Säkra Sophos Firewall-loggar för support och analys
Vid störningar, VPN-problem eller oklara brandväggshändelser räcker ofta inte enstaka skärmdumpar från webbgränssnittet. För en grundlig analys behöver ett supportärende spårbara tidsangivelser, lämpliga loggfiler och ibland dessutom en paketfångst.
Denna guide beskriver hur man packar loggar från en Sophos Firewall i ett arkiv via Advanced Shell och säkert tillhandahåller dem för Sophos Support, Avanet eller en extern analys. Förfarandet ersätter inte den första avgränsningen i Log Viewer. Om det fortfarande är oklart vilket modul som är berörd, hjälper först översikten Sophos Firewall Troubleshooting: Services och Logs.
Vilken felsökningsartikel passar?
Loggarkivet är bara ett verktyg i felsökningen. Beroende på felbild är en annan ingång snabbare:
- Vilken regel, NAT-regel eller rutt träffar ett specifikt anslutningsförsök?: Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.
- Vilken lokal loggfil hör till VPN, Web, IPS, GUI eller systemtjänster?: Sophos Firewall Troubleshooting: Services och Logs.
- Ett supportärende behöver lokala loggfiler, IPsec-data eller debug-utskrifter: Denna artikel.
- Historiska rapporter eller återkommande händelser ska kontrolleras i Sophos Central: Central Firewall Reporting.
- Loggar ska långsiktigt lagras externt eller korreleras med ett SOC/SIEM: Ställ in Syslog eller SIEM med Sophos Firewall.
- Trafikmönster, Top-Talker eller gränssnittsflöden ska synliggöras: Ställ in sFlow Monitoring på Sophos Firewall.
- Det behövs en riktad paketfångst: Packet Capture eller tcpdump-PCAP.
Denna uppdelning sparar tid. Ett komplett loggarkiv hjälper vid tjänst- och supportanalyser, men ersätter inte ett reproducerbart testfall i Log Viewer och inte heller en riktad paketfångst.
Vilka data behöver supporten?
Inte varje problem behöver omedelbart ett komplett loggarkiv. Ju tydligare felet är avgränsat, desto mindre och mer användbara blir data.
- Brandväggsregel eller NAT-regel träder oväntat i kraft: Tidpunkt, Source IP, Destination IP, Rule ID, NAT ID, Log Viewer-export och vid behov Packet Capture.
- Tjänst startar inte eller WebAdmin visar fel: Loggarkiv från
/log, berörd tjänst, tidpunkt och senaste konfigurationssteg. - IPsec-tunnel byggs inte upp eller faller bort: normalt loggarkiv, IPsec-diagnosdata, Peer-IP, lokala och fjärrnät, tidpunkt för anslutningsförsök.
- Trafik når inte målet: Log Viewer, Packet Capture eller vid längre analyser tcpdump-PCAP.
- Problem efter konfigurationsändring: Audit Trail, ungefärlig ändringstidpunkt, involverad admin och berörda objekt.
För många ärenden är kombinationen av problemets tidpunkt, kort felbeskrivning, loggarkiv och ett riktat tilläggsbevis bättre än ett mycket brett datapaket utan kontext. Om ett officiellt Sophos-ärende skapas, passar dessutom Öppna ett Sophos Supportärende: Förberedelse och Portal.
Förutsättningar
För denna guide behöver man:
- Administrativ åtkomst till Sophos Firewall
- Åtkomst till Advanced Shell
- En målserver eller annan säker möjlighet att överföra loggarkivet
- Tillräckligt med ledigt lagringsutrymme på brandväggen för det temporära arkivet
Kommandona körs direkt på brandväggen. Man bör därför arbeta noggrant och inte ta bort filer om det inte är klart vad de används till.
Om åtkomst till skalet ännu inte är inställt, förklarar guiden Anslut till Sophos Firewall via SSH hur man upprättar en SSH-anslutning till brandväggen.
⚠️ Loggarkiv och PCAP-filer kan innehålla känslig information. Sådana filer bör endast ligga kortvarigt på brandväggen, överföras säkert och tas bort efter lyckad överföring.
Öppna Advanced Shell
Logga in på Sophos Firewall och öppna Advanced Shell:
- Öppna Device Management.
- Välj Advanced Shell.
- Bekräfta åtkomsten om brandväggen visar en ytterligare fråga.
Efter inloggning befinner man sig i brandväggens skal. Därifrån kan loggfilerna arkiveras.
Samla in loggar innan säkerhetskopiering
Om ett problem är reproducerbart bör det om möjligt utlösas igen precis innan loggarna arkiveras. På så sätt hamnar de relevanta posterna så aktuellt som möjligt i loggfilerna.
Vid mer komplexa problem räcker de vanliga loggarna ibland inte till. I sådana fall kan det vara meningsfullt att aktivera en debug-logg för den berörda tjänsten innan arkivering. Hur det fungerar beskrivs i avsnittet Aktivera debug-logg riktat.
Vilken loggfil som hör till vilket brandväggsmodul sammanfattas i Sophos Firewall Troubleshooting: Services och Logs. Denna översikt är användbar om man vill kontrollera specifikt om för ett problem snarare VPN-, IPS-, Web-, Mail-, GUI- eller systemloggar är relevanta.
Om det inte är ett tjänstproblem utan själva paketflödet som är oklart, är ett loggarkiv ofta inte tillräckligt. För korta tester passar Packet Capture i WebAdmin. För PCAP-filer, längre inspelningar eller supportanalyser är tcpdump på Sophos Firewall det rätta verktyget.
Säkerhetskopiera alla loggfiler
Innan arkivering bör man kontrollera om det finns tillräckligt med ledigt lagringsutrymme under /var:
df -h /var
Skapa sedan ett komprimerat arkiv med filerna från katalogen /log:
tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log
Kommandot skapar filen:
/var/Sophos-Firewall-Logs.tar.gz
De viktigaste delarna av kommandot:
- tar skapar ett arkiv.
- -c skapar ett nytt arkiv.
- -v visar de bearbetade filerna.
- -z komprimerar arkivet med gzip.
- -f anger arkivets filnamn.
- -C / byter till rotkatalogen för arkiveringsprocessen.
- log är katalogen med Sophos Firewall-loggfiler.
Fördelen med -C / är att kommandot fungerar oberoende av den aktuella arbetskatalogen. Ett tidigare cd / är därför inte nödvändigt. Om filen redan finns, skrivs den över av kommandot.
Beroende på brandväggens storlek och belastning kan arkiveringsprocessen ta en stund. Utmatningen från tar visar under tiden vilka filer som skrivs till arkivet.
Därefter kan arkivets storlek kontrolleras:
ls -lh /var/Sophos-Firewall-Logs.tar.gz
Dessutom bör man kort kontrollera om arkivet är läsbart och faktiskt innehåller loggkatalogen:
tar -tzf /var/Sophos-Firewall-Logs.tar.gz
Utmatningen bör visa sökvägar under log/. Om kommandot rapporterar ett fel eller om arkivet är ovanligt litet, bör det inte vidarebefordras. Kontrollera då först ledigt lagringsutrymme, skrivbehörigheter och den tidigare tar-körningen.
Kopiera loggarkiv till en Linux-server
Om en Linux-server är tillgänglig via SSH kan arkivet överföras med scp.
Exempel:
scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/
IP-adressen, användaren och målvägen måste anpassas till den egna miljön.
Efter överföringen ligger arkivet på målservern under:
/root/Sophos-Firewall-Logs.tar.gz
Därifrån kan det vidarebefordras internt eller tillhandahållas för Sophos Support eller Avanet.
Säkra IPsec-diagnosdata separat
Vid VPN- eller IPsec-problem kan dessutom IPsec-anslutningsdata från /tmp/ipsec/connections/ vara användbara.
Skapa ett separat arkiv för detta:
tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections
Även här kan den skapade filen kort kontrolleras:
ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz
Detta arkiv kan också kopieras till en målserver med scp:
scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/
Särskilt vid IPsec-fel är det meningsfullt att tillhandahålla detta arkiv tillsammans med de vanliga brandväggsloggarna, så att tunnelstatus, anslutningsinformation och loggposter kan utvärderas tillsammans.
Loggarkiv, Central Reporting eller Syslog?
Ett lokalt loggarkiv besvarar en annan fråga än Central Reporting eller Syslog.
