Sophos Firewall troubleshooting: serviços e logs
Na Sophos Firewall existem dois níveis importantes para troubleshooting: eventos no Log viewer e ficheiros de serviço ou de log na firewall. O Log Viewer é ideal para perguntas rápidas, por exemplo se uma ligação foi permitida ou bloqueada. Os ficheiros em /log são mais importantes quando um serviço não inicia, um túnel VPN está instável, o web filtering atua de forma inesperada ou o suporte precisa de dados detalhados.
Este artigo associa os serviços e ficheiros de log mais importantes a problemas típicos de administração. Também ajuda quando aparece um nome técnico de serviço no dashboard, na Advanced Shell ou num caso de suporte e não é imediatamente claro que função da firewall está por trás. Nomes como zebra, warren, awed, garner ou strongswan não são autoexplicativos no dia a dia.
Log Viewer ou ficheiro de log?
O Log viewer abre-se na consola WebAdmin, no canto superior direito. Atualiza-se automaticamente, pode ser filtrado por módulo, hora, valores de campo e texto livre, e permite exportar logs como CSV.
Os troubleshooting logs ficam na firewall no diretório /log. O acesso pode ser feito pela consola WebAdmin ou por SSH. Para verificações rápidas, Device Management > Advanced Shell no browser funciona. Na prática, SSH costuma ser mais confortável, estável e adequado para sessões longas de tail, grep ou less. A preparação segura de SSH está descrita em Ligar à Sophos Firewall por SSH.
- Ligar por SSH ou abrir Device Management > Advanced Shell no WebAdmin.
- Mudar para o diretório de logs.
cd /log
Comandos úteis:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Os comandos mais importantes da Advanced Shell:
| Comando | Exemplo | Objetivo |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | mostra novas linhas de log em direto |
less /log/<logfilename>.log | less /log/ips.log | abre um ficheiro de log estático para leitura |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | procura uma palavra-chave num ficheiro de log |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | inicia, para, reinicia ou ativa debug para um serviço |
Se os logs tiverem de ser guardados para suporte ou análise externa, ajuda Guardar logs da Sophos Firewall para análise externa.
Advanced Shell ou Device Console?
Na Sophos Firewall existem duas áreas de consola diferentes que são frequentemente confundidas:
| Área | Utilização |
|---|---|
| Device Console | Sophos CLI para comandos específicos da firewall, por exemplo prioridade de routing, rotas IPsec ou opções do sistema |
| Advanced Shell | shell semelhante a Linux para sistema de ficheiros, ficheiros de log, tail, grep, less, service -S, reinícios de serviços e comandos de debug |
Nem todos os comandos funcionam em ambas as áreas. Se um artigo mencionar explicitamente Device Console, o comando deve ser executado aí. Se o tema for /log, tail -f, grep, service -S ou debug logging, normalmente significa Advanced Shell.
Esta distinção é importante porque muitos erros surgem apenas porque um comando correto é inserido no local errado.
Logging tem de estar ativo
Nem toda a informação esperada aparece automaticamente.
- Em firewall rules, Log firewall traffic tem de estar ativo.
- Em SSL/TLS inspection rules, o logging tem de estar ativo.
- Em System services > Log settings, define-se que tipos de log são guardados localmente, enviados para Sophos Central ou enviados para syslog.
Para retenção a longo prazo, faz sentido usar um servidor syslog ou Sophos Central Firewall Reporting. A Sophos Firewall pode configurar até cinco servidores syslog externos. Central Firewall Reporting também conta para este limite.
Mais detalhes: Ativar Central Firewall Reporting.
Ativar debug apenas quando necessário
O debug logging é muito útil, mas gera muitos dados e pode consumir espaço. Debug deve ser ativado apenas para o serviço relevante. Depois reproduz-se o problema e desativa-se debug novamente.
Exemplo:
service ips:debug -ds nosync
service ips:debug -ds nosync off
A sintaxe exata depende do serviço. Se o serviço afetado não for claro, deve verificar-se primeiro o ficheiro de log normal.
Debug logging e comandos CLI básicos são explicados com mais detalhe em Sophos Firewall troubleshooting - dicas CLI. Para reiniciar serviços individuais, ver Reiniciar serviços Sophos Firewall.
Firewall, NAT e Packet Capture
| Função | Serviço / contexto | Primeiro ficheiro de log | Verificar também |
|---|---|---|---|
| Matching de firewall rule | Firewall Rule Engine | firewall_rule.log | módulo Firewall no Log Viewer |
| Processamento geral da firewall | Firewall log / caminho kernel | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID no Log Viewer |
| Packet Capture no WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / publicação antiga de servidores | vhost | vhost.log | NAT e WAF |
Em problemas DNAT, deve verificar-se sempre firewall rule e NAT rule em conjunto. NAT apenas traduz, não permite tráfego. Mais detalhes: Compreender NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT.
A Sophos Firewall usa IP tables, ARP table, IPset e conntrack para ligações firewall. IMQ é usado para QoS e Bandwidth Management. Isto ajuda quando logs ou outputs de suporte mostram termos técnicos do caminho de rede Linux.
IPS, Application Control e TLS Inspection
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI e TLS Inspection | DPI Engine | ips.log |
| Antivirus no caminho de rede | avd | avd.log |
| Atualizações de assinaturas | Signature Updater | sig_upgrade.log, sig_update.log |
| Migração de assinaturas | Signature Migration | sigmigration.log |
Muitas funções modernas de proteção só veem detalhes suficientes quando HTTPS é desencriptado. Se TLS Inspection não atuar, Web Filter, Application Control, IPS e Malware Scan são menos expressivos dependendo do tráfego.
Mais detalhes: Implementar TLS Inspection na Sophos Firewall passo a passo.
Web, proxy, WAF e webfilter
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | access log de awarrenhttp | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Se tráfego web aparecer como bloqueado no Log Viewer, a causa pode estar em vários módulos: Web Policy, SSL/TLS inspection, Application Control, IPS ou WAF. Por isso, deve selecionar-se sempre o módulo concreto no Log Viewer e verificar o ficheiro de log correspondente.
A Sophos bloqueia sempre páginas web da categoria highly objectionable criminal activity e oculta o nome de domínio em logs e reports. Se uma entrada nesta área parecer anonimizadora de propósito, isso pode ser esperado.
VPN
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| IPsec a partir de SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec versões antigas | serviço IPsec | ipsec.log |
| IPsec Test Connection | teste IPsec | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| Estado SSL VPN | estado OpenVPN | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| Certificados VPN | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
A Sophos Firewall usa strongSwan para IPsec VPN e OpenVPN para SSL VPN. Em problemas IPsec, hora, peer IP, proposal, local/remote subnets, NAT-T, routing e firewall rules são decisivos.
Para problemas IPsec, Sophos Firewall IPsec troubleshooting é o guia passo a passo mais adequado. Para route-based VPN e rotas IPsec manuais, ver Criar uma rota IPsec na Sophos Firewall.
Authentication, User Portal e SSO
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Autenticação de utilizadores | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / contexto Access Server | conforme contexto do serviço e access_server.log |
Em regras baseadas em utilizadores, deve verificar-se primeiro se o utilizador é conhecido. Se Match known users estiver ativo e a autenticação não funcionar, a regra não faz match.
DNS, DHCP e rede
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / outros componentes DNS | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Serviço de rede | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
Problemas DNS e DHCP parecem muitas vezes problemas de firewall. Por isso, devem verificar-se primeiro endereço IP, gateway, servidor DNS e se os clientes devem usar a firewall como servidor DNS ou DHCP.
Se domínios internos não forem resolvidos corretamente, Configurar DNS request routes na Sophos Firewall costuma ser relevante. Para opções DHCP especiais, ver Configurar Sophos Firewall DHCP Options.
Cellular WAN
| Função | O que verificar | Ficheiro de log |
|---|---|---|
| WWAN / modem USB | inserção e remoção de dispositivos USB | mdev.log |
| Configuração de rede do modem | interfaces e configuração IP relacionadas com modem | networkd.log |
| USB, modem e PPP | mensagens syslog de USB, modem e Point-to-Point Protocol | syslog.log |
Em problemas Cellular WAN, também se deve verificar se o modem é reconhecido, se PIN/SIM/APN estão corretos e se a firewall cria um gateway adequado.
Routing
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Em problemas de routing, verificar também Routing > SD-WAN routes, gateways e Packet Capture. Policy tester não substitui um verdadeiro teste de routing.
Mais detalhes: Ajustar prioridade de routing na Sophos Firewall.
GUI, CLI e acesso ao sistema
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| Erros GUI/CLI | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validação | Config Validation | validation.log, validationError.log |
Se WebAdmin ou SSH não estiverem acessíveis, não basta verificar estes logs. O acesso local é controlado por Administration > Device access e Local Service ACL.
Mais detalhes: Ligar à Sophos Firewall por SSH.
Sophos Central, Heartbeat e Central Management
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat para Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | logs de serviço correspondentes |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | contexto ATR | conforme versão e módulo |
Em problemas Central, verificar primeiro se a firewall está registada, se Central Services estão ativos e se DNS/HTTPS de saída funciona.
High Availability
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Estado e configuração HA | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
Os HA logs ficam no appliance onde são gerados. Para logs brutos do appliance auxiliar, é necessário ligar diretamente a esse appliance, por exemplo pela admin port via SSH. Para reports consolidados, Sophos Central Firewall Reporting é mais prático.
Mail e Anti-Spam
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus Updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| Erros SMTP | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Em problemas de mail, verificar sempre se MTA Mode, firewall rule, DNS, certificados e restrições do provider estão consistentes.
A Sophos Firewall usa Avira e Sophos Antivirus. O serviço Anti-Spam só inicia quando existe uma spam policy de entrada ou de saída. Esta dependência é importante se sasi.log ficar vazio ou se o serviço Anti-Spam não correr.
Wireless, RED, Hotspot e outros serviços
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Base de dados e reporting
| Função | Serviço / contexto | Ficheiro de log |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Se reports faltarem, estiverem lentos ou surgirem problemas de espaço, logs de reporting e base de dados são relevantes. Também se deve verificar se os reports são guardados localmente ou enviados para Sophos Central.
Ordem prática de análise
- Anotar o problema com precisão: hora, cliente, destino, porta, utilizador, ação.
- Filtrar no Log Viewer por source IP e hora.
- Verificar se Firewall Rule ID e NAT Rule ID são visíveis.
- Observar o ficheiro de log correspondente com
tail -f. - Reproduzir o problema.
- Ativar debug brevemente se necessário.
- Usar Packet Capture se o fluxo de pacotes não for claro.
- Guardar logs enquanto o erro acabou de ser reproduzido.
Para casos de suporte, devem documentar-se todas as mensagens de erro, passos de reprodução e passos de troubleshooting já realizados. Esta informação acelera significativamente os casos de suporte.
Mais informações
As tabelas neste artigo baseiam-se em experiência prática e na visão oficial da Sophos dos ficheiros de log por módulo. As fontes oficiais estão aqui: