Saltar para o conteudo
Avanet

Atribuir logs de serviço de Sophos Firewall

No Sophos Firewall existem três níveis importantes para resolução de problemas: logs de eventos em Log Viewer, ferramentas de diagnóstico em WebAdmin e ficheiros de serviço ou log na firewall. O Log Viewer é ideal para dúvidas rápidas como “a ligação foi permitida ou bloqueada?” Os ficheiros em /log são mais importantes quando um serviço não inicia, um túnel VPN está instável, os filtros da web agem inesperadamente ou o suporte precisa de dados detalhados.

Este artigo classifica os serviços e ficheiros de log mais importantes de acordo com problemas típicos de gestão. Também é útil quando o nome de um serviço técnico aparece no painel de controlo, Advanced Shell ou em um caso de suporte e não fica imediatamente claro qual função de firewall está por trás dele. Nomes como zebra, warren, awed, garner ou strongswan não são autoexplicativos na vida cotidiana.

Seleção de ferramentas e pré-requisitos

Qual ferramenta de resolução de problemas é apropriada?

Nem todos os problemas de firewall começam com um shell. Muitas vezes, outra ferramenta é mais rápida no início:

A ordem é importante. O Log Viewer geralmente mostra mais rapidamente qual regra ou módulo escolheu. Packet Capture demonstra o fluxo de pacotes em WebAdmin. tcpdump é útil quando é necessário de uma captura mais longa, um ficheiro PCAP ou um filtro CLI muito preciso. Os logs de serviço e depuração ajudam quando um serviço específico é o problema ou quando é necessário recolher dados para o Suporte Sophos.

Entrada rápida por sintoma

Se não estiver claro qual log é relevante, será útil começar com o sintoma em vez do nome do serviço.

  • Uma única ligação não funciona: primeiro verifique Log Viewer com Origem, Destino, Serviço e horário. Em seguida, use Packet Capture, firewall_rule.log e nat_rule.log.
  • O túnel VPN está inativo ou instável: verifique o status do VPN, IP do peer, hora e Log Viewer. Em seguida, verifique os dados de diagnóstico de strongswan.log, charon.log, sslvpn.log e IPsec.
  • WebAdmin, User Portal ou SSH não são acessíveis: verifique Device Access, Local Service ACL e a área afetada. Em seguida, use apache.log, tomcat.log, sshd.log e Packet Capture na porta de destino.
  • Webfilter, TLS Inspection ou IPS bloqueiam inesperadamente: revise o módulo Log Viewer e o ID da política. Em seguida compare ips.log, webproxy.log, awarrenhttp.log e Packet Capture.
  • Uma tarefa de Sophos Central está travada: compare a Fila de Tarefas Central e o estado local. Em seguida verifique centralmanagement.log, sophos-central.log e fwcm-api-executor.log.
  • HA se comporta de forma diferente por nó: identifica o nó ativo, o nó auxiliar e a rota de tráfego afetada. Em seguida, efetue login diretamente no nó afetado e revise os logs HA.
  • Os relatórios locais estão faltando ou o armazenamento está cheio: revise as configurações do relatório, o espaço e Central Reporting. Em seguida, use reportdb.log, garner.log e análise de armazenamento.

Esta visualização evita uma armadilha comum: pesquisar um log de serviço, embora a correspondência de regras, Device Access, NAT ou encaminhamento precise primeiro ser demonstrada.

Log Viewer ou ficheiro de log?

Log Viewer abre no consola WebAdmin no canto superior direito. Ele é atualizado automaticamente, pode ser filtrado por módulo, hora, valores de campo e texto livre, além de poder exportar registos como CSV.

Os logs de resolução de problemas estão localizados no diretório /log na firewall. Podem ser acedidos através do consola WebAdmin ou pelo SSH. Para verificações rápidas, Device Management > Advanced Shell no navegador funciona, mas na prática, SSH geralmente é mais confortável, estável e melhor para sessões mais longas do que tail, grep ou less. Como preparar SSH com segurança está descrito no guia Conectar Sophos Firewall por SSH.

