Atribuir logs de serviço de Sophos Firewall
No Sophos Firewall existem três níveis importantes para resolução de problemas: logs de eventos em Log Viewer, ferramentas de diagnóstico em WebAdmin e ficheiros de serviço ou log na firewall. O Log Viewer é ideal para dúvidas rápidas como “a ligação foi permitida ou bloqueada?” Os ficheiros em /log são mais importantes quando um serviço não inicia, um túnel VPN está instável, os filtros da web agem inesperadamente ou o suporte precisa de dados detalhados.
Este artigo classifica os serviços e ficheiros de log mais importantes de acordo com problemas típicos de gestão. Também é útil quando o nome de um serviço técnico aparece no painel de controlo, Advanced Shell ou em um caso de suporte e não fica imediatamente claro qual função de firewall está por trás dele. Nomes como zebra, warren, awed, garner ou strongswan não são autoexplicativos na vida cotidiana.
Seleção de ferramentas e pré-requisitos
Qual ferramenta de resolução de problemas é apropriada?
Nem todos os problemas de firewall começam com um shell. Muitas vezes, outra ferramenta é mais rápida no início:
- Ligação permitida ou bloqueada? Testar regra de firewall com Log Viewer, Teste de política e Packet Capture.
- Os pacotes chegam, mas não está claro se eles continuam? Use Sophos Firewall Packet Capture em WebAdmin.
- A captura deve demorar mais, ser salva como PCAP ou analisada no Wireshark? Sophos Firewall tcpdump: capturar pacotes por CLI.
- Suspeita-se que uma modificação na configuração seja a causa? Revisar Logs de Trilha de Auditoria Sophos Firewall.
- Uma modificação de Sophos Central está travada? Verificar fila de tarefas Sophos Central Firewall Management.
- São necessários relatórios ou histórico no Sophos Central? Ativar e operar Sophos Firewall Central Reporting.
- Os logs devem ser enviados a longo prazo para SIEM, SOC ou servidor de log? Enviar Syslog de Sophos Firewall para SIEM.
- O foco são fluxos de tráfego, picos de largura de banda ou padrões de comunicação? Configurar monitorização sFlow em Sophos Firewall.
- Um serviço não funciona ou o suporte precisa de logs? Este artigo.
- Salvar logs locais para Sophos Support ou Avanet? Registos Sophos Firewall seguros para suporte e análise
- Preparar um caso de suporte? Abrir um ticket de suporte Sophos: Preparação e portal.
A ordem é importante. O Log Viewer geralmente mostra mais rapidamente qual regra ou módulo escolheu. Packet Capture demonstra o fluxo de pacotes em WebAdmin. tcpdump é útil quando é necessário de uma captura mais longa, um ficheiro PCAP ou um filtro CLI muito preciso. Os logs de serviço e depuração ajudam quando um serviço específico é o problema ou quando é necessário recolher dados para o Suporte Sophos.
Entrada rápida por sintoma
Se não estiver claro qual log é relevante, será útil começar com o sintoma em vez do nome do serviço.
- Uma única ligação não funciona: primeiro verifique Log Viewer com Origem, Destino, Serviço e horário. Em seguida, use Packet Capture,
firewall_rule.logenat_rule.log. - O túnel VPN está inativo ou instável: verifique o status do VPN, IP do peer, hora e Log Viewer. Em seguida, verifique os dados de diagnóstico de
strongswan.log,charon.log,sslvpn.loge IPsec. - WebAdmin, User Portal ou SSH não são acessíveis: verifique Device Access, Local Service ACL e a área afetada. Em seguida, use
apache.log,tomcat.log,sshd.loge Packet Capture na porta de destino. - Webfilter, TLS Inspection ou IPS bloqueiam inesperadamente: revise o módulo Log Viewer e o ID da política. Em seguida compare
ips.log,webproxy.log,awarrenhttp.loge Packet Capture. - Uma tarefa de Sophos Central está travada: compare a Fila de Tarefas Central e o estado local. Em seguida verifique
centralmanagement.log,sophos-central.logefwcm-api-executor.log. - HA se comporta de forma diferente por nó: identifica o nó ativo, o nó auxiliar e a rota de tráfego afetada. Em seguida, efetue login diretamente no nó afetado e revise os logs HA.
