Hoppa till innehållet
Avanet

Spara Sophos Firewall-loggar för support och analys

Sophos Firewall

Vid driftstörningar, VPN-problem eller oklara firewallhändelser räcker skärmbilder från webbgränssnittet ofta inte. Sophos Support, Avanet eller en extern säkerhetspartner behöver vanligtvis relevanta loggfiler från firewallen.

Den här guiden visar hur loggar från Sophos Firewall arkiveras via Advanced Shell och görs redo för analys.

Förutsättningar

För den här guiden behövs:

  • Administrativ åtkomst till Sophos Firewall
  • Åtkomst till Advanced Shell
  • En målserver eller annat säkert sätt att överföra loggarkivet
  • Tillräckligt ledigt utrymme på firewallen för det tillfälliga arkivet

Kommandona körs direkt på firewallen. Arbeta försiktigt och ta inte bort filer om det inte är tydligt vad de används till.

Om shellåtkomst inte redan är konfigurerad visar guiden Anslut till Sophos Firewall via SSH hur en SSH-anslutning skapas.

Öppna Advanced Shell

Logga in på Sophos Firewall och öppna Advanced Shell:

  1. Öppna Device Management.
  2. Välj Advanced Shell.
  3. Bekräfta åtkomsten om firewallen visar en extra fråga.

Efter inloggningen är shell tillgängligt och loggfilerna kan arkiveras.

Samla riktade loggar före arkivering

Om problemet kan återskapas bör det utlösas igen strax innan loggarkivet skapas. Då hamnar relevanta rader aktuellt i loggfilerna.

Vid mer komplexa problem räcker vanliga loggar ibland inte. Då kan det vara lämpligt att aktivera debug log för berörd tjänst före arkivering. Sidan Sophos Firewall troubleshooting beskriver detta i avsnittet om debug.

Vår översikt Sophos Firewall troubleshooting: tjänster och loggar sammanfattar vilken loggfil som hör till vilken firewallmodul. Listan hjälper till att avgöra om VPN-, IPS-, webb-, mail-, GUI- eller systemloggar är relevanta.

Spara alla loggfiler

Kontrollera först om /var har tillräckligt med ledigt utrymme:

df -h /var

Skapa därefter ett komprimerat arkiv från katalogen /log:

tar -cvzf /var/Sophos-Firewall-Logs.tar.gz -C / log

Kommandot skapar:

/var/Sophos-Firewall-Logs.tar.gz

Viktiga delar av kommandot:

  • tar skapar ett arkiv.
  • -c skapar ett nytt arkiv.
  • -v visar behandlade filer.
  • -z komprimerar med gzip.
  • -f anger arkivets filnamn.
  • -C / byter till rotkatalogen för arkiveringen.
  • log är katalogen med loggfiler från Sophos Firewall.

Fördelen med -C / är att kommandot fungerar oberoende av aktuell arbetskatalog. Ett tidigare cd / behövs inte. Om filen redan finns skrivs den över.

Beroende på loggarnas storlek och firewallens belastning kan arkiveringen ta en stund. Utdata från tar visar vilka filer som skrivs till arkivet.

Kontrollera sedan arkivets storlek:

ls -lh /var/Sophos-Firewall-Logs.tar.gz

Kopiera loggarkivet till en Linux-server

Om en Linux-server kan nås via SSH kan arkivet överföras med scp.

Exempel:

scp /var/Sophos-Firewall-Logs.tar.gz root@192.0.2.10:/root/

Anpassa IP-adress, användare och målväg till miljön.

Efter överföringen ligger arkivet på målservern:

/root/Sophos-Firewall-Logs.tar.gz

Därifrån kan det delas internt eller skickas till Sophos Support eller Avanet.

Spara IPsec-diagnostik separat

Vid VPN- eller IPsec-problem kan även IPsec-anslutningsdata från /tmp/ipsec/connections/ vara användbara.

Skapa ett separat arkiv:

tar -cvzf /var/Sophos-Firewall-IPsec-Connections.tar.gz -C /tmp/ipsec connections

Kontrollera den skapade filen:

ls -lh /var/Sophos-Firewall-IPsec-Connections.tar.gz

Överför även detta arkiv med scp:

scp /var/Sophos-Firewall-IPsec-Connections.tar.gz root@192.0.2.10:/root/

Vid IPsec-fel är det bra att skicka detta arkiv tillsammans med vanliga firewallloggar, så att tunnelstatus, anslutningsinformation och loggrader kan analyseras ihop.

Säkerhet och dataskydd

Loggfiler kan innehålla känslig information, till exempel:

  • Publika och interna IP-adresser
  • Användarnamn
  • Hostnames
  • VPN-information
  • Felmeddelanden med tekniska detaljer
  • Information om interna nätverksstrukturer

Överför loggarkiv endast via säkra kanaler och dela dem endast med personer eller organisationer som deltar i analysen. Innan loggar skickas till en extern partner bör det internt kontrolleras att detta är tillåtet enligt dataskydds- och säkerhetsregler.

Ta bort tillfälliga arkiv

När arkivet har överförts korrekt bör det tas bort från firewallen för att frigöra utrymme:

rm /var/Sophos-Firewall-Logs.tar.gz

Om ett separat IPsec-arkiv skapades, ta även bort det:

rm /var/Sophos-Firewall-IPsec-Connections.tar.gz

Kontrollera före borttagning att filerna har kommit fram korrekt på målsystemet.