Antes de longas sessões no shell, deve ficar claro a qual rede de gestão está liga-sendo, se a impressão digital SSH foi verificada e se o Advanced Shell é realmente necessário. Para muitas verificações iniciais, Log Viewer ou Packet Capture em WebAdmin são suficientes.

Como regra geral, esta é a sequência:

  1. Um fluxo de tráfego individual é afetado: filtrar em Log Viewer por Origem, Destino, Serviço e horário.
  2. Log Viewer não mostra decisão: iniciar Packet Capture com filtro estreito.
  3. Packet Capture mostra Incoming, mas não uma decisão clara: verifique ID de regra, ID NAT, ID de firewall 0, caminho de retorno e log apropriado.
  4. Um serviço específico parece instável: Observe o ficheiro apropriado em /log com tail -f.
  5. Um erro é esporádico ou requer suporte: preparar janela de tempo, filtro, ficheiro de log e, se for o caso, tcpdump.
  6. Logs normais não são suficientes: ative o Debug apenas para o serviço afetado e por um curto período de tempo.

Isso mantém a análise suficientemente pequena. A evidência visível é recolhada primeiro, depois transferida para o fluxo de pacotes e só então para registos de serviço ou depuração. Isso reduz o risco de acionar o log de depuração extenso muito cedo ou de avaliar um ficheiro de log incorreto.

Ler ficheiros de log em Advanced Shell

Antes de examinar /log, o caso de teste deve ser documentado o mais fielmente possível: hora local, IP de origem afetado, IP de destino, porta, utilizador, módulo e comportamento esperado. Esses dados fazem a diferença entre uma análise de log útil e uma longa pesquisa em entradas antigas.

  1. Conecte-se através de SSH ou abra Device Management > Advanced Shell no consola WebAdmin.
  2. Mude para o diretório de log.
cd /log

Comandos úteis:

tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips

Os comandos mais importantes do Advanced Shell:

  • Ler ao vivo: tail -f /log/<logfilename>.log, por exemplo tail -f /log/ips.log.
  • Ler um ficheiro estático: less /log/<logfilename>.log, por exemplo less /log/ips.log.
  • Busca por um termo: grep <keyword> /log/<logfilename>.log, por exemplo grep error /log/ips.log.
  • Serviço de controlo ou ativação de Debug: service <service>:<start/restart/stop/debug> -ds nosync, por exemplo service ips:debug -ds nosync.

Para suporte ou análise adicional, não apenas linhas de registo individuais devem ser copiadas. É melhor ter um intervalo de tempo claro, o teste executado, capturas de ecrã relevantes de Log Viewer ou Packet Capture e, se necessário, um ficheiro de log completo. Os registos locais são alternados; portanto, dados importantes devem ser protegidos enquanto o evento ainda estiver dentro do período afetado. O procedimento está descrito em Garantindo registos de Sophos Firewall para análise externa.

Transferir logs de resolução de problemas em WebAdmin

Nem toda coleção de logs deve ser construída manualmente com tar a partir de Advanced Shell. Para casos de suporte, WebAdmin também oferece Diagnostics > Tools > Log file details ou a seleção de logs de resolução de problemas. Lá é possível selecionar e transferir ficheiros de log por módulo.

Na prática existem dois caminhos:

  • Ficheiros de log individuais: abrir Diagnostics > Tools > Troubleshooting logs, selecionar os ficheiros de log afetados e descarregá-los como ficheiro comprimido.
  • Consolidated Troubleshooting Report (CTR): usar Diagnostics > Tools > Consolidated troubleshooting report quando o suporte precisa de todos os logs, estado do sistema, processos e dados de recursos num único pacote.

Isto é conveniente se um administrador não quiser abrir uma longa sessão de shell ou se apenas um pacote de log claramente delimitado for necessário. O CTR é melhor quando o Sophos Support precisa de um snapshot amplo do sistema. Ao criar um CTR, deve ser indicado um motivo curto e claro, por exemplo número do ticket, janela de tempo ou sintoma. O relatório é descarregado de forma cifrada e, nos logs de subsistemas de serviço, normalmente contém apenas um número limitado de linhas. Ficheiros de log individuais completos são obtidos de forma mais fiável através de Troubleshooting logs ou diretamente de /log.

