Benachrichtigungen
Benachrichtigungen werden per E-Mail oder als SNMP-Traps versendet.
Zusätzlich zu den Standardbenachrichtigungen sendet Sophos Firewall bei einigen Ereignissen automatisch Benachrichtigungen.
Diese Benachrichtigungen werden automatisch gesendet und Sie können sie nicht entfernen.
- Die Rolle des HA-Geräts ändert sich von Standalone, Primär oder Hilfsgerät.
- Der Status des HA-Geräts ändert sich auf fehlerhaft.
- Der Status des virtuellen Hosts ändert sich in „aktiv“ oder „inaktiv“.
- Über die Webadministrationskonsole vorgenommene Änderungen: Neustart oder Herunterfahren des Systems.
Hier ist eine Liste aller Benachrichtigungen, die die Firewall sendet:
Administrator
-
Anmeldung fehlgeschlagen.
Diese Benachrichtigung wird gesendet, wenn sich Benutzer mit den falschen Anmeldeinformationen oder dem falschen OTP bei der Firewall anmelden.
-
Zu viele fehlgeschlagene Anmeldeversuche.
Diese Benachrichtigung wird gesendet, wenn ein Benutzer die Anzahl der erfolglosen Anmeldeversuche bei der Firewall erreicht, wie auf Verwaltung > Administrator- und Benutzereinstellungen > Anmeldesicherheit.
HA
- Einige dedizierte Schnittstellen sind nicht angeschlossen.
- Der vom HA-Gerät überwachte Port ist nicht angeschlossen.
IPS
Diese Benachrichtigung wird gesendet, wenn die Firewall das Paket aufgrund einer IPS-Bedrohung protokolliert und verwirft.
- Kritisch
- Wesentlich
- Mäßig
- Unerheblich
- Warnung
MDR und Sophos X-Ops Bedrohungsfeeds
-
Alarm
Diese Benachrichtigung wird gesendet, wenn die Firewall die Bedrohung protokolliert, den Datenfluss aber weiterhin zulässt.
-
Fallen
Diese Benachrichtigung wird gesendet, wenn die Firewall das Paket aufgrund einer Bedrohung protokolliert und verwirft.
Festplatte/Speicher
Benachrichtigungen zur Festplattennutzung werden gesendet, wenn Schwellenwerte erreicht werden.
Die folgende Tabelle zeigt die Details:
| Benachrichtigung | Schwelle | Frequenz | Verhalten |
|---|---|---|---|
| Die Datenträgernutzung der Konfiguration hat den Schwellenwert überschritten. | 80 Prozent und mehr | 50 Sekunden | Sobald die Festplattenauslastung der Konfiguration 80 Prozent erreicht und 50 Sekunden lang bei oder über diesem Wert bleibt, wird das erste Benachrichtigungsprotokoll generiert. Protokolle werden alle 50 Sekunden generiert, bis die Auslastung unter 80 Prozent fällt. |
| Die Signaturdatenträgernutzung hat den Schwellenwert überschritten. | 90 Prozent und mehr | 50 Sekunden | Sobald die Signaturdatenträgerauslastung 90 Prozent erreicht und 50 Sekunden lang bei oder über diesem Wert bleibt, wird das erste Benachrichtigungsprotokoll generiert. Protokolle werden alle 50 Sekunden generiert, bis die Auslastung unter 90 Prozent fällt. |
| Die /var-Partition hat den Nutzungsschwellenwert überschritten. | 80 Prozent und mehr | 12 Stunden | Wenn die gemeldete Datenträgerauslastung 80 Prozent erreicht und 50 Sekunden lang bei oder über diesem Wert bleibt, wird das erste Benachrichtigungsprotokoll generiert. Protokolle werden alle 12 Stunden erstellt, bis die Auslastung unter 80 Prozent fällt. |
Firmware
- Neue Firmware zur Installation bereit.
- Neue Firmware installiert.
- Die Firmware-Installation ist fehlgeschlagen.
System
- Das Upgrade der WebCat-Datenbank ist fehlgeschlagen.
- Das Upgrade der IPS-Signatur ist fehlgeschlagen.
- Das Upgrade der Antivirusdefinition ist fehlgeschlagen.
-
System gestartet.
Diese Benachrichtigung wird gesendet, wenn das Firewall-Gerät gestartet oder neu gestartet wird.
-
Hohe CPU-Auslastung.
Sobald die CPU-Auslastung 95 Prozent erreicht und 25 Minuten lang bei oder über diesem Wert bleibt, wird das erste Benachrichtigungsprotokoll generiert. Protokolle werden alle 25 Minuten generiert, bis die Auslastung unter 95 Prozent fällt.
-
Gateway-Status.
Diese Benachrichtigungen sind standardmäßig aktiviert. Um sie zu senden, aktivieren Sie E-Mail-Benachrichtigungen.
ROT
- Die ROTE Verbindung ist unterbrochen.
- Das Upgrade der RED-Firmware ist fehlgeschlagen.
- RED-Gerät automatisch deautorisiert.
- Das RED-Gerät hat einen neuen Entsperrcode.
AP
- Der Zugriffspunkt ist offline.
- Das Upgrade der Access Point-Firmware ist fehlgeschlagen.
VPN
Beim Auftreten eines Ereignisses werden VPN-Benachrichtigungen gesendet. Diese werden in etwa 60-Sekunden-Intervallen gesendet, bis das auslösende Ereignis behoben ist.
Bei Site-to-Site-Verbindungen mit mehr als einem lokalen und Remote-Netzwerk wird für jedes Subnetzpaar eine Benachrichtigung gesendet.
Benachrichtigungen enthalten eine Beschreibung der IPsec-Verbindung, wenn der Administrator die Informationen in den Verbindungseinstellungen eingibt.
IPsec-Benachrichtigungen werden nur gesendet, wenn Host-zu-Host- und Site-zu-Site-Tunnelverbindungen aus folgenden Gründen getrennt werden:
- Erkennung toter Peers (DPD).
- Die Wiederherstellung der Verbindung nach DPD ist fehlgeschlagen.
- Die IPsec Security Association (SA) ist abgelaufen und muss neu eingerichtet werden.
- Nach einem Verbindungsverlust wird der IPsec-Tunnel ohne Eingreifen des Administrators wiederhergestellt.
Hier ist eine Liste aller VPN-Benachrichtigungen:
- Der IPsec-Tunnel ist aktiv.
- Der IPsec-Tunnel ist ausgefallen.
- Beim IPsec-Tunnel ist ein Failover oder Failback aufgetreten.
- SSL-VPN-Verbindung hergestellt.
- SSL-VPN-Verbindung getrennt.
Virus
- HTTP-Viruswarnung
- FTP-Viruswarnung
- SMTP-Viruswarnung
- POP3-Viruswarnung
- IMAP4-Viruswarnung