Hoppa till innehållet
Avanet

Säkra Sophos Firewall-loggar för support och analys

Vid störningar, VPN-problem eller oklara brandväggshändelser räcker ofta inte enstaka skärmdumpar från webbgränssnittet. För en grundlig analys behöver ett supportärende spårbara tidsangivelser, lämpliga loggfiler och ibland dessutom en paketfångst.

Denna guide beskriver hur man packar loggar från en Sophos Firewall i ett arkiv via Advanced Shell och säkert tillhandahåller dem för Sophos Support, Avanet eller en extern analys. Förfarandet ersätter inte den första avgränsningen i Log Viewer. Om det fortfarande är oklart vilket modul som är berörd, hjälper först översikten Sophos Firewall Troubleshooting: Services och Logs.

Vilken felsökningsartikel passar?

Loggarkivet är bara ett verktyg i felsökningen. Beroende på felbild är en annan ingång snabbare:

Denna uppdelning sparar tid. Ett komplett loggarkiv hjälper vid tjänst- och supportanalyser, men ersätter inte ett reproducerbart testfall i Log Viewer och inte heller en riktad paketfångst.

Vilka data behöver supporten?

Inte varje problem behöver omedelbart ett komplett loggarkiv. Ju tydligare felet är avgränsat, desto mindre och mer användbara blir data.

  • Brandväggsregel eller NAT-regel träder oväntat i kraft: Tidpunkt, Source IP, Destination IP, Rule ID, NAT ID, Log Viewer-export och vid behov Packet Capture.
  • Tjänst startar inte eller WebAdmin visar fel: Loggarkiv från /log, berörd tjänst, tidpunkt och senaste konfigurationssteg.
  • IPsec-tunnel byggs inte upp eller faller bort: normalt loggarkiv, IPsec-diagnosdata, Peer-IP, lokala och fjärrnät, tidpunkt för anslutningsförsök.
  • Trafik når inte målet: Log Viewer, Packet Capture eller vid längre analyser tcpdump-PCAP.
  • Problem efter konfigurationsändring: Audit Trail, ungefärlig ändringstidpunkt, involverad admin och berörda objekt.

För många ärenden är kombinationen av problemets tidpunkt, kort felbeskrivning, loggarkiv och ett riktat tilläggsbevis bättre än ett mycket brett datapaket utan kontext. Om ett officiellt Sophos-ärende skapas, passar dessutom Öppna ett Sophos Supportärende: Förberedelse och Portal.

Förutsättningar

För denna guide behöver man:

  • Administrativ åtkomst till Sophos Firewall
  • Åtkomst till Advanced Shell
  • En målserver eller annan säker möjlighet att överföra loggarkivet
  • Tillräckligt med ledigt lagringsutrymme på brandväggen för det temporära arkivet

Kommandona körs direkt på brandväggen. Man bör därför arbeta noggrant och inte ta bort filer om det inte är klart vad de används till.

Om åtkomst till skalet ännu inte är inställt, förklarar guiden Anslut till Sophos Firewall via SSH hur man upprättar en SSH-anslutning till brandväggen.

⚠️ Loggarkiv och PCAP-filer kan innehålla känslig information. Sådana filer bör endast ligga kortvarigt på brandväggen, överföras säkert och tas bort efter lyckad överföring.

Öppna Advanced Shell

Logga in på Sophos Firewall och öppna Advanced Shell:

  1. Öppna Device Management.
  2. Välj Advanced Shell.
  3. Bekräfta åtkomsten om brandväggen visar en ytterligare fråga.

Efter inloggning befinner man sig i brandväggens skal. Därifrån kan loggfilerna arkiveras.

Samla in loggar innan säkerhetskopiering

Om ett problem är reproducerbart bör det om möjligt utlösas igen precis innan loggarna arkiveras. På så sätt hamnar de relevanta posterna så aktuellt som möjligt i loggfilerna.

Vid mer komplexa problem räcker de vanliga loggarna ibland inte till. I sådana fall kan det vara meningsfullt att aktivera en debug-logg för den berörda tjänsten innan arkivering. Hur det fungerar beskrivs i avsnittet Aktivera debug-logg riktat.

Vilken loggfil som hör till vilket brandväggsmodul sammanfattas i Sophos Firewall Troubleshooting: Services och Logs. Denna översikt är användbar om man vill kontrollera specifikt om för ett problem snarare VPN-, IPS-, Web-, Mail-, GUI- eller systemloggar är relevanta.

Om det inte är ett tjänstproblem utan själva paketflödet som är oklart, är ett loggarkiv ofta inte tillräckligt. För korta tester passar Packet Capture i WebAdmin. För PCAP-filer, längre inspelningar eller supportanalyser är tcpdump på Sophos Firewall det rätta verktyget.

Säkerhetskopiera alla loggfiler

Innan arkivering bör man kontrollera om det finns tillräckligt med ledigt lagringsutrymme under /var:

df -h /var

Skapa sedan ett komprimerat arkiv med filerna från katalogen /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Kommandot skapar filen:

/var/Sophos-Firewall-Logs.tar.gz

De viktigaste delarna av kommandot:

  • tar skapar ett arkiv.
  • -c skapar ett nytt arkiv.
  • -v visar de bearbetade filerna.
  • -z komprimerar arkivet med gzip.
  • -f anger arkivets filnamn.
  • -C / byter till rotkatalogen för arkiveringsprocessen.
  • log är katalogen med Sophos Firewall-loggfiler.

Fördelen med -C / är att kommandot fungerar oberoende av den aktuella arbetskatalogen. Ett tidigare cd / är därför inte nödvändigt. Om filen redan finns, skrivs den över av kommandot.

Beroende på brandväggens storlek och belastning kan arkiveringsprocessen ta en stund. Utmatningen från tar visar under tiden vilka filer som skrivs till arkivet.

Därefter kan arkivets storlek kontrolleras:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Dessutom bör man kort kontrollera om arkivet är läsbart och faktiskt innehåller loggkatalogen:

tar -tzf /var/Sophos-Firewall-Logs.tar.gz

Utmatningen bör visa sökvägar under log/. Om kommandot rapporterar ett fel eller om arkivet är ovanligt litet, bör det inte vidarebefordras. Kontrollera då först ledigt lagringsutrymme, skrivbehörigheter och den tidigare tar-körningen.

Kopiera loggarkiv till en Linux-server

Om en Linux-server är tillgänglig via SSH kan arkivet överföras med scp.

Exempel:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

IP-adressen, användaren och målvägen måste anpassas till den egna miljön.

Efter överföringen ligger arkivet på målservern under:

/root/Sophos-Firewall-Logs.tar.gz

Därifrån kan det vidarebefordras internt eller tillhandahållas för Sophos Support eller Avanet.

Säkra IPsec-diagnosdata separat

Vid VPN- eller IPsec-problem kan dessutom IPsec-anslutningsdata från /tmp/ipsec/connections/ vara användbara.

Skapa ett separat arkiv för detta:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Även här kan den skapade filen kort kontrolleras:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Detta arkiv kan också kopieras till en målserver med scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Särskilt vid IPsec-fel är det meningsfullt att tillhandahålla detta arkiv tillsammans med de vanliga brandväggsloggarna, så att tunnelstatus, anslutningsinformation och loggposter kan utvärderas tillsammans.

Loggarkiv, Central Reporting eller Syslog?

Ett lokalt loggarkiv besvarar en annan fråga än Central Reporting eller Syslog.

  • Loggarkiv från /log: Supportärende, tjänstefel, VPN-debug, lokal detaljanalys. Ögonblicksbild av den lokala brandväggen.
  • Central Firewall Reporting: Rapporter, historik och sökning i Sophos Central. inte ersättning för fullständiga lokala supportloggar.
  • Syslog eller SIEM: egen långtidslagring, korrelation och SOC-processer. kräver parser, drift och tidigare aktiverad loggning.
  • Audit Trail Logs: Spåra konfigurationsändringar. ingen paketflödes- eller tjänstanalys.

För ett akut supportärende är det lokala loggarkivet ofta fortfarande nödvändigt, även om Central Reporting eller Syslog är aktivt. Omvänt bör man för långtidslagring inte hoppas på att lokala loggar på brandväggen senare fortfarande är fullständiga.

Behandla paketfångster separat

Loggarkiv och paketfångster är olika bevismedel. Loggarkivet visar tjänstemeddelanden, fel, VPN-tillstånd och systemhändelser. En Packet Capture eller tcpdump visar däremot om paket verkligen kommer fram, vidarebefordras eller om svar saknas.

För supportärenden bör man inte skicka paketfångster ofiltrerade. Bättre är:

  1. Notera testfall med Source IP, Destination IP, Port, Protokoll och tidpunkt.
  2. Kontrollera först Log Viewer och WebAdmin Packet Capture om det räcker.
  3. Endast vid behov skapa en snäv tcpdump-fångst som PCAP.
  4. Överför PCAP-filen säkert.
  5. Ta bort PCAP-filen från brandväggen efter lyckad överföring.

PCAP-filen hör inte hemma i /log-arkivet, utan skapas och överförs separat. På så sätt förblir det klart vilken fil som innehåller serviceloggar och vilken fil som innehåller nätverkspaket.

Säkerhet och dataskydd

Loggfiler kan innehålla känslig information, till exempel:

  • Offentliga och interna IP-adresser
  • Användarnamn
  • Värdnamn
  • VPN-information
  • Felmeddelanden med tekniska detaljer
  • Indikationer på interna nätverksstrukturer

Loggarkiv bör därför endast överföras via säkra kanaler och endast tillhandahållas för personer eller organisationer som är involverade i analysen. Om loggar skickas till en extern partner bör det först klargöras internt om vidarebefordran är tillåten enligt de egna dataskydds- och säkerhetsriktlinjerna.

Ta bort temporära arkiv

Efter att arkivet har överförts framgångsrikt bör det tas bort från brandväggen för att inte uppta onödigt lagringsutrymme:

rm /var/Sophos-Firewall-Logs.tar.gz

Om även ett separat IPsec-arkiv har skapats bör detta också tas bort:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Innan borttagning bör man kontrollera att filerna har nått målsystemet framgångsrikt.

Checklista för supportärenden

  • Problem kort beskrivet: Vad fungerar inte, sedan när, hur ofta?
  • Exakt tidpunkt med tidszon noterad.
  • Berörd Source IP, Destination IP, användare, tjänst eller tunnelnamn noterad.
  • Relevanta moduler i Log Viewer kontrollerade.
  • Vid behov: Debug endast kort aktiverad och sedan avaktiverad.
  • Loggarkiv från /log skapat.
  • Vid IPsec-problem dessutom IPsec-diagnosdata säkrade.
  • Vid paketflödesproblem Packet Capture eller tcpdump separat skapad.
  • Arkiv kontrollerat med tar -tzf för läsbarhet.
  • Arkiv och PCAP endast överförda via säkra kanaler.
  • Temporära filer på brandväggen borttagna efter lyckad överföring.

FAQ

Räcker en skärmdump från Log Viewer för Sophos Support?

För enkla fall kan en skärmdump hjälpa. Vid komplexa fel är loggfiler, exakta tidsangivelser och beroende på problemet en Packet Capture eller tcpdump-fångst betydligt mer informativa.

Ska man alltid säkra alla Sophos Firewall-loggar?

Inte alltid. Om problemet är tydligt avgränsat räcker ofta riktade loggar och den exakta tidsperioden. För supportärenden är ett komplett /log-arkiv dock ofta meningsfullt eftersom flera tjänster kan hänga ihop.

Hör en PCAP-fil hemma i loggarkivet?

Nej. PCAP-filer skapas separat med Packet Capture eller tcpdump och överförs separat. På så sätt förblir serviceloggar och paketfångster tydligt åtskilda.

Ersätter Central Reporting ett lokalt loggarkiv?

Nej. Central Reporting är användbart för historik, sökning och rapporter i Sophos Central. För supportärenden eller tjänstanalys behöver man ofta ändå lokala loggfiler från /log, eftersom där finns detaljerad modul- och tjänsteinformation.

Hur kontrollerar man om loggarkivet har skapats?

Först kontrollerar man med ls -lh /var/Sophos-Firewall-Logs.tar.gz om filen finns och är rimligt stor. Därefter kan man med tar -tzf /var/Sophos-Firewall-Logs.tar.gz kontrollera om arkivet är läsbart och innehåller filer under log/.