Importante: um pacote de log transferido não substitui dados de contexto. O suporte ainda precisa de horário com fuso horário, IPs afetados, utilizador, nome do túnel, ID da regra, ID NAT e uma breve descrição do que exatamente foi reproduzido.

Em clusters HA é preciso ter também em atenção: logs e relatórios não são simplesmente sincronizados entre Primary e Auxiliary. Cada nó contém os logs do tráfego e dos serviços que ele próprio processou. Em erros específicos de um nó, deve ser verificado o nó afetado.

Advanced Shell ou Device Console?

No Sophos Firewall existem duas áreas de consola diferentes que são frequentemente confundidas:

  • Device Console: CLI da Sophos para comandos de firewall específicos, por exemplo, prioridade de encaminhamento, rotas IPsec ou opções do sistema.
  • Advanced Shell: Shell fechado do Linux para sistema de ficheiros, logs, tail, grep, less, service -S, reinicializações de serviço e comandos de depuração.

Nem todos os comandos funcionam em ambas as áreas. Se um artigo mencionar explicitamente Device Console, o comando deve ser executado lá. Se for /log, tail -f, grep, service -S ou log de depuração, geralmente se refere a Advanced Shell.

Esta distinção é importante porque muitos erros só ocorrem porque um comando correto é digitado no lugar errado.

O registo deve estar ativo

Nem todas as informações esperadas aparecem automaticamente.

  • Nas regras de firewall, Registrar o tráfego da firewall deve estar ativo.
  • Nas regras de inspeção SSL/TLS, o registo em log deve estar ativado.
  • System services > Log settings deve definir quais tipos de registos serão enviados localmente, para Sophos Central ou para Syslog.

Para armazenamento de longo prazo, um servidor Syslog ou Sophos Central Firewall Reporting é útil. Como ligar servidores de registo externos ou um SIEM está descrito em Enviar Syslog de Sophos Firewall para SIEM. Para Sophos Central, Ativar Relatório de Firewall Central é o procedimento apropriado.

Habilite a depuração apenas de maneira direcionada

O log de depuração é muito útil, mas gera muitos dados e pode consumir espaço de armazenamento. A depuração só deve ser ativada para o serviço relevante. Em seguida, o problema é reproduzido e a depuração é desativada novamente.

Exemplo:

service ips:debug -ds nosync
service ips:debug -ds nosync off

A sintaxe exata depende do serviço. Se o serviço afetado não estiver claro, o ficheiro de log normal correspondente deve ser verificado primeiro.

A Sophos distingue aqui dois caminhos de operação. Na Advanced Shell usam-se comandos de serviço como service ips:debug -ds nosync. Na Device Console existem adicionalmente os comandos system diagnostics subsystems <subsystem> debug on e system diagnostics subsystems <subsystem> debug off para subsistemas suportados. Estas variantes não devem ser misturadas: primeiro esclarecer em que consola se está a trabalhar, depois usar o comando correto.

O tópico de registo de depuração e os comandos básicos de CLI são descritos com mais detalhes no artigo Sophos Firewall CLI Resolução de problemas: comandos importantes. Para reiniciar serviços individuais, Reiniciar serviços Sophos Firewall com segurança também é útil.

Erros típicos na busca de registos

Muitas verificações de log não duram muito devido à falta de dados, mas sim porque a ferramenta errada é pesquisada muito cedo.

  • Ative o Debug diretamente: primeiro verifique Log Viewer, log adequado e teste reproduzível.
  • Busca apenas mensagens de erro: delimita também Origem, Destino, Utilizador, ID da Regra, ID da Regra NAT e hora.
  • Ignorar Packet Capture: Se não estiver claro se os pacotes estão chegando ou continuando, use Packet Capture antecipadamente.
  • Entenda Central Reporting como depuração ao vivo: use Central Reporting para histórico e relatórios, logs locais para análise detalhada.
  • Garanta os logs de suporte dias depois: Garanta os logs, o tempo e as etapas de reprodução enquanto o evento ainda é rastreável.
  • Deixe o Debug ativo após o teste: Desative o Debug novamente e verifique o espaço de armazenamento.

