Sophos Firewall troubleshooting: tjänster och loggar
I Sophos Firewall finns två viktiga nivåer för troubleshooting: event logs i Log viewer och service- eller loggfiler på brandväggen. Log Viewer passar bra för snabba frågor som om en anslutning tilläts eller blockerades. Filerna under /log blir viktigare när en service inte startar, en VPN-tunnel är instabil, webbfiltrering beter sig oväntat eller supporten behöver detaljerade data.
Den här artikeln kopplar de viktigaste services och loggfilerna till typiska adminproblem. Den hjälper också när ett tekniskt servicenamn visas i dashboard, Advanced Shell eller ett supportärende och det inte direkt är tydligt vilken firewall-funktion som ligger bakom. Namn som zebra, warren, awed, garner eller strongswan är inte självförklarande i vardagen.
Log Viewer eller loggfil?
Log viewer öppnas uppe till höger i WebAdmin-konsolen. Den uppdateras automatiskt, kan filtreras efter modul, tid, fältvärden och fritext och kan exportera loggar som CSV.
Troubleshooting-loggar ligger på brandväggen i katalogen /log. Åtkomst sker via WebAdmin-konsolen eller via SSH. För korta kontroller fungerar Device Management > Advanced Shell i webbläsaren. I praktiken är SSH oftast bekvämare, stabilare och bättre för längre tail, grep eller less-sessioner. Säker SSH-förberedelse beskrivs i Anslut till Sophos Firewall via SSH.
- Anslut via SSH eller öppna Device Management > Advanced Shell i WebAdmin.
- Växla till loggkatalogen.
cd /log
Användbara kommandon:
tail -f firewall_rule.log
tail -f nat_rule.log
grep -i error ips.log
less strongswan.log
service -S | grep ips
De viktigaste kommandona i Advanced Shell:
| Kommando | Exempel | Syfte |
|---|---|---|
tail -f /log/<logfilename>.log | tail -f /log/ips.log | visar nya loggrader live |
less /log/<logfilename>.log | less /log/ips.log | öppnar en statisk loggfil för läsning |
grep <keyword> /log/<logfilename>.log | grep error /log/ips.log | söker efter ett begrepp i en loggfil |
service <service>:<start/restart/stop/debug> -ds nosync | service ips:debug -ds nosync | startar, stoppar, startar om eller aktiverar debug för en service |
Om loggar ska sparas för support eller extern analys hjälper artikeln Spara Sophos Firewall-loggar för extern analys.
Advanced Shell eller Device Console?
Sophos Firewall har två olika konsolområden som ofta blandas ihop:
| Område | Användning |
|---|---|
| Device Console | Sophos CLI för firewall-specifika kommandon, till exempel routing-prioritet, IPsec-rutter eller systemalternativ |
| Advanced Shell | Linux-liknande shell för filsystem, loggfiler, tail, grep, less, service -S, omstart av services och debug-kommandon |
Inte alla kommandon fungerar i båda områdena. Om en artikel uttryckligen nämner Device Console ska kommandot köras där. Om det handlar om /log, tail -f, grep, service -S eller debug logging avses normalt Advanced Shell.
Den här skillnaden är viktig eftersom många fel uppstår bara för att ett korrekt kommando skrivs in på fel plats.
Logging måste vara aktiverat
Inte all förväntad information visas automatiskt.
- I firewall rules måste Log firewall traffic vara aktiverat.
- I SSL/TLS inspection rules måste logging vara aktiverat.
- Under System services > Log settings definieras vilka loggtyper som sparas lokalt, skickas till Sophos Central eller skickas till syslog.
För långsiktig lagring är en syslog-server eller Sophos Central Firewall Reporting användbart. Sophos Firewall kan konfigurera upp till fem externa syslog-servrar. Central Firewall Reporting räknas också in i den gränsen.
Mer information: Aktivera Central Firewall Reporting.
Aktivera debug endast vid behov
Debug logging är mycket användbart, men skapar stora mängder data och kan förbruka diskutrymme. Debug bör bara aktiveras för relevant service. Därefter reproduceras problemet och debug stängs av igen.
Exempel:
service ips:debug -ds nosync
service ips:debug -ds nosync off
Den exakta syntaxen beror på aktuell service. Om det är oklart vilken service som påverkas bör först den vanliga loggfilen kontrolleras.
