Hoppa till innehållet
Avanet

Sophos Firewall troubleshooting - tips och CLI-kommandon

Sophos Firewall

Som IT-administratör med ansvar för Sophos Firewall är det viktigt att känna till Command Line Interface (CLI). CLI innehåller kraftfulla verktyg och kommandon för att navigera i systemkataloger, analysera loggar och felsöka detaljerat. I den här artikeln visar vi hur du använder CLI på Sophos Firewall för att söka i loggar, övervaka nätverksanslutningar, överföra filer och starta tjänster i debug mode.

I Sophos Shell kan du gå igenom katalogstrukturen med vanliga Linux-kommandon. För att till exempel visa loggfilerna i katalogen /log kan du använda:

cd /log
ls -la
  • cd /log: byter till katalogen /log, där loggfilerna på Sophos Firewall finns.
  • ls -la: listar alla filer i aktuell katalog med detaljer, inklusive dolda filer. -l visar information som filstorlek och tidsstämplar, medan -a även visar dolda filer.
Sophos Firewall - Advanced Shell - ls -la i loggkatalogen
Sophos Firewall - Advanced Shell - ls -la i loggkatalogen

För att sortera filer efter storlek kan du utöka ls så här:

ls -lSrh
  • -lSrh: listar filer detaljerat, sorterar efter storlek (-S) och visar storlekar i läsbart format (-h för human-readable).

Visa och söka i loggar

Att söka i och analysera loggfiler är en av de vanligaste uppgifterna vid felsökning. Kommandona cat, tail och grep är särskilt användbara.

tail - övervaka logg i realtid

För att följa innehållet i en loggfil i realtid kan du använda tail:

tail -f smtpd_main.log
  • tail -f: visar de sista raderna i smtpd_main.log och uppdaterar visningen när nya poster skrivs.

grep - filtrera loggar

För att söka efter ett visst begrepp, till exempel en domän eller e-postadress, kan du använda grep:

cat smtpd_main.log | grep "avanet.com"

Du kan också följa IPsec-loggen i realtid och bara visa poster för en viss IP-adress:

tail -f strongswan.log | grep 46.33.21.12
  • grep: söker i smtpd_main.log efter rader som innehåller begreppet avanet.com.

Fler användbara grep-optioner:

  • -i: ignorerar skillnad mellan stora och små bokstäver.
  • -n: visar radnummer för träffarna.
  • -m 1: avslutar sökningen efter första träffen.

Conntrack och TCPDump

Sophos Firewall innehåller kraftfulla verktyg för analys av nätverksanslutningar och nätverkstrafik.

Conntrack

Med conntrack kan du övervaka aktiva anslutningar:

conntrack -L | grep "10.128.138.150"
  • conntrack -L: listar alla aktiva anslutningar på firewallen.
  • grep “IP-adress”: filtrerar anslutningar som hör ihop med den angivna IP-adressen.

tcpdump

För att analysera nätverkstrafik direkt kan du använda tcpdump:

tcpdump -i any port 80
  • tcpdump -i any: övervakar nätverkstrafik på alla interfaces.
  • port 80: filtrerar trafik som går över port 80 (HTTP).

Ämnet tcpdump behandlas i en separat artikel eftersom det är omfattande: Sophos Firewall - samla loggar med TCPDump för analys

Ladda ned och ladda upp filer

För att ladda ned filer från firewallen kan du använda verktyg som WinSCP. På macOS passar till exempel Cyberduck. Kontrollera först att SSH-åtkomst till firewallen är tillåten. Därefter kan du ansluta med verktyget och föra över filer på ett bekvämt sätt.

För att ladda upp filer till en FTP-server kan du använda ftpput:

ftpput -u username -p password ftp.server.com /path/to/upload/file.log

ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
  • ftpput: överför en fil till en FTP-server.
  • -u username -p password: autentiserar med angivna FTP-uppgifter.
  • ftp.server.com: FTP-serverns adress.
  • /path/to/upload/file.log: lokal sökväg till filen som ska laddas upp.

Alternativt kan du använda curl för att ladda upp filer till FTP:

curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}

Lista alla firewall services och deras loggar

Sophos har en bra lista över alla services och tillhörande loggar: Sophos KB: Log file details.

Lista firewall services

Det här Advanced Shell-kommandot listar alla aktiva services och deras status:

service -S

Om du bara behöver status för en enskild tjänst kan du använda service -S tillsammans med grep:

service -S | grep strongswan

Följande kommando gör samma sak i Firewall Console:

system diagnostics show subsystem-info

Debug log

Debug mode är viktigt när vanliga loggar inte ger tillräcklig information för att förstå ett problem. Jämfört med normal loggning, som bara registrerar grundläggande händelser och felmeddelanden, ger debug mode en djupare och mer detaljerad loggning. Det visar fler interna processer och mer data än normalt driftläge. Det hjälper särskilt vid komplexa eller sällsynta fel som annars kan vara svåra att hitta.

För att starta en viss service i debug mode kan du använda:

service ips:debug -ds nosync

För att avsluta debug mode igen, så att loggen inte fyller disken, bör du stänga av den efter en stund:

service ips:debug -ds nosync
Sophos Firewall - Advanced Shell - Debug Mode
Sophos Firewall - Advanced Shell - Debug Mode

Ämnet services och omstart beskrivs mer utförligt i den här artikeln: Starta om Sophos Firewall-tjänster

Avslutande ord

Att navigera och arbeta i Sophos Shell kan först kännas komplext, men med rätt kommandon går det snabbt att identifiera och lösa problem. Den här guiden hjälper dig att förstå de viktigaste kommandona och använda dem effektivt i det dagliga arbetet. God CLI-kunskap förbättrar felsökningsförmågan betydligt. Alternativt finns förstås även vår support tillgänglig.