- Os relatórios locais estão faltando ou o armazenamento está cheio: revise as configurações do relatório, o espaço e Central Reporting. Em seguida, use
reportdb.log,garner.loge análise de armazenamento.
Esta visualização evita uma armadilha comum: pesquisar um log de serviço, embora a correspondência de regras, Device Access, NAT ou encaminhamento precise primeiro ser demonstrada.
Log Viewer ou ficheiro de log?
Log Viewer abre no consola WebAdmin no canto superior direito. Ele é atualizado automaticamente, pode ser filtrado por módulo, hora, valores de campo e texto livre, além de poder exportar registos como CSV.
Os logs de resolução de problemas estão localizados no diretório /log na firewall. Podem ser acedidos através do consola WebAdmin ou pelo SSH. Para verificações rápidas, Device Management > Advanced Shell no navegador funciona, mas na prática, SSH geralmente é mais confortável, estável e melhor para sessões mais longas do que tail, grep ou less. Como preparar SSH com segurança está descrito no guia Conectar Sophos Firewall por SSH.
Antes de longas sessões no shell, deve ficar claro a qual rede de gestão está liga-sendo, se a impressão digital SSH foi verificada e se o Advanced Shell é realmente necessário. Para muitas verificações iniciais, Log Viewer ou Packet Capture em WebAdmin são suficientes.
Como regra geral, esta é a sequência:
- Um fluxo de tráfego individual é afetado: filtrar em Log Viewer por Origem, Destino, Serviço e horário.
- Log Viewer não mostra decisão: iniciar Packet Capture com filtro estreito.
- Packet Capture mostra
Incoming, mas não uma decisão clara: verifique ID de regra, ID NAT, ID de firewall0, caminho de retorno e log apropriado. - Um serviço específico parece instável: Observe o ficheiro apropriado em
/logcomtail -f. - Um erro é esporádico ou requer suporte: preparar janela de tempo, filtro, ficheiro de log e, se for o caso,
tcpdump. - Logs normais não são suficientes: ative o Debug apenas para o serviço afetado e por um curto período de tempo.
Isso mantém a análise suficientemente pequena. A evidência visível é recolhada primeiro, depois transferida para o fluxo de pacotes e só então para registos de serviço ou depuração. Isso reduz o risco de acionar o log de depuração extenso muito cedo ou de avaliar um ficheiro de log incorreto.
Ler ficheiros de log em Advanced Shell
Antes de examinar /log, o caso de teste deve ser documentado o mais fielmente possível: hora local, IP de origem afetado, IP de destino, porta, utilizador, módulo e comportamento esperado. Esses dados fazem a diferença entre uma análise de log útil e uma longa pesquisa em entradas antigas.
- Conecte-se através de SSH ou abra Device Management > Advanced Shell no consola WebAdmin.
- Mude para o diretório de log.
cd /log
Comandos úteis:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
Os comandos mais importantes do Advanced Shell:
- Ler ao vivo:
tail -f /log/<logfilename>.log, por exemplotail -f /log/ips.log. - Ler um ficheiro estático:
less /log/<logfilename>.log, por exemploless /log/ips.log. - Busca por um termo:
grep <keyword> /log/<logfilename>.log, por exemplogrep error /log/ips.log. - Serviço de controlo ou ativação de Debug:
service <service>:<start/restart/stop/debug> -ds nosync, por exemploservice ips:debug -ds nosync.
Para suporte ou análise adicional, não apenas linhas de registo individuais devem ser copiadas. É melhor ter um intervalo de tempo claro, o teste executado, capturas de ecrã relevantes de Log Viewer ou Packet Capture e, se necessário, um ficheiro de log completo. Os registos locais são alternados; portanto, dados importantes devem ser protegidos enquanto o evento ainda estiver dentro do período afetado. O procedimento está descrito em Garantindo registos de Sophos Firewall para análise externa.
