Aktivera och driva Sophos Firewall Central Reporting
Med Central Firewall Reporting skickar Sophos Firewall utvalda loggdata till Sophos Central. Detta möjliggör central utvärdering, lagring av rapporter och delning med andra vid behov.
Artikeln förklarar hur man aktiverar Central Reporting, vilka punkter som bör kontrolleras i förväg och hur man kontrollerar om loggdata når Sophos Central.
Vilken loggningsartikel passar?
Central Firewall Reporting är en del av loggarkitekturen. Beroende på mål passar en annan ingång bättre:
- Utvärdera rapporter och brandväggsloggar i Sophos Central: Denna artikel
- Kontrollera enskild anslutning, regel-ID, NAT-ID eller paketflöde live: Testa Sophos Firewall-regel med Log Viewer, Policy tester och Packet Capture
- Skicka loggar till ett eget SIEM eller en loggserver: Skicka Sophos Firewall Syslog till SIEM
- Ordna lokala loggfiler, tjänster och avancerat skal: Felsökning av Sophos Firewall: Tjänster och loggar
- Säkerställa loggar för Sophos Support eller Avanet: Säkra Sophos Firewall-loggar för support eller analys
- Spåra konfigurationsändringar: Kontrollera Sophos Firewall Audit Trail Logs
- Utvärdera NDR- eller Active-Threat-Response-träffar: Driva Sophos Firewall NDR och Active Threat Response
- Analysera trafikflöden istället för logghändelser: Konfigurera sFlow Monitoring på Sophos Firewall
Denna uppdelning är viktig: Central Reporting är bra för rapporter, sökning och historik i Sophos Central. För live-felsökning på brandväggen, support-loggpaket, SIEM-korrelation eller flödesanalys behövs andra verktyg.
När Central Firewall Reporting är användbart
Central Firewall Reporting är särskilt användbart när flera brandväggar används eller när rapporter regelbundet ska utvärderas.
Typiska exempel:
- Central översikt över flera brandväggar.
- Regelbundna rapporter för ledning eller drift.
- Analys av webb-, applikations-, IPS-, VPN- eller nätverkshändelser.
- Längre lagring och enklare sökning i loggdata.
- Stöd vid felsökning och säkerhetsgranskningar.
För en ren live-analys direkt på brandväggen räcker ofta de lokala loggarna. För långsiktiga utvärderingar är Central Reporting betydligt bekvämare. Om loggar däremot ska gå till ett eget SIEM eller en extern loggserver passar Skicka Sophos Firewall Syslog till SIEM bättre.
Förutsättningar
Innan aktivering bör man kontrollera:
- Brandväggen är registrerad i Sophos Central.
- Brandväggen har internetåtkomst till de nödvändiga Sophos-tjänsterna.
- DNS och tid fungerar korrekt.
- Den använda licensen stöder den önskade rapporteringsfunktionen.
- Brandväggen är synlig i Sophos Central.
Om brandväggen ännu inte är registrerad i Sophos Central måste detta göras först. Utan registrering kan Central Firewall Reporting inte aktiveras.
Aktivera Central Reporting
Central Firewall Reporting aktiveras på två ställen: först på brandväggen och sedan i Sophos Central.
- Logga in på Sophos Firewall WebAdmin.
- Öppna System > Sophos Central.
- Under Sophos Central registration kontrollera om brandväggen är registrerad.
- Om brandväggen ännu inte är registrerad, välj Register och logga in med rätt Sophos Central-konto.
- Aktivera Sophos Central services eller välj Configure om tjänsten redan är aktiv.
- Aktivera Send reports and logs to Sophos Central.
- Valfritt, aktivera Manage from Sophos Central om brandväggen också ska hanteras centralt.
- Valfritt, aktivera Send configuration backups to Sophos Central om konfigurationsbackuper ska lagras centralt.
- Välj Apply.

Efter att ha sparat måste tjänsten bekräftas i Sophos Central:
- Logga in på Sophos Central.
- Öppna My Products > Firewall Management > Firewalls.
- Leta efter brandväggen med status eller symbol Approval pending.
- Välj Accept services.
Efter aktivering skapar brandväggen automatiskt en syslog-post för Central reporting och börjar skicka loggdata till Sophos Central. Överföring och bearbetning sker inte nödvändigtvis omedelbart. Brandväggen skickar data till Sophos Central minst var femte minut. Därefter kan bearbetningen i Central ta ytterligare några minuter; Sophos anger normalt fem till trettio minuter för databasbearbetning. För den första kontrollen bör man därför inte direkt efter sparandet fortsätta ändra konfigurationen.
Vilka data som överförs
Vilka loggtyper som skickas till Sophos Central definieras direkt på brandväggen.
Menypathen är Configure > System services > Log settings.
Under Log settings finns en egen kolumn Central reporting. Där kan man per loggtyp bestämma om denna logg ska skickas lokalt, till Central eller till båda målen.
Typiska områden är:
- Brandväggsregler.
- Web Protection.
- Application Control.
- IPS.
- Active Threat Response.
- Zero-Day Protection.
- SD-WAN.
- VPN.
- Wireless, om access point- och SSID-händelser ska vara synliga centralt.
- Systemhändelser.

Inte varje miljö behöver skicka alla data till Sophos Central. I produktiva miljöer bör man kontrollera vilka loggtyper som verkligen behövs och om interna dataskyddsregler följs.
⚠️ Ju fler loggtyper som skickas till Sophos Central, desto snabbare förbrukas det tillgängliga lagringsutrymmet. För produktiva miljöer bör man medvetet bestämma vilka loggar som verkligen behövs för drift, säkerhet och efterlevnad.
Skillnaden mellan loggar och reports är också viktig: valet under Central reporting styr vilka event logs som skickas till Sophos Central. Detta val ersätter inte automatiskt lokala on-box reports och är inte samma sak som ett komplett supportloggpaket.
Hur länge Sophos lagrar loggarna
Lagringstiden beror på licens och tillgängligt lagringsutrymme. Viktigt är: Det gäller alltid den gräns som nås först. När lagringsutrymmet är fullt tas äldre data bort enligt FIFO-principen.
- Central Firewall Reporting utan extra rapporteringslicens: Upp till 7 dagar Tillgänglig med aktiv brandväggsabonnemang. Lagringsutrymmet är modellberoende och begränsat.
- Xstream Protection Bundle: Upp till 30 dagar Motsvarar en begränsad Central Firewall Reporting Advanced-behörighet.
- Sophos Central Firewall Reporting Advanced: Upp till 365 dagar. Varje CFR Advanced-licens ökar det tillgängliga lagringsutrymmet med 100 GB. Brandväggar med mycket hög loggvolym kan behöva mer än en 100 GB-enhet för att realistiskt nå maximal lagringstid.
Licensen Sophos Central Firewall Reporting Advanced kan erhållas från Avanet: Sophos Central Firewall Reporting Advanced. Databladet beskriver Central Firewall Reporting som molnbaserad rapportering med sökning, rapporter och upp till 365 dagars lagring: Sophos Central Firewall Reporting datablad.
I alla varianter samverkar lagringsutrymme och maximal lagringstid. Så snart en gräns nås tas äldre data bort enligt first-in-first-out. En licens med lång maximal lagringstid garanterar därför inte automatiskt att varje brandvägg faktiskt behåller data så länge.
Planera lagring och ansvar
Central Reporting bör inte bara aktiveras tekniskt. Det bör vara klart i förväg vilka loggtyper som verkligen behövs, hur länge data måste vara tillgängliga och vem som regelbundet granskar rapporter.
För driften bör dessa punkter dokumenteras:
- Syftet med datainsamlingen: Felsökning, säkerhetsgranskning, revision, ledningsrapport eller support.
- Nödvändiga loggtyper, till exempel brandvägg, webb, IPS, VPN eller Active Threat Response.
- Önskad lagringstid och lämplig licens.
- Ägare för rapportmallar, planerade rapporter och eskalationer.
- Dataskydds- eller efterlevnadskrav för användar-, URL- och nätverksdata.
- Beslut om ytterligare syslog eller SIEM behövs.
Om loggar är relevanta för incidenthantering eller revisioner bör man inte vänta tills en störning inträffar för att kontrollera om data är fullständiga. En kort månatlig kontrollrapport räcker ofta för att se om de förväntade loggtyperna anländer och om lagringsförbrukningen passar den planerade lagringen.
Kontrollera loggarnas ankomst
Efter aktivering visas inte alltid data omedelbart i Sophos Central. Några minuters fördröjning bör planeras.
Därefter kontrollerar du dessa punkter:
- Logga in på Sophos Central.
- Öppna My Products > Firewall Management > Report Hub.
- Välj den berörda brandväggen.
- Kontrollera synligheten av aktuella händelser.
- Skapa en enkel rapport som test.

Om inga data är synliga bör man först kontrollera anslutning, licens och logginställningar.
Validera rapportering specifikt
En rapport med data bevisar inte att Central Reporting är fullt användbart för driften. Efter aktivering bör minst en liten valideringsplan genomföras.
- Kommer brandväggsregel-loggar fram?: Utlös en loggad testrule och sök i Report Hub efter källa, destination och regel-ID. Händelsen är synlig med rätt brandvägg, tid och åtgärd.
- Överförs webb- eller applikationshändelser?: Utför ett känt webb- eller applikationskontrolltest. Kategori, användare eller klient-IP visas i lämplig rapport.
- Är VPN-händelser synliga?: Bygg upp och koppla ner en testanslutning. Inloggning, anslutning och frånkoppling är synliga under den valda tidsperioden.
- Passar tidsbasen?: Jämför brandväggstid, Sophos Central-period och lokal tidszon. Händelser visas inte under en oväntad tidsperiod.
- Räcker lagringen?: Kontrollera äldre data i Report Hub och observera lagringsförbrukningen. Lagringen passar licensen och det interna syftet.
- Kontrollera log settings: Under System services > Log settings, kontrollera att brandväggsregler genererar Log firewall traffic och att SSL/TLS inspection-regler vid behov har Log connections aktiverat.
Vid flera brandväggar bör man dessutom kontrollera om värdnamn, serienummer, modell eller plats är tydligt igenkännbara. Annars blir en senare säkerhets- eller supportfall onödigt besvärlig, eftersom händelser visserligen finns, men inte snabbt kan kopplas till rätt enhet.
Använda rapporter
Sophos Central kan visa, filtrera och beroende på licens även planera rapporter.
Användbara rapporter för driften:
- Topp blockerade applikationer.
- Webbkategorier med hög trafik.
- VPN-anslutningar.
- IPS-händelser.
- NDR- och Active-Threat-Response-händelser.
- Toppregler efter träffantal.
- Användar- eller värdrelaterade utvärderingar.
Om webbkategorier inte bara ska utvärderas utan även aktivt rapporteras vid kritiska åtkomster, passar Använd Sophos Firewall webbkategorier och omedelbara varningar.
För återkommande driftskontroller kan man planera rapporter eller spara som mall. Om NDR Essentials eller NDR Active Threat Intelligence används bör processen från Driva Sophos Firewall NDR och Active Threat Response kopplas till Central Reporting eller SIEM-utvärdering.
Felsökning
Inga data i Sophos Central
Kontrollera om brandväggen är online och kan kommunicera med Sophos Central. Dessutom bör DNS, standardgateway och tid kontrolleras. Därefter bör man på brandväggen under System > Sophos Central kontrollera om Send reports and logs to Sophos Central fortfarande är aktiv och om det fortfarande väntar på en tjänstbekräftelse i Sophos Central.
Om brandväggen hanteras via Sophos Central men inte levererar rapporter, bör hanteringsåtkomst och rapportering ändå kontrolleras separat. En fungerande Central-inloggning på brandväggen bevisar inte automatiskt att alla valda loggtyper också når Report Hub.
Endast vissa loggtyper saknas
Kontrollera de lokala logginställningarna på brandväggen. Om ett område inte loggas lokalt kan det inte heller överföras meningsfullt till Central Reporting.
Särskilt ofta saknas inte Central-anslutningen, utan själva händelsen:
- Brandväggsregler har inte Log firewall traffic aktiverat.
- Under System services > Log settings är kolumnen Central reporting inte aktiv för loggtypen.
- Den valda rapporten betraktar en annan tidsperiod eller en annan brandvägg.
- Användar- eller webb-rapporter förblir tomma eftersom brandväggen inte ser någon användaridentitet.
- NDR- eller Active-Threat-Response-händelser saknas eftersom funktionen visserligen är globalt aktiv, men inte fullt integrerad i regler eller loggning.
Rapporter visar gamla data
Central Reporting arbetar inte i realtid. Kontrollera den valda tidsperioden i rapporten och vänta några minuter innan konfigurationen ändras igen. För nya händelser är en fördröjning normal, eftersom brandväggen skickar data periodiskt och Sophos Central bearbetar den efteråt.
Om data verkar permanent försenade eller ofullständiga bör man inte flera gånger sätta samma kryssrutor på nytt. Bättre är ett definierat test med tid, källa, destination, loggtyp och förväntad brandvägg. Därefter kan Log Viewer, Central Report Hub och vid behov syslog eller lokala loggar jämföras rent.
För många eller för få data
Justera loggvalet och filtren i Sophos Central. För revisioner eller supportfall kan det vara meningsfullt att samla mer data. För normal drift räcker ofta riktade rapporter.
För många data är inte bara ett lagringsproblem. Utvärderingen blir också svårare om ingen regelbundet granskar rapporterna. För få data är däremot kritiskt om exakt brandväggs-, VPN-, webb- eller IPS-händelser saknas vid en incident. Därför bör loggvalet inte sättas en gång för alla, utan anpassas till de planerade användningsfallen.
Kontrollera Central Reporting efter ändringar
Efter vissa ändringar bör Central Reporting medvetet kontrolleras:
- Firmware-uppdatering eller återställning.
- HA-failover eller byte av enhet.
- Ändring av Sophos Central-registrering eller tjänster.
- Nya brandväggsregler, webbpolicyer, IPS-policyer eller VPN-profiler.
- Byte av licens, paket eller Reporting-Advanced-behörighet.
- Återbildning, återställning eller migration till en ny modell.
För centrala ändringar via Sophos Central passar dessutom Sophos Central Firewall Management Task Queue. Där ser man om Central överhuvudtaget har tillämpat en ändring framgångsrikt på brandväggen. För lokala konfigurationsändringar bör man inkludera Audit Trail Logs och vid regelproblem Log Viewer med Policy Test och Packet Capture.
Säkra loggar för supportfall
Central Reporting ersätter inte varje lokal logganalys. Om Sophos Support eller Avanet behöver en fullständig lokal loggsamling kan man dessutom exportera brandväggsloggarna.
För supportfall bör man därför tydligt skilja:
- Visa historik, rapporter, berörda användare eller topphändelser: Central Reporting
- Kontrollera enskild anslutning live: Log Viewer, Policy Test och Packet Capture
- Kontrollera tjänstefel, felsökningsloggar eller modulstatus: lokala loggfiler och serviceloggar
- Tillhandahålla ett fullständigt paket för Sophos Support eller Avanet: lokal loggexport eller konsoliderad felsökningsrapport
I praktiken är Central Reporting ofta den bästa ingången, eftersom man snabbare kan avgränsa tidsfönster, brandvägg, användare, käll-IP och berörd regel. För den egentliga orsaksanalysen behövs dock ofta dessutom lokala loggar, särskilt vid VPN-, WAF-, IPS-, HA-, system- eller tjänsteproblem. Förloppet finns i Säkra Sophos Firewall-loggar för support och analys. För modul- och tjänsteordning hjälper dessutom Felsökning av Sophos Firewall: Tjänster och loggar.
Driftrekommendation
Central Firewall Reporting är särskilt användbart vid flera brandväggar eller regelbundet behövda rapporter. För felsökning är det hjälpsamt att använda lokala loggar och Central Reporting tillsammans: Central för översikt och historik, lokala loggar för detaljanalys direkt på brandväggen.
I produktiva miljöer bör Central Reporting behandlas som en driftsprocess:
- Välj loggtyper efter syfte, aktivera inte bara allt.
- Fastställ en rapportägare som verkligen granskar planerade rapporter och märkbara trender.
- Kontrollera regelbundet lagringsförbrukning och äldsta tillgängliga data.
- Utför ett kort rapporteringstest efter firmwareuppdateringar, HA-failover, återställning eller licensbyte.
- Definiera minst ett incidenttest: hitta berörd käll-IP, regel-ID, VPN-användare eller webbkategori i Report Hub.
- För säkerhetsoperationer, bestäm vilka händelser som ska stanna i Central och vilka som dessutom ska gå till ett SIEM.
För små miljöer räcker ofta en månatlig kontrollblick på brandväggs-, webb-, VPN- och IPS-rapporter. Vid flera platser, MSP-drift eller efterlevnadskrav bör en fast granskningstidpunkt finnas. Då kontrolleras om förväntade loggtyper fortfarande anländer, om lagring och licens passar den önskade lagringen och om rapporter snabbt nog kan besvara rätt frågor vid allvarliga fall.
Om loggar är relevanta för säkerhetsoperationer, incidenthantering eller efterlevnad bör det dessutom beslutas om Syslog till ett SIEM behövs. Central Reporting är mycket användbart för Sophos-Central-utvärderingar, men ersätter inte automatiskt ett leverantörsövergripande loggarkiv eller en SOC-process.