- Loggarkiv från
/log: Supportärende, tjänstefel, VPN-debug, lokal detaljanalys. Ögonblicksbild av den lokala brandväggen. - Central Firewall Reporting: Rapporter, historik och sökning i Sophos Central. inte ersättning för fullständiga lokala supportloggar.
- Syslog eller SIEM: egen långtidslagring, korrelation och SOC-processer. kräver parser, drift och tidigare aktiverad loggning.
- Audit Trail Logs: Spåra konfigurationsändringar. ingen paketflödes- eller tjänstanalys.
För ett akut supportärende är det lokala loggarkivet ofta fortfarande nödvändigt, även om Central Reporting eller Syslog är aktivt. Omvänt bör man för långtidslagring inte hoppas på att lokala loggar på brandväggen senare fortfarande är fullständiga.
Behandla paketfångster separat
Loggarkiv och paketfångster är olika bevismedel. Loggarkivet visar tjänstemeddelanden, fel, VPN-tillstånd och systemhändelser. En Packet Capture eller tcpdump visar däremot om paket verkligen kommer fram, vidarebefordras eller om svar saknas.
För supportärenden bör man inte skicka paketfångster ofiltrerade. Bättre är:
- Notera testfall med Source IP, Destination IP, Port, Protokoll och tidpunkt.
- Kontrollera först Log Viewer och WebAdmin Packet Capture om det räcker.
- Endast vid behov skapa en snäv
tcpdump-fångst som PCAP. - Överför PCAP-filen säkert.
- Ta bort PCAP-filen från brandväggen efter lyckad överföring.
PCAP-filen hör inte hemma i /log-arkivet, utan skapas och överförs separat. På så sätt förblir det klart vilken fil som innehåller serviceloggar och vilken fil som innehåller nätverkspaket.
Säkerhet och dataskydd
Loggfiler kan innehålla känslig information, till exempel:
- Offentliga och interna IP-adresser
- Användarnamn
- Värdnamn
- VPN-information
- Felmeddelanden med tekniska detaljer
- Indikationer på interna nätverksstrukturer
Loggarkiv bör därför endast överföras via säkra kanaler och endast tillhandahållas för personer eller organisationer som är involverade i analysen. Om loggar skickas till en extern partner bör det först klargöras internt om vidarebefordran är tillåten enligt de egna dataskydds- och säkerhetsriktlinjerna.
Ta bort temporära arkiv
Efter att arkivet har överförts framgångsrikt bör det tas bort från brandväggen för att inte uppta onödigt lagringsutrymme:
rm /var/Sophos-Firewall-Logs.tar.gz
Om även ett separat IPsec-arkiv har skapats bör detta också tas bort:
rm /var/Sophos-Firewall-IPsec-Connections.tar.gz
Innan borttagning bör man kontrollera att filerna har nått målsystemet framgångsrikt.
Checklista för supportärenden
- Problem kort beskrivet: Vad fungerar inte, sedan när, hur ofta?
- Exakt tidpunkt med tidszon noterad.
- Berörd Source IP, Destination IP, användare, tjänst eller tunnelnamn noterad.
- Relevanta moduler i Log Viewer kontrollerade.
- Vid behov: Debug endast kort aktiverad och sedan avaktiverad.
- Loggarkiv från
/logskapat. - Vid IPsec-problem dessutom IPsec-diagnosdata säkrade.
- Vid paketflödesproblem Packet Capture eller tcpdump separat skapad.
- Arkiv kontrollerat med
tar -tzfför läsbarhet. - Arkiv och PCAP endast överförda via säkra kanaler.
- Temporära filer på brandväggen borttagna efter lyckad överföring.
FAQ
Räcker en skärmdump från Log Viewer för Sophos Support?
Ska man alltid säkra alla Sophos Firewall-loggar?
/log-arkiv dock ofta meningsfullt eftersom flera tjänster kan hänga ihop.Hör en PCAP-fil hemma i loggarkivet?
Ersätter Central Reporting ett lokalt loggarkiv?
/log, eftersom där finns detaljerad modul- och tjänsteinformation.Hur kontrollerar man om loggarkivet har skapats?
ls -lh /var/Sophos-Firewall-Logs.tar.gz om filen finns och är rimligt stor. Därefter kan man med tar -tzf /var/Sophos-Firewall-Logs.tar.gz kontrollera om arkivet är läsbart och innehåller filer under log/.