Hoppa till innehållet
Avanet

Granska Sophos Firewall Audit Trail Logs

Sophos Firewall

Audit Trail Logs hjälper till att spåra konfigurationsändringar på Sophos Firewall. Detta är viktigt när en regel plötsligt ändras efter en förändring, ett gränssnitt har ändrats, ett värdobjekt saknas eller när det i en revision frågas vem som ändrade vilken inställning och när.

Sedan Sophos Firewall v22 skriver SFOS detaljerade poster i configuration-audit.log för detta ändamål. Loggarna visar inte bara att något har ändrats, utan även värden före och efter ändringen. Med SFOS 22.0 MR1 förbättrades dessutom spårbarheten vid ändringar via Sophos Central, eftersom Sophos Central-användaridentiteten loggas vid ändringar på enskilda brandväggar.

Vilken loggartikel passar?

Audit Trail Logs är bara en del av felsökningen. Beroende på frågan kan en annan ingång vara snabbare:

FrågaPassande ingång
Vem har ändrat en konfiguration?Denna artikel
Har Sophos Central överfört en ändring till brandväggen?Kontrollera Sophos Central Firewall Management Task Queue
Vilken brandväggsregel har tillåtit eller avvisat trafik?Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture
Vilken loggfil hör till vilken tjänst?Sophos Firewall Troubleshooting: Tjänster och loggar
Säkerhetskopiera loggar för support eller extern analysSäkerhetskopiera Sophos Firewall Logs för support och analys
Jämföra eller dokumentera konfigurationerAnvänd Sophos Firewall Config Studio

Denna uppdelning förhindrar felaktiga förväntningar. Audit Trail besvarar frågor om förändringar. För paketflöde, NAT, VPN, Web Protection, IPS eller tjänstefel behövs fortfarande Log Viewer, Packet Capture, Service-Logs, Central Reporting eller Syslog.

När Audit Trail Logs hjälper

Audit Logs är särskilt användbara när frågan inte är “varför blockerades trafiken?”, utan “vem eller vad ändrade konfigurationen?”.

Typiska fall:

  • En brandväggsregel har ändrats, flyttats eller raderats.
  • Ett IP-värd, FQDN-värd eller nätverksobjekt har justerats.
  • Ett gränssnitt eller en VLAN-konfiguration ser annorlunda ut än dokumenterat.
  • Efter ett underhållsfönster är det oklart vilken ändring som orsakade ett problem.
  • En MSP eller internt team måste tilldela ändringar till flera administratörer.
  • För efterlevnad, NIS2, ISO 27001 eller interna förändringsprocesser behövs ett bevis.

För normal trafikanalys är andra verktyg viktigare. Om man vill kontrollera vilken regel som tillät eller avvisade en anslutning, passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture. Audit Logs kompletterar denna analys när en konfigurationsändring misstänks vara orsaken.

Vad configuration-audit loggar

configuration-audit registrerar konfigurationsändringar som administratörer gör i WebAdmin eller via CLI. Följande registreras:

  • Konfiguration före ändringen.
  • Konfiguration efter ändringen.
  • Tidsstämpel.
  • Administratörsidentitet.
  • Administratörens IP-adress.
  • Använd konsol eller åtkomstmetod.

Poster sparas i configuration-audit.log och skrivs i XML-format. Därför är de mycket detaljerade, men inte alltid lätta att läsa. För en snabb översikt räcker det ofta att söka efter objektnamn, admin, IP-adress eller tidsfönster. För större analyser kan det vara användbart att söka filen externt eller importera den till ett logganalysverktyg.

Aktuell funktionalitet

Audit Trail täcker för närvarande viktiga konfigurationsobjekt, särskilt:

  • IP-värdar.
  • Brandväggsregler.
  • Nätverksgränssnitt, inklusive fysiska, virtuella, trådlösa och Cellular-WAN-gränssnitt.
  • Från och med SFOS v22 ingår även Hosts and services i de stödda områdena.

Detta är redan mycket hjälpsamt för många förändringsanalyser, men ännu inte ett komplett förändringshanteringssystem. Audit Trail Logs ersätter ingen förändringsdokumentation, inget ärende och inget tvåpersonersprincip.

⚠️ Audit Logs bevisar att en ändring har loggats. Loggarna förklarar dock inte automatiskt om ändringen var tekniskt korrekt, godkänd eller fullständigt testad.

Kontrollera status för configuration-audit

Konfigurationen sker i Device Console, inte i Advanced Shell.

Status kontrolleras med:

system configuration-audit show

Om funktionen är aktiv bör brandväggen rapportera att Configuration Audit är påslagen. Om det är oklart om man arbetar i rätt konsol, hjälper distinktionen i Sophos Firewall Troubleshooting: Tjänster och loggar.

Aktivera eller inaktivera Audit Trail

Audit Logging är som standard aktiverat. Om det har inaktiverats kan det slås på igen i Device Console:

system configuration-audit enable

Inaktivering är tekniskt möjligt:

system configuration-audit disable

I produktiva miljöer bör Audit Logging normalt förbli aktivt. Om det av någon anledning inaktiveras bör detta dokumenteras och tidsbegränsas.

⚠️ Audit Logging bör inte inaktiveras som första åtgärd bara för att filen är stor eller svår att läsa. Särskilt vid störningar efter förändringar är dessa data ofta det avgörande beviset.

Ladda ner configuration-audit.log

Filen heter:

configuration-audit.log

Nedladdningen sker via felsökningsloggarna. WebAdmin-sökvägen är:

Diagnostics > Tools > Troubleshooting logs

Där kan man ladda ner enskilda loggfiler eller generera en Consolidated troubleshooting report (CTR). För en riktad audit-analys är den enskilda nedladdningen av audit-filen ofta mer praktisk än en fullständig CTR.

Om loggar ska samlas för support eller extern analys passar dessutom Säkerhetskopiera Sophos Firewall Logs för support och analys. För direkta shell-analyser är Anslut till Sophos Firewall via SSH relevant.

Utvärdera Audit Trail

För en korrekt analys bör man först begränsa tidsperioden.

Praktiskt förfarande:

  1. Bestäm tidpunkt för problemet eller förändringen.
  2. Ladda ner configuration-audit.log.
  3. Sök efter administratör, objektnamn, regelnamn, gränssnitt eller IP-adress.
  4. Jämför värdet före och efter ändringen.
  5. Jämför ändringen med ärende, underhållsfönster eller förändringsdokumentation.
  6. Vid trafikproblem, kontrollera även Log Viewer och Packet Capture.

Audit Logs är särskilt hjälpsamma vid regelverksproblem. Om en regel plötsligt inte längre gäller, visar Log Viewer bara det aktuella tillståndet. Audit Trail kan visa om källan, målet, tjänsten, säkerhetsfunktionen, regelpositionen eller objektinnehållet ändrades strax innan.

Använd Audit Trail korrekt vid supportfall

Vid supportfall är Audit Trail som starkast när det kombineras med ett konkret tidsfönster och ett reproducerbart symptom. En komplett configuration-audit.log utan kontext är svår att utvärdera. Bättre är ett kort förändringsprotokoll som ger de viktigaste ankare.

InformationVarför det hjälper
Exakt tid med tidszonLog Viewer, Central Logs och Audit Trail kan korreleras korrekt
Berört objektRegelnamn, värdobjekt, gränssnitt, VLAN, tjänst eller grupp hittas snabbare
Förväntat beteendeSupport ser om det handlar om trafik, inloggning, routing, rapportering eller Central-synkronisering
Faktiskt beteendeFelbilden separeras från den rena konfigurationsändringen
Involverad admin eller Central-användareÄndringar kan matchas med person, roll eller tenant-kontext
Före-/eftervärdeDet relevanta XML-utdraget identifieras snabbare
Ärende eller underhållsfönsterGodkända förändringar och spontana ändringar separeras

Om en ändring initierades via Sophos Central bör dessutom Central Task Queue kontrolleras. Task Queue visar om Central har bearbetat uppdraget. Audit Trail visar därefter vad som är spårbart lokalt på brandväggen.

Ändringar via Sophos Central

SFOS 22.0 MR1 förbättrar spårbarheten vid konfigurationsändringar via Sophos Central. När en enskild brandvägg konfigureras via Sophos Central visas Sophos Central-användaridentiteten i audit-kontexten. Denna information är tillgänglig i brandväggens Log Viewer samt i Sophos Central Logs och Reports.

Detta är viktigt för miljöer med flera administratörer eller MSP-drift. En generisk Central-åtkomst räcker inte för korrekt spårbarhet. Det bör vara klart:

  • Vilka personer har tillgång till Sophos Central?
  • Arbetar administratörer med egna användarkonton istället för delade inloggningar?
  • Är MFA aktivt i Sophos Central och på brandväggen?
  • Lagrar Central Logs tillräckligt länge?
  • Finns det en process för att matcha förändringar från Central med ärenden?

Förbindelsen mellan brandvägg och Central är beskriven i artikeln Anslut Sophos Firewall till Sophos Central. För längre logglagring passar Aktivera Central Firewall Reporting.

Observera HA-kluster

I HA-miljöer genererar Sophos enligt dokumentationen Audit Logs endast på den enhet som för närvarande är aktiv. Vid analyser efter ett failover måste man därför vara uppmärksam på rollbytet.

Viktiga frågor:

  • Vilken brandvägg var aktiv vid tidpunkten för ändringen?
  • Skedde ett failover strax före eller efter?
  • Är loggfiler från båda enheterna relevanta?
  • Synkroniserades ändringen korrekt till klustret?

För HA-drift och logginterpretation passar Ställ in Sophos Firewall High Availability.

Validering efter en förändring

Audit Trail visar att ett objekt har ändrats. Därefter måste det kontrolleras om ändringen har önskad effekt och inte orsakar några bieffekter. Särskilt vid brandväggsregler, gränssnitt, VPN och värdobjekt bör man därför inte stanna vid Audit Log.

En meningsfull procedur efter kritiska förändringar:

  1. Hitta ändringen i Audit Trail efter tidsfönster och objektnamn.
  2. Jämför före-/eftervärde med ärende eller förändringsdokumentation.
  3. Kontrollera berörd brandväggsregel, NAT-regel, rutt eller gränssnitt i WebAdmin.
  4. Generera konkret testtrafik.
  5. Kontrollera Log Viewer, Policy Test och Packet Capture.
  6. Vid Central-ändringar, kontrollera även Task Queue och Central Logs.
  7. Vid HA-kluster, kontrollera rollstatus och synkronisering.

Därmed blir Audit Trail ett pålitligt bevis istället för bara en loggfynd. Om Audit Trail visar en ändring, men testtrafiken fortfarande fungerar felaktigt, ligger orsaken ofta i regelordning, NAT, routing, användartilldelning, säkerhetsfunktion eller returväg.

Begränsningar och vanliga fallgropar

Audit Log är ingen säkerhetskopia

Audit Trail visar ändringar, men ersätter ingen konfigurationssäkerhetskopia. Före större ändringar behövs fortfarande en fullständig säkerhetskopia och en återställningsplan. Detta beskrivs i artikeln Skapa eller återställ Sophos Firewall Backup.

XML är detaljerat, men inte lättläst

Filen är bra för maskiner och exakta jämförelser, men svår att läsa snabbt. Om man måste jämföra många förändringar kan Sophos Firewall Config Studio eller ett externt diff-/loggverktyg vara mer användbart.

Inte varje analys hör hemma i Audit Trail

Om en anslutning inte fungerar, kontrollera först trafiken. Audit Logs är relevanta när en förändring misstänks vara orsaken. För live-felsökning är Log Viewer, Policy Test, Packet Capture och Service-Logs ofta mer direkt.

Delade admin-konton försvagar beviset

Om flera personer använder samma admin-konto är Audit Trail mindre meningsfullt. Namngivna administratörer, roller, MFA och rena Central-användare är därför en del av driftsmodellen, inte bara en säkerhetsextra.

Driftschecklista

  • Kontrollera system configuration-audit show.
  • Låt Audit Logging vara aktiverat.
  • Använd namngivna administratörskonton istället för delade inloggningar.
  • Kontrollera MFA för WebAdmin, VPN Portal och Remote Access.
  • Dokumentera förändringar med ärende eller underhållsfönster.
  • Skapa säkerhetskopia före större förändringar.
  • Efter problem, sök configuration-audit.log efter tidsfönster och objektnamn.
  • Jämför före-/eftervärden med den förväntade ändringen.
  • Vid regel-, NAT- eller VPN-problem, komplettera med Log Viewer och Packet Capture.
  • Vid HA-kluster, beakta aktiv nod och failover-tidpunkt.
  • Matcha Central-ändringar med Sophos Central Logs och Reports.

För MFA på brandväggen passar Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access. För hanteringsåtkomster bör dessutom Konfigurera Device Access korrekt kontrolleras.

FAQ

Vad är configuration-audit på Sophos Firewall?

configuration-audit är Sophos Firewalls audit-trail-funktion. Funktionen loggar utvalda konfigurationsändringar med före-/eftervärden, tidsstämpel, administratörsinformation, IP-adress och använd konsol.

Hur fastställer man om Audit Logging är aktivt?

I Device Console kan man visa status med system configuration-audit show. Aktivering sker med system configuration-audit enable.

Var hittar man filen configuration-audit.log?

Filen kan laddas ner via Diagnostics > Tools > Troubleshooting logs. Alternativt kan den beaktas vid djupare analys av brandväggens loggfiler.

Visar Audit Trail även ändringar från Sophos Central?

Sedan SFOS 22.0 MR1 loggar Sophos vid ändringar på en enskild brandvägg via Sophos Central Sophos Central-användaridentiteten. Enligt Sophos är denna information tillgänglig i brandväggens Log Viewer och i Sophos Central Logs och Reports.

Ersätter Audit Trail en säkerhetskopia?

Nej. Audit Logs hjälper till att spåra ändringar, men ersätter ingen konfigurationssäkerhetskopia och ingen återställningsplan.