Hoppa till innehållet
Avanet

Aktivera Central Firewall Reporting i Sophos Firewall

Med Central Firewall Reporting skickar Sophos Firewall utvalda loggdata till Sophos Central. Det gör att reports kan analyseras centralt, sparas och vid behov delas med andra personer.

Den här guiden visar hur man aktiverar Central Reporting, vilka punkter som bör kontrolleras i förväg och hur man verifierar att loggdata kommer fram i Sophos Central.

När Central Firewall Reporting är användbart

Central Firewall Reporting är särskilt användbart när flera firewalls används eller när reports ska analyseras regelbundet.

Typiska exempel:

  • Central översikt över flera firewalls.
  • Regelbundna reports för management eller drift.
  • Analys av web-, application-, IPS-, VPN- eller nätverkshändelser.
  • Längre lagring och enklare sökning i loggdata.
  • Stöd vid troubleshooting och security reviews.

För ren live-analys direkt på brandväggen räcker lokala logs ofta. För långsiktiga analyser är Central Reporting däremot betydligt bekvämare.

Förutsättningar

Innan aktivering bör man kontrollera:

  • Brandväggen är registrerad i Sophos Central.
  • Brandväggen har internetåtkomst till nödvändiga Sophos-tjänster.
  • DNS och tid fungerar korrekt.
  • Den använda licensen stöder önskad reporting-funktion.
  • Brandväggen syns i Sophos Central.

Om brandväggen ännu inte är registrerad i Sophos Central måste detta göras först. Utan registrering kan Central Firewall Reporting inte aktiveras.

Aktivera Central Reporting

Central Firewall Reporting aktiveras på två ställen: först på brandväggen och därefter i Sophos Central.

  1. Logga in i WebAdmin på Sophos Firewall.
  2. Öppna System > Sophos Central.
  3. Kontrollera under Sophos Central registration om brandväggen är registrerad.
  4. Om brandväggen ännu inte är registrerad klickar du på Register och loggar in med rätt Sophos Central-konto.
  5. Aktivera Sophos Central services eller klicka på Configure om tjänsten redan är aktiv.
  6. Aktivera Send reports and logs to Sophos Central.
  7. Valfritt: aktivera Manage from Sophos Central om brandväggen även ska hanteras centralt.
  8. Valfritt: aktivera Send configuration backups to Sophos Central om konfigurationsbackups ska sparas centralt.
  9. Klicka på Apply.
Sophos Firewall - aktivera Sophos Central services med Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Efter att inställningen sparats måste tjänsten godkännas i Sophos Central:

  1. Logga in i Sophos Central.
  2. Öppna My Products > Firewall Management > Firewalls.
  3. Leta upp brandväggen med statusen eller symbolen Approval pending.
  4. Klicka på Accept services.

Sophos beskriver också processen i den officiella guiden Turn on firewall reporting.

Efter aktivering skapar brandväggen automatiskt en Syslog-post för Central reporting och börjar skicka loggdata till Sophos Central. Enligt Sophos skickar brandväggen data minst var femte minut. Därefter bearbetas data i Sophos Central, vilket kan ta ytterligare några minuter.

Vilka data som överförs

Vilka loggtyper som skickas till Sophos Central definieras direkt på brandväggen.

Menyvägen är Configure > System services > Log settings.

Under Log settings finns en egen kolumn Central reporting. Där kan man per loggtyp bestämma om loggen ska skickas lokalt, till Central eller till båda mål.

Typiska områden är:

  • Firewall-regler.
  • Web Protection.
  • Application Control.
  • IPS.
  • ATP.
  • VPN.
  • Systemhändelser.
Sophos Firewall - Log settings med kolumnen Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Alla miljöer behöver inte skicka alla data till Sophos Central. I produktionsmiljöer bör man kontrollera vilka loggtyper som verkligen behövs och om interna dataskyddskrav uppfylls.

⚠️ Ju fler loggtyper som skickas till Sophos Central, desto snabbare förbrukas tillgängligt lagringsutrymme. För produktionsmiljöer bör man medvetet välja vilka logs som verkligen behövs för drift, security och compliance.

Hur länge Sophos lagrar loggarna

Lagringstiden beror på licens och tillgängligt utrymme. Viktigt: den gräns som nås först gäller. När lagringen är full tas äldre data bort enligt FIFO-principen.

Licens / variantLagringKommentar
Central Firewall Reporting utan extra reporting-licensUpp till 7 dagarTillgängligt med aktiv firewall-subscription. Lagringen är modellberoende och begränsad.
Xstream Protection BundleUpp till 30 dagarSophos kallar detta en begränsad Central-Firewall-Reporting-Advanced-rättighet.
Sophos Central Firewall Reporting AdvancedUpp till 365 dagarPer licens ingår 100 GB extra lagring. Flera licenser kan staplas efter behov.

Sophos dokumenterar detaljerna under Firewall reporting storage by firewall model och i Firewall reporting FAQs.

Licensen Sophos Central Firewall Reporting Advanced kan köpas från Avanet: Sophos Central Firewall Reporting Advanced. Databladet beskriver även Central Firewall Reporting som cloud-baserad reporting med sökning, reports och upp till 365 dagars lagring: Sophos Central Firewall Reporting datablad.

Kontrollera att logs kommer fram

Efter aktivering visas data inte alltid direkt i Sophos Central. Räkna med några minuters fördröjning.

Kontrollera därefter:

  1. Logga in i Sophos Central.
  2. Öppna My Products > Firewall Management > Report Hub.
  3. Välj den berörda brandväggen.
  4. Kontrollera om aktuella händelser visas.
  5. Skapa ett enkelt test-report.
Sophos Central - Firewall reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Om inga data visas bör man först kontrollera anslutning, licens och logginställningar.

Använda reports

Sophos Central kan visa, filtrera och beroende på licens även schemalägga reports.

Användbara reports för drift:

  • Top blockerade applikationer.
  • Webbkategorier med hög trafik.
  • VPN-anslutningar.
  • IPS-events.
  • Top-regler efter träffar.
  • Användar- eller hostbaserade analyser.

För återkommande driftkontroller kan man schemalägga reports eller spara dem som mall.

Troubleshooting

Inga data i Sophos Central

Kontrollera att brandväggen är online och kan kommunicera med Sophos Central. Dessutom bör DNS, standardgateway och tid kontrolleras.

Endast vissa loggtyper saknas

Kontrollera de lokala logginställningarna på brandväggen. Om ett område inte loggas lokalt kan det inte heller överföras meningsfullt till Central Reporting.

Reports visar gamla data

Central Reporting arbetar inte alltid i realtid. Kontrollera valt tidsintervall i rapporten och vänta några minuter innan du ändrar konfigurationen igen.

För mycket eller för lite data

Justera loggvalet och filtren i Sophos Central. För audits eller supportärenden kan det vara meningsfullt att samla mer data. För normal drift räcker ofta riktade reports.

Säkra logs för supportärenden

Central Reporting ersätter inte varje lokal logganalys. Om Sophos Support eller Avanet behöver en komplett lokal loggsamling kan man dessutom exportera firewall-loggarna.

Se även: Säkra Sophos Firewall logs för support eller analys

Rekommendation

Aktivera Central Firewall Reporting framför allt vid flera firewalls eller när reports behövs regelbundet. För troubleshooting är det användbart att använda lokala logs och Central Reporting tillsammans: Central för översikt och historik, lokala logs för detaljanalys direkt på brandväggen.