Debug logging och grundläggande CLI-kommandon beskrivs mer utförligt i Sophos Firewall troubleshooting - CLI tips och tricks. För omstart av enskilda services hjälper även Starta om Sophos Firewall services.
Firewall, NAT och Packet Capture
| Funktion | Service / kontext | Första loggfil | Kontrollera även |
|---|---|---|---|
| Firewall rule matching | Firewall Rule Engine | firewall_rule.log | Log Viewer-modul Firewall |
| Allmän firewall-bearbetning | Firewall log / kernel path | fwlog.log | Packet Capture |
| NAT rules | NAT Rule Engine | nat_rule.log | NAT Rule ID i Log Viewer |
| Packet Capture i WebAdmin | pktcapd | pktcapd.log | Diagnostics > Packet capture |
| Bandwidth Management / QoS | bwm | bwm.log | Traffic Shaping Policy |
| Virtual Host / äldre serverpublicering | vhost | vhost.log | NAT och WAF |
Vid DNAT-problem ska firewall rule och NAT rule alltid kontrolleras tillsammans. NAT översätter bara, men tillåter ingen trafik. Mer information: Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Sophos Firewall använder bland annat IP tables, ARP table, IPset och conntrack för firewall-anslutningar. För QoS respektive Bandwidth Management används IMQ. Det är användbart när loggmeddelanden eller supportutdata innehåller tekniska termer från Linux-nätverkssökvägen.
IPS, Application Control och TLS Inspection
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Intrusion Prevention | ips | ips.log |
| Application Control | ips / Application Filter | ips.log |
| DPI och TLS Inspection | DPI Engine | ips.log |
| Antivirus i nätverkssökvägen | avd | avd.log |
| Signaturuppdateringar | Signature Updater | sig_upgrade.log, sig_update.log |
| Signaturmigrering | Signature Migration | sigmigration.log |
Många moderna skyddsfunktioner ser först tillräckligt med detaljer när HTTPS dekrypteras. Om TLS Inspection inte träffar blir Web Filter, Application Control, IPS och Malware Scan mindre informativa beroende på trafiken.
Mer information: Rulla ut TLS Inspection på Sophos Firewall stegvis.
Web, proxy, WAF och web filter
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| HTTPS Proxy | awarrenhttp | awarrenhttp.log |
| HTTPS Proxy Access | awarrenhttp access log | awarrenhttp_access.log |
| Web Proxy | Web Proxy | webproxy.log |
| Web Categorization / Reputation | nSXLd | nSXLd.log |
| Legacy HTTP/FTP Proxy | skein | skein.log |
| FTP Proxy | ftpproxy | ftpproxy.log |
| Web Application Firewall | Reverse Proxy | reverseproxy.log |
Om webbtrafik visas som blockerad i Log Viewer kan orsaken finnas i flera moduler: Web Policy, SSL/TLS inspection, Application Control, IPS eller WAF. Därför bör rätt modul alltid väljas i Log Viewer och den passande loggfilen kontrolleras.
Sophos blockerar alltid webbsidor i kategorin highly objectionable criminal activity och döljer domännamnet i loggar och rapporter. Om en post inom detta område verkar avsiktligt anonymiserad kan det alltså vara förväntat beteende.
VPN
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| IPsec från SFOS v17+ | strongswan, charon | strongswan.log, charon.log |
| IPsec äldre versioner | IPsec service | ipsec.log |
| IPsec Test Connection | IPsec test | ipsec_Test_Connect.log |
| IPsec Monitoring | IPsec Monitor | ipsec_monitor.log |
| XFRM / route-based VPN | xfrmi | xfrmi.log |
| SSL VPN | SSL VPN / OpenVPN | sslvpn.log |
| SSL VPN status | OpenVPN status | openvpn-status*.log |
| L2TP | l2tpd | l2tpd.log |
| PPTP | PPTP VPN | pptpvpn.log |
| VPN-certifikat | VPN Certificate Services | vpncertificate.log, wc_remote.log |
| Clientless SSL VPN | Clientless Access | clientless_access.log |
Sophos Firewall använder strongSwan för IPsec VPN och OpenVPN för SSL VPN. Vid IPsec-problem är tid, peer-IP, proposal, local/remote subnets, NAT-T, routing och firewall rules avgörande.
