | grep "192.0.2.10"

Se uma entrada estiver faltando, isso pode indicar roteamento, NAT, origem incorreta, regra de firewall ausente ou teste no caminho errado. Se existir uma entrada, mas o aplicativo não funcionar, uma verificação adicional deverá ser feita para ver se os pacotes de resposta são retornados e se NAT, a política ou o aplicativo estão funcionando corretamente.

tcpdump no Advanced Shell

Para testes rápidos ao vivo, o tcpdump também pode ser usado no Advanced Shell.

tcpdump -i any -nn host 192.0.2.10

Para análises produtivas, o filtro deve ser o mais estreito possível. Gravações amplas como tcpdump -i any sem host, porta ou contagem produzem rapidamente muita saída e são impraticáveis ​​em firewalls ocupados.

Um início seguro é uma gravação curta com limite de host, porta e pacote:

tcpdump -i any -nn -c 50 host 192.0.2.10 and port 443

Se forem necessários mais dados, o espaço de armazenamento deverá ser verificado previamente e um local de armazenamento PCAP deverá ser escolhido deliberadamente.

Verifique o espaço de armazenamento e a integridade do sistema

Antes do registro de depuração, grandes arquivos de log ou gravações de pacotes mais longos, o espaço de armazenamento livre deve ser verificado.

df -kh
df -h /var

Outras verificações rápidas:

uptime
top
service -S
service -S | grep strongswan

service -S mostra o status de muitos serviços. Os nomes de serviços individuais nem sempre são autoexplicativos. Portanto, você deve comparar o serviço com o arquivo de log apropriado antes de ativar reinicializações ou depuração.

Se o espaço de armazenamento já estiver limitado, o registro de depuração e a gravação de pacotes longos não deverão ser iniciados. Primeiro, esclareça quais registros ou relatórios podem ser copiados e limpos com segurança.

Ative o log de depuração especificamente

O log de depuração pode ajudar com erros complexos, mas só deve ficar ativo por um curto período e apenas para o serviço afetado. A depuração gera significativamente mais dados de log e pode consumir espaço de armazenamento se for executada por um longo período.

Exemplo para depuração IPS:

service ips:debug -ds nosync

Reproduza o problema, anote o horário relevante e desative a depuração novamente:

service ips:debug -ds nosync off

Sophos Firewall Advanced Shell com modo de depuração para um serviço
O log de depuração só deve ser ativado especificamente e por tempo limitado.
Para reinicializações de serviços e classificação de serviços, Sophos Firewall reiniciar Services também é adequado. Para casos de suporte, o período exato do log de depuração deve ser documentado.

Antes de reiniciar um serviço, você deve verificar qual função foi afetada e se o tráfego produtivo está passando por ela. Reiniciar VPN, IPS, web ou serviços de autenticação pode afetar sessões ativas ou logins de usuários.

Entregue registros com segurança

Trechos de registros individuais muitas vezes não são suficientes para casos complexos. Para suporte Sophos, Avanet ou análise externa, um arquivo de log completo geralmente é mais útil. Em vez de gravar dados de acesso FTP em comandos, você deve transferir logs de uma forma segura e rastreável, por exemplo, via scp para seu próprio servidor ou através de um portal de suporte. As instruções apropriadas estão disponíveis em Sophos Firewall Logs de backup para suporte e análise.

Os arquivos de log podem conter informações confidenciais: endereços IP internos, IPs públicos, nomes de host, nomes de usuário, parâmetros VPN e mensagens de erro. Antes de compartilhá-los, deve ficar claro quem receberá os dados e por quanto tempo eles ficarão armazenados.

Erros típicos de solução de problemas de CLI

  • Comando na área de console errada: Device Console e Advanced Shell suportam sintaxe diferente. Verifique a área primeiro.
  • Deixe a depuração ativa após a análise: Os logs crescem desnecessariamente e podem consumir espaço de armazenamento. Desative a depuração novamente imediatamente.
  • Amplo tcpdump sem filtro: Muita saída, alta carga e dados difíceis de avaliar. Restrinja host, porta, interface ou contagem.
  • Credenciais FTP no histórico do shell: As credenciais podem acabar em logs, capturas de tela ou histórico. Use transferência segura e credenciais temporárias.
  • Verifique apenas um arquivo de log: Muitos problemas afetam vários módulos. Combine Log Viewer, registros de serviço correspondentes e Packet Capture.
  • Não documente o tempo: O suporte precisa pesquisar áreas de registro desnecessariamente grandes. Observe o horário, a ação do teste e os IPs envolvidos.
  • Não limpar após o teste: Debug, arquivos temporários ou acessos amplos permanecem ativos. Desligue a depuração, verifique os arquivos e remova os compartilhamentos SSH temporários.

Lista de verificação

  • Acesso SSH permitido apenas em redes administrativas confiáveis.
  • Impressão digital SSH e acesso admin verificados antes da análise.
  • Faixa correta do console selecionada: Device Console ou Advanced Shell.
  • Hora do problema, origem IP, destino IP, porta e usuário documentados.
  • Descobertas CLI documentadas com janela de tempo, comando, filtro e resultado.
  • Leia os comandos usados ​​primeiro antes da depuração, reinicializações de serviço ou capturas mais longas serem iniciadas.
  • Log Viewer verificado primeiro.
  • Arquivo de log correspondente identificado em /log.
  • tail, grep ou less usado com termo de pesquisa restrito.
  • Usado especificamente para problemas de rede ping, dnslookup, traceroute, drop-packet-capture ou tcpdump.
  • Debug ativado apenas brevemente e desativado novamente.
  • Espaço em disco verificado antes da depuração ou PCAP.
  • Transfira com segurança o arquivo de log e remova arquivos temporários.
  • Acesso temporário ao dispositivo ou exceções SSH removidas após caso de suporte.

PERGUNTAS FREQUENTES

Quais comandos CLI Sophos Firewall são mais importantes para começar?

Para o Device Console, os princípios básicos mais importantes são ping, dnslookup, traceroute, tcpdump, drop-packet-capture e show. No Advanced Shell, tail, grep, less, df, service -S, conntrack e tcpdump são particularmente úteis.

Quando o Log Viewer é suficiente e quando a CLI é necessária?

O Log Viewer é suficiente para muitos eventos de regra, NAT, web e VPN. A CLI se torna importante quando você precisa rastrear arquivos de log em tempo real, habilitar depuração, verificar o fluxo de pacotes, visualizar o status do serviço ou fazer backup de logs para suporte.

Você deve deixar o log de depuração ativo permanentemente?

Não. O log de depuração destina-se a janelas de análise curtas. Após reproduzir o problema, o Debug deve ser desabilitado novamente.

O que você deve observar antes da solução de problemas da CLI?

No mínimo, hora do problema, origem IP, destino IP, porta, usuário ou peer afetado e funcionalidade esperada. Isso mantém grep, tail, Packet Capture e análises de suporte posteriores muito mais direcionadas.

O tcpdump no Sophos Firewall é perigoso?

Com filtragem estreita, o tcpdump é uma ferramenta muito útil. Sem um filtro, ele pode produzir muitos resultados em firewalls de produção e dificultar a análise. Para gravações mais longas você deve trabalhar conscientemente com host, porta, interface, contagem e arquivo PCAP.