Um bom caso de resolução de problemas sempre tem três coisas: um teste rigoroso, a fonte de registo adequada e um tempo documentado. Sem essa base, é possível ver muitas linhas de log, mas não necessariamente a causa.

Ficheiros de log por área funcional

As listas a seguir são para referência. É melhor selecionar primeiro a área funcional afetada e depois revisar o registo apropriado com uma janela de tempo estreita.

Sistema, gestão e serviços básicos

  • Mensagens do sistema: syslog.log; Verifique também a hora, reinicialização e eventos de interface.
  • WebAdmin Servidor Web: apache.log, apache_access.log; Revise também Device Access e Local Service ACL.
  • Aplicação WebAdmin: tomcat.log; Revise também erros de GUI, alta carga e status do serviço.
  • SSH: sshd.log; Verifique também Device Access, rede de origem e Login de chave pública.
  • Erros de GUI/CLI: error_log.log; Revise também as alterações recentes, as ações do navegador e do administrador.
  • Alterações de configuração: applog.log, csc.log; verificar também Audit Trail e Config Studio.
  • Base de dados de configuração: postgres.log; verificar também armazenamento, backup/restore e caso de suporte.
  • Comunicação entre componentes: garner.log; verificar também reporting, Central Reporting e processamento de logs.
  • API: apiparser.log, app-feedback.log; Revise também a ACL da API, o token e a fila de tarefas central.
  • Validação: validation.log, validationError.log; Revise também objetos ou importações defeituosas.
  • Licenciamento: licensing.log; Verifique também o status da licença, o Central Sync e o caso especial do Air-Gap.
  • Atualizações do Sistema: u2d.log, sig_update.log; Verifique também o status do padrão, DNS/HTTPS e espaço de armazenamento.

Em problemas de gestão, não se deve revisar apenas o log WebAdmin. Muitas vezes Device Access, um Local Service ACL Exception Rule ou uma rede de origem incorreta decide se WebAdmin, SSH, User Portal, VPN Portal, DNS ou SNMP são acessíveis. Para esta parte, Protegendo o acesso a Sophos Firewall: Configurando corretamente Device Access é o melhor ponto de entrada.

Firewall, NAT e Packet Capture

  • Correspondência de regras de firewall: firewall_rule.log; Verifique também o módulo Firewall em Log Viewer.
  • Processamento geral de firewall: fwlog.log; use também Packet Capture.
  • Regras NAT: nat_rule.log; Revise também o ID da regra NAT em Log Viewer.
  • DNAT com Link Load Balancing: verificar também dgd.log quando a seleção de gateway ou link está envolvida.
  • Packet Capture em WebAdmin: pktcapd.log; verifique também Diagnostics > Packet capture.
  • Gestão de largura de banda / QoS: bwm.log; Revise também a Política de Modelagem de Tráfego.
  • Publicação de host virtual/servidor antigo: vhost.log; Verifique também NAT e WAF.
  • Proteção de Servidor Web / WAF: reverseproxy.log; Revise também a regra WAF, Endereço hospedado e acessibilidade de back-end.

Para problemas de DNAT, sempre verifique a regra de firewall e a regra NAT juntas. NAT apenas traduz, mas não permite tráfego. Mais informações: Entenda NAT em Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Sophos Firewall utiliza, entre outras, tabelas IP, tabela ARP, IPset e conntrack para ligações de firewall. Para QoS ou gestão de largura de banda, o IMQ é usado. Estas informações são úteis ao visualizar mensagens de log ou saídas de suporte com termos técnicos do caminho de rede do Linux.

Inspeção IPS, Application Control e TLS

  • Prevenção contra Invasões: Serviço ips, log ips.log.
  • Application Control: Serviço ips / Filtro de Aplicação, log ips.log.
  • DPI e TLS Inspection: Mecanismo DPI, log ips.log.
  • Antivírus no caminho da rede: Serviço avd, log avd.log.
  • Zero-Day Protection / Sandbox: Serviço Sandbox, registos sandboxd.log, sessiontbl.log.
  • Active Threat Response / X-Ops Threat Feeds: ATR no caminho da rede; primeiro Log Viewer, conforme módulo também ips.log.
  • MDR Threat Feeds: Status de alimentação ATR/MDR, log atr.log.
  • Atualizações de assinatura: Atualizador de assinatura, registos sig_upgrade.log, sig_update.log.
  • Migração de assinatura: Migração de assinatura, log sigmigration.log.

Muitas funções de proteção modernas só veem detalhes suficientes quando HTTPS é descriptografado. Se a inspeção TLS não for aplicada, os filtros da web, a monitorização de aplicações, o IPS e a verificação de malware serão menos significativos dependendo do tráfego.

Se não estiver claro se o IPS está ativo, qual política é aplicada ou por que uma assinatura está bloqueada, primeiro ajude Configurar e testar com segurança o IPS Sophos Firewall. ips.log, Log Viewer e Packet Capture podem então ser combinados de maneira mais direcionada.

Se for reconhecimento de aplicação, filtragem de aplicação ou falhas inesperadas de controlo de aplicação, Configurar e testar Sophos Firewall Application Control deve ser usado primeiro.

Para Zero-Day Protection também vale a pena verificar se Web Protection, TLS Inspection, tipo de ficheiro, tamanho de ficheiro, política e ação se ajustam. O artigo operacional apropriado é Compreender e operar Sophos Firewall Zero-Day Protection. Para Threat Feeds se encaixa Configurar e operar Sophos Firewall Threat Feeds com segurança. Mais sobre TLS Inspection: Implementar inspeção TLS em Sophos Firewall passo a passo.

Web, Proxy, WAF e filtro web

  • Proxy HTTPS: Serviço awarrenhttp, log awarrenhttp.log.
  • Acesso proxy HTTPS: Log de acesso awarrenhttp, log awarrenhttp_access.log.
  • Web Proxy: registo webproxy.log.
  • Categorização/Reputação Web: Serviço nSXLd, log nSXLd.log.
  • Proxy HTTP/FTP herdado: Serviço skein, log skein.log.
  • Proxy FTP: Serviço ftpproxy, log ftpproxy.log.
  • Firewall de aplicação Web: Proxy reverso, log reverseproxy.log.

Se o tráfego web parecer bloqueado em Log Viewer, a causa pode estar em vários módulos: política web, inspeção SSL/TLS, controlo de aplicação, IPS ou WAF. Portanto, selecione sempre o módulo específico no Log Viewer e verifique também o ficheiro de registo apropriado.

A Sophos bloqueia sites na categoria criminal activity por predefinição e oculta o nome de domínio em registos e relatórios. Se uma entrada nesta área parecer deliberadamente anonimizada, isso pode ser deliberado.

Para categorias da web, grupos de URL, políticas da web e alertas instantâneos, consulte Usar categorias da web e alertas instantâneos em Sophos Firewall.

VPN

  • IPsec de SFOS v17+: Serviços strongswan, charon; registos strongswan.log, charon.log.
  • Específico da ligação IPsec: uma ligação IPsec específica, log strongswan-<connection>.log.
  • IPsec versões anteriores: Serviço IPsec, log ipsec.log.
  • Ligação de teste IPsec: Teste IPsec, log ipsec_Test_Connect.log.
  • Monitorização IPsec: Monitor IPsec, log ipsec_monitor.log.
  • XFRM / VPN baseado em rota: Serviço xfrmi, log xfrmi.log.
  • SSL VPN: SSL VPN / OpenVPN, registo sslvpn.log.
  • Status SSL VPN: Status OpenVPN, log openvpn-status*.log.
  • VPN Portal: registo vpnportal.log.
  • L2TP: Serviço l2tpd, registo l2tpd.log.
  • PPTP: PPTP VPN, registo pptpvpn.log.
  • Certificados VPN: Serviços de certificados VPN, registos vpncertificate.log, wc_remote.log.
  • Clientless SSL VPN: Acesso sem cliente, log clientless_access.log.

Sophos Firewall usa strongSwan para IPsec VPN e OpenVPN para SSL VPN. Nas questões IPsec, tempo, IP de peer, proposta, sub-redes locais/remotas, NAT-T, encaminhamento e regras de firewall são cruciais.

Para problemas de IPsec, o artigo Resolução de problemas de IPsec em Sophos Firewall é o melhor guia passo a passo. Se for VPN baseado em rotas e rotas manuais IPsec, ajuda Criar rota IPsec em Sophos Firewall.

Autenticação, User Portal e SSO

  • Autenticação do utilizador: Servidor de acesso / AAA, log access_server.log.
  • NTLM / NASM: Serviço nasm, registo nasm.log.
  • SSO do Chromebook: Back-end do SSO do Chromebook, registo chromebook-sso-backend.log.
  • SSO OAuth Captive Portal: log oauth_sso_captive.log.
  • SSO OAuth WebAdmin: log oauth_sso_webadmin.log.
  • SSO OAuth VPN: log oauth_sso_vpn.log.
  • STAS: STAS / Contexto Servidor de Acesso, conforme contexto de serviço e access_server.log.

Nas regras do utilizador, sempre verifique primeiro se o utilizador é conhecido. Se Corresponder utilizadores conhecidos estiver ativo e a autenticação não funcionar, a regra não corresponde.

Se estiver usando o portal cativo com o SSO do Microsoft Entra ID, Configurar o SSO do Microsoft Entra ID para Sophos Firewall Captive Portal ajuda a verificar oauth_sso_captive.log, Device Access, grupos e correspondência de regras subsequentes.

DNS, DHCP e rede

  • DNS Serviço: Serviço dnsd, log dnsd.log.
  • DNS Grabber: Serviço dnsgrabber, log dnsgrabber.log.
  • DNS Entidade/outros componentes DNS: Serviços entity, eacd; registos entity.log, eacd.log.
  • DHCP IPv4: Serviço dhcpd, log dhcpd.log.
  • DHCP IPv6: registo dhcp6.log.
  • Serviço de rede: Serviço networkd, log networkd.log.
  • Hosts FQDN: Serviço fqdnd, logs fqdnd.log, fqdndebug.log.
  • Detecção de gateway inativo: Serviço dgd, log dgd.log.
  • DNS Dinâmico: Cliente DNS Dinâmico, log ddc.log.
  • Cliente NTP: log ntpclient.log.
  • Anúncio do router IPv6: Serviço radvd, log radvd.log.

Os problemas de DNS e DHCP geralmente parecem problemas de firewall. Portanto, o endereço IP, gateway, servidor DNS e se os clientes devem utilizar a firewall como servidor DNS ou DHCP devem ser verificados primeiro.

Se os domínios internos não forem resolvidos corretamente, Definir DNS Request Routes para Sophos Firewall é geralmente relevante. Para opções especiais de DHCP, existe um artigo próprio Definir opções de DHCP em Sophos Firewall.

Célula WAN

  • Modem WWAN/USB: revise a ligação e desligação de dispositivos USB no mdev.log.
  • Configuração de rede do modem: revise as interfaces relacionadas ao modem e a configuração de IP em networkd.log.
  • USB, Modem e PPP: Revise as mensagens de Syslog sobre USB, Modem e Protocolo Ponto a Ponto em syslog.log.

Em problemas de Cellular WAN, também se deve verificar se o modem é reconhecido, se o PIN/SIM/APN estão corretos e se a firewall cria um gateway adequado.

Encaminhamento

  • Encaminhamento Estático: Serviço zebra, log zebra.log.
  • Encaminhamento Baseado em Aplicação: Serviço appcached, log appcached.log.
  • Cache do aplicação Redis: Redis, log redis.
  • Encaminhamento Multicast: log mrouting.log.
  • BGP: Serviço bgpd, log bgpd.log.
  • OSPF: Serviço ospfd, log ospfd.log.
  • RIP: Serviço ripd, registo ripd.log.
  • PIM-SM: Serviço pimd, registo pimd.log.

Em questões de encaminhamento, verifique também Encaminhamento > Rotas SD-WAN, gateways e Packet Capture. O Policy tester não substitui um teste de encaminhamento real.

Mais informações: Definir prioridade de encaminhamento para Sophos Firewall.

GUI, CLI e acesso ao sistema

Para WebAdmin, SSH, API e serviços de gestão local, a tabela básica está acima em Sistema, gestão e serviços básicos. Se WebAdmin ou SSH não estiverem acessíveis, apenas apache.log, tomcat.log ou sshd.log não devem ser verificados. O acesso local é controlado por Administration > Device access e Local Service ACL.

Maiores informações: Estabelecer ligação SSH com Sophos Firewall.

Sophos Central, Heartbeat e Gestão Central

  • Sophos Central Gestão: Gestão Central, registos centralmanagement.log, sophos-central.log.
  • CSC: Serviços csc, cschelper, csd; registos csc.log, cschelper.log, csd.log.
  • Security Heartbeat: Serviços heartbeatd, hbtrust; registos heartbeatd.log, hbtrust.log.
  • Heartbeat para Central: Serviços fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd; revise os respectivos logs de serviço.
  • Executor API Central: Serviço fwcm-api-executor, log fwcm-api-executor.log.
  • Active Threat Response: Contexto ATR; revisão de acordo com versão e módulo.

Nas questões da Central, verifique primeiro se a firewall está cadastrado, se os serviços da Central estão ativos e se a saída DNS/HTTPS está funcionando. Caso uma modificação Central não chegue localmente, a Fila de Tarefas Sophos Central Firewall Management deve ser comparada com os logs locais. Um estatuto verde na Central não prova por si só que uma política específica foi processada localmente.

Alta disponibilidade

  • Status e configuração HA: HA Log da Aplicação, log applog.log.
  • HA Serviço de Par: Serviço ha_pair, log ha_pair.log.
  • Túnel HA: Serviço ha_tunnel, log ha_tunnel.log.
  • Conntrack Sync: Serviço ctsyncd, log ctsyncd.log.
  • Msync: Serviço msync, log msync.log.

Os logs de HA estão localizados no dispositivo onde foram gerados. Para logs brutos do dispositivo auxiliar, deve ligar-se diretamente a esse dispositivo, por exemplo, através de sua porta de gestão por SSH. Para relatórios consolidados, o Sophos Central Firewall Reporting é mais prático.

Correio e anti-spam

  • Antivírus: Serviço AV, registo av.log.
  • Atualizações de antivírus: Up2Date AV, log up2date_av.log.
  • Anti-Spam: Serviço sasi, registo sasi.log.
  • Sandbox: Serviço sandboxd, registos sandboxd.log, sessiontbl.log.
  • SMTP MTA: Serviço smtpd, log smtpd_main.log.
  • Erros de SMTP: smtpd Erro/Pânico/Rejeição, registos smtpd_error.log, smtpd_panic.log, smtpd_reject.log.
  • Proxy SMTP/S legado: Serviços awarrensmtp, awarrenmta; registos awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log.
  • Proxy POP/IMAP: Serviço warren, log warren.log.

Em problemas de correio, verifique sempre se o modo MTA, regra de firewall, DNS, certificados e restrições do provedor são suportados. O procedimento para fluxo de mensagens, spool, quarentena e retransmissão é descrito em Configurar proteção de mensagens no modo MTA em Sophos Firewall.

Sophos Firewall usa Avira e Sophos Antivirus. O serviço anti-spam só é iniciado se houver uma política de spam de entrada ou saída. Esta dependência é importante se sasi.log permanecer vazio ou o serviço anti-spam não estiver em execução.

Wireless, RED, Hotspot e outros serviços

  • Controlador sem fio: Serviço awed, log awed.log.
  • Autenticação Wi-Fi: Serviço wifiauth, log wifiauth.log.
  • Ponto de acesso: Serviços hostapd, hotspot, hotspotd; registos hostapd.log, hotspot.log, hotspotd.log.
  • RED: RED Serviço, log red.log.
  • SNMP: Serviço snmpd, registo snmpd.log.
  • Serviço Syslog: registo syslog.log.
  • Licenciamento: Serviço de Licenciamento, log licensing.log.
  • Atualizações do Sistema: Serviço u2d, log u2d.log.
  • VMware Tools: Serviço vmtool, log vmtool.log.
  • Sistema de ficheiros SMB: Serviços smbnetfs, snireport; registos smbnetfs.log, snireport.log.

Em questões de licenciamento, Air-Gap ou padrão, licensing.log e u2d.log são os primeiros pontos de referência técnica. Para o procedimento operacional com ficheiro de licença, janela de 180 dias e atualizações manuais de padrão, consulte Operar atualizações de licença e padrão de air-gap em Sophos Firewall.