För IPsec-problem är Sophos Firewall IPsec troubleshooting den bättre steg-för-steg-guiden. För route-based VPN och manuella IPsec-rutter hjälper Skapa IPsec route på Sophos Firewall.
Authentication, User Portal och SSO
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Användarautentisering | Access Server / AAA | access_server.log |
| NTLM / NASM | nasm | nasm.log |
| Chromebook SSO | Chromebook SSO Backend | chromebook-sso-backend.log |
| OAuth SSO Captive Portal | OAuth SSO Captive Portal | oauth_sso_captive.log |
| OAuth SSO WebAdmin | OAuth SSO WebAdmin | oauth_sso_webadmin.log |
| OAuth SSO VPN | OAuth SSO VPN | oauth_sso_vpn.log |
| STAS | STAS / Access Server context | beroende på servicekontext och access_server.log |
Vid användarbaserade regler bör man först kontrollera om användaren över huvud taget är känd. Om Match known users är aktiverat och autentiseringen inte fungerar matchar regeln inte.
DNS, DHCP och network
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| DNS Service | dnsd | dnsd.log |
| DNS Grabber | dnsgrabber | dnsgrabber.log |
| DNS Entity / andra DNS-komponenter | entity, eacd | entity.log, eacd.log |
| DHCP IPv4 | dhcpd | dhcpd.log |
| DHCP IPv6 | DHCPv6 | dhcp6.log |
| Network service | networkd | networkd.log |
| FQDN hosts | fqdnd | fqdnd.log, fqdndebug.log |
| Dead Gateway Detection | dgd | dgd.log |
| Dynamic DNS | Dynamic DNS Client | ddc.log |
| NTP Client | NTP Client | ntpclient.log |
| IPv6 Router Advertisement | radvd | radvd.log |
DNS- och DHCP-problem ser ofta ut som firewall-problem. Därför bör man först kontrollera IP-adress, gateway, DNS-server och om klienterna ska använda brandväggen som DNS- eller DHCP-server.
Om interna domäner inte löses upp korrekt är Konfigurera DNS request routes på Sophos Firewall oftast relevant. För särskilda DHCP-options finns den egna artikeln Konfigurera Sophos Firewall DHCP Options.
Cellular WAN
| Funktion | Vad ska kontrolleras | Loggfil |
|---|---|---|
| WWAN / USB-modem | inkoppling och borttagning av USB-enheter | mdev.log |
| Modemets nätverkskonfiguration | modemrelaterade interfaces och IP-konfiguration | networkd.log |
| USB, modem och PPP | syslog-meddelanden om USB, modem och Point-to-Point Protocol | syslog.log |
Vid Cellular-WAN-problem bör man dessutom kontrollera om modemet känns igen, om PIN/SIM/APN är korrekt och om brandväggen skapar en passande gateway.
Routing
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Static Routing | zebra | zebra.log |
| Application Based Routing | appcached | appcached.log |
| Redis App Cache | Redis | redis |
| Multicast Routing | Multicast Routing | mrouting.log |
| BGP | bgpd | bgpd.log |
| OSPF | ospfd | ospfd.log |
| RIP | ripd | ripd.log |
| PIM-SM | pimd | pimd.log |
Vid routingproblem bör man också kontrollera Routing > SD-WAN routes, gateways och Packet Capture. Policy tester ersätter inte ett riktigt routingtest.
Mer information: Anpassa routing-prioritet på Sophos Firewall.
GUI, CLI och systemåtkomst
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| WebAdmin web server | apache | apache.log, apache_access.log |
| WebAdmin application | tomcat | tomcat.log |
| SSH | sshd | sshd.log |
| GUI/CLI-fel | System / GUI Error Log | error_log.log |
| API | API Parser / App Feedback | apiparser.log, app-feedback.log |
| Validation | Config Validation | validation.log, validationError.log |
Om WebAdmin eller SSH inte går att nå bör man inte bara kontrollera dessa loggar. Lokal åtkomst styrs via Administration > Device access och Local Service ACL.
Mer information: Anslut till Sophos Firewall via SSH.