Transferir logs de resolução de problemas em WebAdmin
Nem toda coleção de logs deve ser construída manualmente com tar a partir de Advanced Shell. Para casos de suporte, WebAdmin também oferece Diagnostics > Tools > Log file details ou a seleção de logs de resolução de problemas. Lá é possível selecionar e transferir ficheiros de log por módulo.
Na prática existem dois caminhos:
- Ficheiros de log individuais: abrir Diagnostics > Tools > Troubleshooting logs, selecionar os ficheiros de log afetados e descarregá-los como ficheiro comprimido.
- Consolidated Troubleshooting Report (CTR): usar Diagnostics > Tools > Consolidated troubleshooting report quando o suporte precisa de todos os logs, estado do sistema, processos e dados de recursos num único pacote.
Isto é conveniente se um administrador não quiser abrir uma longa sessão de shell ou se apenas um pacote de log claramente delimitado for necessário. O CTR é melhor quando o Sophos Support precisa de um snapshot amplo do sistema. Ao criar um CTR, deve ser indicado um motivo curto e claro, por exemplo número do ticket, janela de tempo ou sintoma. O relatório é descarregado de forma cifrada e, nos logs de subsistemas de serviço, normalmente contém apenas um número limitado de linhas. Ficheiros de log individuais completos são obtidos de forma mais fiável através de Troubleshooting logs ou diretamente de /log.
Importante: um pacote de log transferido não substitui dados de contexto. O suporte ainda precisa de horário com fuso horário, IPs afetados, utilizador, nome do túnel, ID da regra, ID NAT e uma breve descrição do que exatamente foi reproduzido.
Em clusters HA é preciso ter também em atenção: logs e relatórios não são simplesmente sincronizados entre Primary e Auxiliary. Cada nó contém os logs do tráfego e dos serviços que ele próprio processou. Em erros específicos de um nó, deve ser verificado o nó afetado.
Advanced Shell ou Device Console?
No Sophos Firewall existem duas áreas de consola diferentes que são frequentemente confundidas:
- Device Console: CLI da Sophos para comandos de firewall específicos, por exemplo, prioridade de encaminhamento, rotas IPsec ou opções do sistema.
- Advanced Shell: Shell fechado do Linux para sistema de ficheiros, logs,
tail,grep,less,service -S, reinicializações de serviço e comandos de depuração.
Nem todos os comandos funcionam em ambas as áreas. Se um artigo mencionar explicitamente Device Console, o comando deve ser executado lá. Se for /log, tail -f, grep, service -S ou log de depuração, geralmente se refere a Advanced Shell.
Esta distinção é importante porque muitos erros só ocorrem porque um comando correto é digitado no lugar errado.
O registo deve estar ativo
Nem todas as informações esperadas aparecem automaticamente.
- Nas regras de firewall, Registrar o tráfego da firewall deve estar ativo.
- Nas regras de inspeção SSL/TLS, o registo em log deve estar ativado.
- System services > Log settings deve definir quais tipos de registos serão enviados localmente, para Sophos Central ou para Syslog.
Para armazenamento de longo prazo, um servidor Syslog ou Sophos Central Firewall Reporting é útil. Como ligar servidores de registo externos ou um SIEM está descrito em Enviar Syslog de Sophos Firewall para SIEM. Para Sophos Central, Ativar Relatório de Firewall Central é o procedimento apropriado.
Habilite a depuração apenas de maneira direcionada
O log de depuração é muito útil, mas gera muitos dados e pode consumir espaço de armazenamento. A depuração só deve ser ativada para o serviço relevante. Em seguida, o problema é reproduzido e a depuração é desativada novamente.
Exemplo:
service ips:debug -ds nosync
service ips:debug -ds nosync off
A sintaxe exata depende do serviço. Se o serviço afetado não estiver claro, o ficheiro de log normal correspondente deve ser verificado primeiro.
A Sophos distingue aqui dois caminhos de operação. Na Advanced Shell usam-se comandos de serviço como service ips:debug -ds nosync. Na Device Console existem adicionalmente os comandos system diagnostics subsystems <subsystem> debug on e system diagnostics subsystems <subsystem> debug off para subsistemas suportados. Estas variantes não devem ser misturadas: primeiro esclarecer em que consola se está a trabalhar, depois usar o comando correto.
O tópico de registo de depuração e os comandos básicos de CLI são descritos com mais detalhes no artigo Sophos Firewall CLI Resolução de problemas: comandos importantes. Para reiniciar serviços individuais, Reiniciar serviços Sophos Firewall com segurança também é útil.
Erros típicos na busca de registos
Muitas verificações de log não duram muito devido à falta de dados, mas sim porque a ferramenta errada é pesquisada muito cedo.
- Ative o Debug diretamente: primeiro verifique Log Viewer, log adequado e teste reproduzível.
- Busca apenas mensagens de erro: delimita também Origem, Destino, Utilizador, ID da Regra, ID da Regra NAT e hora.
- Ignorar Packet Capture: Se não estiver claro se os pacotes estão chegando ou continuando, use Packet Capture antecipadamente.
- Entenda Central Reporting como depuração ao vivo: use Central Reporting para histórico e relatórios, logs locais para análise detalhada.
- Garanta os logs de suporte dias depois: Garanta os logs, o tempo e as etapas de reprodução enquanto o evento ainda é rastreável.
- Deixe o Debug ativo após o teste: Desative o Debug novamente e verifique o espaço de armazenamento.
Um bom caso de resolução de problemas sempre tem três coisas: um teste rigoroso, a fonte de registo adequada e um tempo documentado. Sem essa base, é possível ver muitas linhas de log, mas não necessariamente a causa.
Ficheiros de log por área funcional
As listas a seguir são para referência. É melhor selecionar primeiro a área funcional afetada e depois revisar o registo apropriado com uma janela de tempo estreita.
Sistema, gestão e serviços básicos
- Mensagens do sistema:
syslog.log; Verifique também a hora, reinicialização e eventos de interface. - WebAdmin Servidor Web:
apache.log,apache_access.log; Revise também Device Access e Local Service ACL. - Aplicação WebAdmin:
tomcat.log; Revise também erros de GUI, alta carga e status do serviço. - SSH:
sshd.log; Verifique também Device Access, rede de origem e Login de chave pública. - Erros de GUI/CLI:
error_log.log; Revise também as alterações recentes, as ações do navegador e do administrador. - Alterações de configuração:
applog.log,csc.log; verificar também Audit Trail e Config Studio. - Base de dados de configuração:
postgres.log; verificar também armazenamento, backup/restore e caso de suporte. - Comunicação entre componentes:
garner.log; verificar também reporting, Central Reporting e processamento de logs. - API:
apiparser.log,app-feedback.log; Revise também a ACL da API, o token e a fila de tarefas central. - Validação:
validation.log,validationError.log; Revise também objetos ou importações defeituosas. - Licenciamento:
licensing.log; Verifique também o status da licença, o Central Sync e o caso especial do Air-Gap. - Atualizações do Sistema:
u2d.log,sig_update.log; Verifique também o status do padrão, DNS/HTTPS e espaço de armazenamento.
Em problemas de gestão, não se deve revisar apenas o log WebAdmin. Muitas vezes Device Access, um Local Service ACL Exception Rule ou uma rede de origem incorreta decide se WebAdmin, SSH, User Portal, VPN Portal, DNS ou SNMP são acessíveis. Para esta parte, Protegendo o acesso a Sophos Firewall: Configurando corretamente Device Access é o melhor ponto de entrada.
Firewall, NAT e Packet Capture
- Correspondência de regras de firewall:
firewall_rule.log; Verifique também o móduloFirewallem Log Viewer. - Processamento geral de firewall:
fwlog.log; use também Packet Capture. - Regras NAT:
nat_rule.log; Revise também o ID da regra NAT em Log Viewer. - DNAT com Link Load Balancing: verificar também
dgd.logquando a seleção de gateway ou link está envolvida. - Packet Capture em WebAdmin:
pktcapd.log; verifique também Diagnostics > Packet capture. - Gestão de largura de banda / QoS:
bwm.log; Revise também a Política de Modelagem de Tráfego. - Publicação de host virtual/servidor antigo:
vhost.log; Verifique também NAT e WAF. - Proteção de Servidor Web / WAF:
reverseproxy.log; Revise também a regra WAF, Endereço hospedado e acessibilidade de back-end.
Para problemas de DNAT, sempre verifique a regra de firewall e a regra NAT juntas. NAT apenas traduz, mas não permite tráfego. Mais informações: Entenda NAT em Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Sophos Firewall utiliza, entre outras, tabelas IP, tabela ARP, IPset e conntrack para ligações de firewall. Para QoS ou gestão de largura de banda, o IMQ é usado. Estas informações são úteis ao visualizar mensagens de log ou saídas de suporte com termos técnicos do caminho de rede do Linux.
Inspeção IPS, Application Control e TLS
- Prevenção contra Invasões: Serviço
ips, logips.log. - Application Control: Serviço
ips/ Filtro de Aplicação, logips.log. - DPI e TLS Inspection: Mecanismo DPI, log
ips.log. - Antivírus no caminho da rede: Serviço
avd, logavd.log. - Zero-Day Protection / Sandbox: Serviço Sandbox, registos
sandboxd.log,sessiontbl.log. - Active Threat Response / X-Ops Threat Feeds: ATR no caminho da rede; primeiro Log Viewer, conforme módulo também
ips.log. - MDR Threat Feeds: Status de alimentação ATR/MDR, log
atr.log. - Atualizações de assinatura: Atualizador de assinatura, registos
sig_upgrade.log,sig_update.log. - Migração de assinatura: Migração de assinatura, log
sigmigration.log.
Muitas funções de proteção modernas só veem detalhes suficientes quando HTTPS é descriptografado. Se a inspeção TLS não for aplicada, os filtros da web, a monitorização de aplicações, o IPS e a verificação de malware serão menos significativos dependendo do tráfego.
Se não estiver claro se o IPS está ativo, qual política é aplicada ou por que uma assinatura está bloqueada, primeiro ajude Configurar e testar com segurança o IPS Sophos Firewall. ips.log, Log Viewer e Packet Capture podem então ser combinados de maneira mais direcionada.
Se for reconhecimento de aplicação, filtragem de aplicação ou falhas inesperadas de controlo de aplicação, Configurar e testar Sophos Firewall Application Control deve ser usado primeiro.
Para Zero-Day Protection também vale a pena verificar se Web Protection, TLS Inspection, tipo de ficheiro, tamanho de ficheiro, política e ação se ajustam. O artigo operacional apropriado é Compreender e operar Sophos Firewall Zero-Day Protection. Para Threat Feeds se encaixa Configurar e operar Sophos Firewall Threat Feeds com segurança. Mais sobre TLS Inspection: Implementar inspeção TLS em Sophos Firewall passo a passo.
Web, Proxy, WAF e filtro web
- Proxy HTTPS: Serviço
awarrenhttp, logawarrenhttp.log. - Acesso proxy HTTPS: Log de acesso
awarrenhttp, logawarrenhttp_access.log. - Web Proxy: registo
webproxy.log. - Categorização/Reputação Web: Serviço
nSXLd, lognSXLd.log. - Proxy HTTP/FTP herdado: Serviço
skein, logskein.log. - Proxy FTP: Serviço
ftpproxy, logftpproxy.log. - Firewall de aplicação Web: Proxy reverso, log
reverseproxy.log.
Se o tráfego web parecer bloqueado em Log Viewer, a causa pode estar em vários módulos: política web, inspeção SSL/TLS, controlo de aplicação, IPS ou WAF. Portanto, selecione sempre o módulo específico no Log Viewer e verifique também o ficheiro de registo apropriado.
A Sophos bloqueia sites na categoria criminal activity por predefinição e oculta o nome de domínio em registos e relatórios. Se uma entrada nesta área parecer deliberadamente anonimizada, isso pode ser deliberado.
Para categorias da web, grupos de URL, políticas da web e alertas instantâneos, consulte Usar categorias da web e alertas instantâneos em Sophos Firewall.
VPN
- IPsec de SFOS v17+: Serviços
strongswan,charon; registosstrongswan.log,charon.log. - Específico da ligação IPsec: uma ligação IPsec específica, log
strongswan-<connection>.log. - IPsec versões anteriores: Serviço IPsec, log
ipsec.log. - Ligação de teste IPsec: Teste IPsec, log
ipsec_Test_Connect.log. - Monitorização IPsec: Monitor IPsec, log
ipsec_monitor.log. - XFRM / VPN baseado em rota: Serviço
xfrmi, logxfrmi.log. - SSL VPN: SSL VPN / OpenVPN, registo
sslvpn.log. - Status SSL VPN: Status OpenVPN, log
openvpn-status*.log. - VPN Portal: registo
vpnportal.log. - L2TP: Serviço
l2tpd, registol2tpd.log. - PPTP: PPTP VPN, registo
pptpvpn.log. - Certificados VPN: Serviços de certificados VPN, registos
vpncertificate.log,wc_remote.log. - Clientless SSL VPN: Acesso sem cliente, log
clientless_access.log.
Sophos Firewall usa strongSwan para IPsec VPN e OpenVPN para SSL VPN. Nas questões IPsec, tempo, IP de peer, proposta, sub-redes locais/remotas, NAT-T, encaminhamento e regras de firewall são cruciais.
Para problemas de IPsec, o artigo Resolução de problemas de IPsec em Sophos Firewall é o melhor guia passo a passo. Se for VPN baseado em rotas e rotas manuais IPsec, ajuda Criar rota IPsec em Sophos Firewall.
Autenticação, User Portal e SSO
- Autenticação do utilizador: Servidor de acesso / AAA, log
access_server.log. - NTLM / NASM: Serviço
nasm, registonasm.log. - SSO do Chromebook: Back-end do SSO do Chromebook, registo
chromebook-sso-backend.log. - SSO OAuth Captive Portal: log
oauth_sso_captive.log. - SSO OAuth WebAdmin: log
oauth_sso_webadmin.log. - SSO OAuth VPN: log
oauth_sso_vpn.log. - STAS: STAS / Contexto Servidor de Acesso, conforme contexto de serviço e
access_server.log.
Nas regras do utilizador, sempre verifique primeiro se o utilizador é conhecido. Se Corresponder utilizadores conhecidos estiver ativo e a autenticação não funcionar, a regra não corresponde.
Se estiver usando o portal cativo com o SSO do Microsoft Entra ID, Configurar o SSO do Microsoft Entra ID para Sophos Firewall Captive Portal ajuda a verificar oauth_sso_captive.log, Device Access, grupos e correspondência de regras subsequentes.
DNS, DHCP e rede
- DNS Serviço: Serviço
dnsd, logdnsd.log. - DNS Grabber: Serviço
dnsgrabber, logdnsgrabber.log. - DNS Entidade/outros componentes DNS: Serviços
entity,eacd; registosentity.log,eacd.log. - DHCP IPv4: Serviço
dhcpd, logdhcpd.log. - DHCP IPv6: registo
dhcp6.log. - Serviço de rede: Serviço
networkd, lognetworkd.log. - Hosts FQDN: Serviço
fqdnd, logsfqdnd.log,fqdndebug.log. - Detecção de gateway inativo: Serviço
dgd, logdgd.log. - DNS Dinâmico: Cliente DNS Dinâmico, log
ddc.log. - Cliente NTP: log
ntpclient.log. - Anúncio do router IPv6: Serviço
radvd, logradvd.log.
Os problemas de DNS e DHCP geralmente parecem problemas de firewall. Portanto, o endereço IP, gateway, servidor DNS e se os clientes devem utilizar a firewall como servidor DNS ou DHCP devem ser verificados primeiro.
Se os domínios internos não forem resolvidos corretamente, Definir DNS Request Routes para Sophos Firewall é geralmente relevante. Para opções especiais de DHCP, existe um artigo próprio Definir opções de DHCP em Sophos Firewall.
Célula WAN
- Modem WWAN/USB: revise a ligação e desligação de dispositivos USB no
mdev.log. - Configuração de rede do modem: revise as interfaces relacionadas ao modem e a configuração de IP em
networkd.log. - USB, Modem e PPP: Revise as mensagens de Syslog sobre USB, Modem e Protocolo Ponto a Ponto em
syslog.log.
Em problemas de Cellular WAN, também se deve verificar se o modem é reconhecido, se o PIN/SIM/APN estão corretos e se a firewall cria um gateway adequado.
Encaminhamento
- Encaminhamento Estático: Serviço
zebra, logzebra.log. - Encaminhamento Baseado em Aplicação: Serviço
appcached, logappcached.log. - Cache do aplicação Redis: Redis, log
redis. - Encaminhamento Multicast: log
mrouting.log. - BGP: Serviço
bgpd, logbgpd.log. - OSPF: Serviço
ospfd, logospfd.log. - RIP: Serviço
ripd, registoripd.log. - PIM-SM: Serviço
pimd, registopimd.log.
Em questões de encaminhamento, verifique também Encaminhamento > Rotas SD-WAN, gateways e Packet Capture. O Policy tester não substitui um teste de encaminhamento real.
Mais informações: Definir prioridade de encaminhamento para Sophos Firewall.
GUI, CLI e acesso ao sistema
Para WebAdmin, SSH, API e serviços de gestão local, a tabela básica está acima em Sistema, gestão e serviços básicos. Se WebAdmin ou SSH não estiverem acessíveis, apenas apache.log, tomcat.log ou sshd.log não devem ser verificados. O acesso local é controlado por Administration > Device access e Local Service ACL.
Maiores informações: Estabelecer ligação SSH com Sophos Firewall.
Sophos Central, Heartbeat e Gestão Central
- Sophos Central Gestão: Gestão Central, registos
centralmanagement.log,sophos-central.log. - CSC: Serviços
csc,cschelper,csd; registoscsc.log,cschelper.log,csd.log. - Security Heartbeat: Serviços
heartbeatd,hbtrust; registosheartbeatd.log,hbtrust.log. - Heartbeat para Central: Serviços
fwcm-eventd,fwcm-heartbeatd,fwcm-updaterd; revise os respectivos logs de serviço. - Executor API Central: Serviço
fwcm-api-executor, logfwcm-api-executor.log. - Active Threat Response: Contexto ATR; revisão de acordo com versão e módulo.
Nas questões da Central, verifique primeiro se a firewall está cadastrado, se os serviços da Central estão ativos e se a saída DNS/HTTPS está funcionando. Caso uma modificação Central não chegue localmente, a Fila de Tarefas Sophos Central Firewall Management deve ser comparada com os logs locais. Um estatuto verde na Central não prova por si só que uma política específica foi processada localmente.
Alta disponibilidade
- Status e configuração HA: HA Log da Aplicação, log
applog.log. - HA Serviço de Par: Serviço
ha_pair, logha_pair.log. - Túnel HA: Serviço
ha_tunnel, logha_tunnel.log. - Conntrack Sync: Serviço
ctsyncd, logctsyncd.log. - Msync: Serviço
msync, logmsync.log.
Os logs de HA estão localizados no dispositivo onde foram gerados. Para logs brutos do dispositivo auxiliar, deve ligar-se diretamente a esse dispositivo, por exemplo, através de sua porta de gestão por SSH. Para relatórios consolidados, o Sophos Central Firewall Reporting é mais prático.
Correio e anti-spam
- Antivírus: Serviço AV, registo
av.log. - Atualizações de antivírus: Up2Date AV, log
up2date_av.log. - Anti-Spam: Serviço
sasi, registosasi.log. - Sandbox: Serviço
sandboxd, registossandboxd.log,sessiontbl.log. - SMTP MTA: Serviço
smtpd, logsmtpd_main.log. - Erros de SMTP:
smtpdErro/Pânico/Rejeição, registossmtpd_error.log,smtpd_panic.log,smtpd_reject.log. - Proxy SMTP/S legado: Serviços
awarrensmtp,awarrenmta; registosawarrensmtp.log,awarrenmta.log,awarrenmta_debug.log. - Proxy POP/IMAP: Serviço
warren, logwarren.log.
Em problemas de correio, verifique sempre se o modo MTA, regra de firewall, DNS, certificados e restrições do provedor são suportados. O procedimento para fluxo de mensagens, spool, quarentena e retransmissão é descrito em Configurar proteção de mensagens no modo MTA em Sophos Firewall.
Sophos Firewall usa Avira e Sophos Antivirus. O serviço anti-spam só é iniciado se houver uma política de spam de entrada ou saída. Esta dependência é importante se sasi.log permanecer vazio ou o serviço anti-spam não estiver em execução.
Wireless, RED, Hotspot e outros serviços
- Controlador sem fio: Serviço
awed, logawed.log. - Autenticação Wi-Fi: Serviço
wifiauth, logwifiauth.log. - Ponto de acesso: Serviços
hostapd,hotspot,hotspotd; registoshostapd.log,hotspot.log,hotspotd.log. - RED: RED Serviço, log
red.log. - SNMP: Serviço
snmpd, registosnmpd.log. - Serviço Syslog: registo
syslog.log. - Licenciamento: Serviço de Licenciamento, log
licensing.log. - Atualizações do Sistema: Serviço
u2d, logu2d.log. - VMware Tools: Serviço
vmtool, logvmtool.log. - Sistema de ficheiros SMB: Serviços
smbnetfs,snireport; registossmbnetfs.log,snireport.log.
Em questões de licenciamento, Air-Gap ou padrão, licensing.log e u2d.log são os primeiros pontos de referência técnica. Para o procedimento operacional com ficheiro de licença, janela de 180 dias e atualizações manuais de padrão, consulte Operar atualizações de licença e padrão de air-gap em Sophos Firewall.
Banco de dados e relatórios
- Banco de dados de configuração: Config DB, logs
confdbstatus.log,crreportdb.log. - Postgres: Serviço
postgres, logpostgres.log. - Banco de dados de assinaturas: Serviço
sigdb, logsigdb.log. - Banco de dados de relatório: BD de relatório, log
reportdb.log. - Banco de dados de migração: Migração de relatórios, logs
sac-feedback.log,reportmigration.log. - Garner: Serviço
garner, registogarner.log. - iView: Serviço
iview, registoiview.log.
Se os relatórios faltarem, estiverem lentos ou tiverem problemas de espaço de armazenamento, os logs do relatório e do banco de dados serão relevantes. Além disso, deve verificar se os relatórios são armazenados localmente ou enviados para Sophos Central.
Fluxo de análise
- Anote o problema com precisão: hora com fuso horário, cliente, destino, porta, utilizador, ação.
- Decida se é tráfego, status do serviço, alteração de configuração ou sincronização com Central.
- Filtrar Log Viewer por IP Origem, IP Destino, módulo e tempo.
- Verifique a visibilidade do ID da regra de firewall, ID da regra NAT, utilizador, gateway e IDs de política.
- Use Packet Capture se o fluxo de pacotes, o caminho de retorno ou a visualização NAT não estiverem claros.
- Revise o log apropriado com
tail -f,lessougrep. - Reproduza o problema e documente o momento exato do teste.
- Se necessário, ative o Debug apenas para o serviço afetado e apenas brevemente.
- Desative o Debug novamente e verifique o espaço de armazenamento.
- Salve os logs enquanto o erro ainda foi reproduzido recentemente.
Para casos de suporte, todas as mensagens de erro, etapas de reprodução e etapas de resolução de problemas já realizadas também devem ser documentadas. Essas informações aceleram significativamente os casos de suporte. O procedimento adequado está descrito em Abrir um ticket de suporte Sophos: preparação e portal.
Perguntas frequentes
Qual é o ficheiro de log mais importante em Sophos Firewall?
firewall_rule.log é importante, para NAT nat_rule.log, para IPsec strongswan.log, para SSL VPN sslvpn.log, para IPS e Application Control frequentemente ips.log. Contudo, o Log Viewer ainda é a melhor primeira entrada para ligações simples.O que é CTR nos logs Sophos Firewall?
Quando o Advanced Shell é necessário?
tail, grep ou less, monitorar o status de um serviço ou precisar de dados de log detalhados do Suporte Sophos. Para muitas verificações iniciais, Log Viewer, Policy Test e Packet Capture em WebAdmin são suficientes.