Banco de dados e relatórios

  • Banco de dados de configuração: Config DB, logs confdbstatus.log, crreportdb.log.
  • Postgres: Serviço postgres, log postgres.log.
  • Banco de dados de assinaturas: Serviço sigdb, log sigdb.log.
  • Banco de dados de relatório: BD de relatório, log reportdb.log.
  • Banco de dados de migração: Migração de relatórios, logs sac-feedback.log, reportmigration.log.
  • Garner: Serviço garner, registo garner.log.
  • iView: Serviço iview, registo iview.log.

Se os relatórios faltarem, estiverem lentos ou tiverem problemas de espaço de armazenamento, os logs do relatório e do banco de dados serão relevantes. Além disso, deve verificar se os relatórios são armazenados localmente ou enviados para Sophos Central.

Fluxo de análise

  1. Anote o problema com precisão: hora com fuso horário, cliente, destino, porta, utilizador, ação.
  2. Decida se é tráfego, status do serviço, alteração de configuração ou sincronização com Central.
  3. Filtrar Log Viewer por IP Origem, IP Destino, módulo e tempo.
  4. Verifique a visibilidade do ID da regra de firewall, ID da regra NAT, utilizador, gateway e IDs de política.
  5. Use Packet Capture se o fluxo de pacotes, o caminho de retorno ou a visualização NAT não estiverem claros.
  6. Revise o log apropriado com tail -f, less ou grep.
  7. Reproduza o problema e documente o momento exato do teste.
  8. Se necessário, ative o Debug apenas para o serviço afetado e apenas brevemente.
  9. Desative o Debug novamente e verifique o espaço de armazenamento.
  10. Salve os logs enquanto o erro ainda foi reproduzido recentemente.

Para casos de suporte, todas as mensagens de erro, etapas de reprodução e etapas de resolução de problemas já realizadas também devem ser documentadas. Essas informações aceleram significativamente os casos de suporte. O procedimento adequado está descrito em Abrir um ticket de suporte Sophos: preparação e portal.

Perguntas frequentes

Qual é o ficheiro de log mais importante em Sophos Firewall?

Depende do problema. Para regras de firewall, firewall_rule.log é importante, para NAT nat_rule.log, para IPsec strongswan.log, para SSL VPN sslvpn.log, para IPS e Application Control frequentemente ips.log. Contudo, o Log Viewer ainda é a melhor primeira entrada para ligações simples.

O que é CTR nos logs Sophos Firewall?

CTR em muitos contextos significa Relatório Consolidado de Solução de Problemas da Sophos. Para administradores, o importante é que um CTR ou pacote de log de resolução de problemas ajude a oferecer suporte, mas não substitua uma descrição limpa do erro com tempo, IPs afetados, utilizador, nome do túnel, ID da regra e etapas de reprodução.

Quando o Advanced Shell é necessário?

Advanced Shell é útil quando é necessário verificar ficheiros de log locais com tail, grep ou less, monitorar o status de um serviço ou precisar de dados de log detalhados do Suporte Sophos. Para muitas verificações iniciais, Log Viewer, Policy Test e Packet Capture em WebAdmin são suficientes.

O log de depuração deve ser deixado ativado permanentemente?

Não. A depuração gera muitos dados e pode consumir espaço de armazenamento. A depuração deve ser usada apenas para o serviço afetado, para um teste curto e reproduzível e com posterior desativação.

Por que não estou vendo eventos de firewall esperados em Log Viewer?

Muitas vezes, o tráfego da firewall de log não está ativo na regra afetada, o período ou filtro errado é escolhido ou o tráfego não alcança a firewall. Se o fluxo de pacotes não estiver claro, Log Viewer e Packet Capture devem ser usados juntos.

Os logs locais são melhores que Central Reporting ou Syslog?

São ferramentas diferentes. Os logs locais auxiliam na análise detalhada diretamente na firewall. Central Reporting é adequado para relatórios e históricos Sophos Central. Syslog é melhor para seu próprio SIEM, SOC ou armazenamento de longo prazo.