Sophos Central, Heartbeat och Central Management
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Sophos Central Management | Central Management | centralmanagement.log, sophos-central.log |
| CSC | csc, cschelper, csd | csc.log, cschelper.log, csd.log |
| Security Heartbeat | heartbeatd, hbtrust | heartbeatd.log, hbtrust.log |
| Heartbeat till Central | fwcm-eventd, fwcm-heartbeatd, fwcm-updaterd | respektive service-loggar |
| Central API Executor | fwcm-api-executor | fwcm-api-executor.log |
| Active Threat Response | ATR-kontext | beroende på version och modul |
Vid Central-problem bör man först kontrollera om brandväggen är registrerad, om Central Services är aktiverade och om utgående DNS/HTTPS fungerar.
High Availability
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| HA status och konfiguration | HA Application Log | applog.log |
| HA Pair Service | ha_pair | ha_pair.log |
| HA Tunnel | ha_tunnel | ha_tunnel.log |
| Conntrack Sync | ctsyncd | ctsyncd.log |
| Msync | msync | msync.log |
HA-loggar ligger på den appliance där de skapades. För råloggar från auxiliary-enheten måste man ansluta direkt till den enheten, till exempel via dess admin-port med SSH. För konsoliderade rapporter är Sophos Central Firewall Reporting mer praktiskt.
Mail och Anti-Spam
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Antivirus | AV Service | av.log |
| Antivirus updates | Up2Date AV | up2date_av.log |
| Anti-Spam | sasi | sasi.log |
| Sandbox | sandboxd | sandboxd.log, sessiontbl.log |
| SMTP MTA | smtpd | smtpd_main.log |
| SMTP-fel | smtpd Error/Panic/Reject | smtpd_error.log, smtpd_panic.log, smtpd_reject.log |
| Legacy SMTP/S Proxy | awarrensmtp, awarrenmta | awarrensmtp.log, awarrenmta.log, awarrenmta_debug.log |
| POP/IMAP Proxy | warren | warren.log |
Vid mailproblem bör man alltid kontrollera att MTA Mode, firewall rule, DNS, certifikat och provider-begränsningar passar ihop.
Sophos Firewall använder Avira och Sophos Antivirus. Anti-Spam-servicen startar bara om det finns en inkommande eller utgående spam policy. Detta beroende är viktigt om sasi.log förblir tom eller Anti-Spam-servicen inte kör.
Wireless, RED, Hotspot och andra services
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Wireless Controller | awed | awed.log |
| Wi-Fi Authentication | wifiauth | wifiauth.log |
| Hotspot | hostapd, hotspot, hotspotd | hostapd.log, hotspot.log, hotspotd.log |
| RED | RED Service | red.log |
| SNMP | snmpd | snmpd.log |
| Syslog Service | Syslog | syslog.log |
| Licensing | Licensing Service | licensing.log |
| System Updates | u2d | u2d.log |
| VMware Tools | vmtool | vmtool.log |
| SMB filesystem | smbnetfs, snireport | smbnetfs.log, snireport.log |
Databas och reporting
| Funktion | Service / kontext | Loggfil |
|---|---|---|
| Configuration database | Config DB | confdbstatus.log, crreportdb.log |
| Postgres | postgres | postgres.log |
| Signature database | sigdb | sigdb.log |
| Report database | Report DB | reportdb.log |
| Migration database | Report Migration | sac-feedback.log, reportmigration.log |
| Garner | garner | garner.log |
| iView | iview | iview.log |
Om rapporter saknas, är långsamma eller om lagringsproblem uppstår är reporting- och databasloggar relevanta. Dessutom bör man kontrollera om rapporter sparas lokalt eller skickas till Sophos Central.
Praktisk analysordning
- Notera problemet exakt: tid, klient, mål, port, user, åtgärd.
- Filtrera i Log Viewer efter source IP och tid.
- Kontrollera om Firewall Rule ID och NAT Rule ID syns.
- Följ rätt loggfil med
tail -f. - Reproducera problemet.
- Aktivera debug kort vid behov.
- Använd Packet Capture om paketflödet är oklart.
- Spara loggar medan felet nyligen har reproducerats.
För supportärenden bör alla felmeddelanden, reproduktionssteg och redan utförda troubleshooting-steg dokumenteras. Just denna information påskyndar supportärenden tydligt.
Mer information
Tabellerna i den här artikeln bygger på praktisk erfarenhet och Sophos officiella översikt över modulernas loggfiler. De officiella källorna är länkade här: