Protokolldateien zur Fehlerbehebung
Sehen Sie sich die Liste der Protokolldateien an, um Probleme mit den verschiedenen Modulen zu beheben.
Allgemeine Protokolldateien
Diese Logdateien beziehen sich auf das System und die Konfiguration. Sie sind für viele Module relevant.
Tipp
Überprüfen Sie zur Fehlerbehebung diese Protokolldateien zusätzlich zu den Protokolldateien des jeweiligen Moduls.
Service | Protokolldatei |
---|---|
Systemstart | sysinit.log |
Konfigurationsänderungen | applog.log csc.log |
Konfigurationsdatenbank | postgres.log |
Systemereignisse auf Kernelebene (siehe Protokollanzeige für vom System und Administrator ausgelöste Ereignisse) | syslog.log |
Kommunikationskanal (Nur zwischen einigen Komponenten, den zugehörigen Diensten und ihren Ereignisprotokollen) | garner.log |
Systemgenerierte E-Mails und Authentifizierungsprogramme | cschelper.log |
Systemstart für Firewalls mit aktiviertem FIPS | fips.log |
Paketerfassungs-Daemon (Sie können die Paketerfassung auch auf Diagnose > Paketerfassung) | pktcapd.log |
Support-Zugriff | uma.log |
Überwachen und Analysieren
Protokolle und Berichte
Service | Protokolldatei |
---|---|
Verbindungsbezogene Protokolle (Basierend auf den Protokolleinstellungen der Firewall-Regeln und Protokolleinstellungen) | fwlog.log |
Protokollunterdrückung bei mehreren, aufeinanderfolgenden Einträgen eines Ereignisses | syslog-ng.log |
Neue Datenbank für Berichte (21.0 und spätere Versionen) | reportdb.log |
Alte Datenbank für Berichte | reportdb_v9.log |
Protokollvisualisierung der Webadministrationskonsole | iview.log |
Schützen
Firewall-Regeln und WAF-Regeln
Service | Protokolldatei |
---|---|
Firewall-Regeln | firewall_rule.log |
Web Application Firewall (WAF) | reverseproxy.log firewall_rule.log (für einige WAF-Konfigurationsdetails) |
Regeln und Einstellungen für die Netzwerkadressübersetzung (NAT)
Service | Protokolldatei |
---|---|
NAT-Regeln | nat_rule.log |
NAT-Einstellung in Site-to-Site-IPsec-Verbindungen | charon.log |
CLI-NAT-Befehl | applog.log |
Notiz
Wenn ein Link-Load-Balancing stattfindet, überprüfen Sie das folgende zusätzliche Protokoll auf DNAT-Probleme: dgd.log
.
Antivirus
Die Sophos Firewall verwendet Avira und Sophos Antivirus.
Service | Protokolldatei |
---|---|
Antivirendienst | avd.log |
Antivirus-Updates | up2date_av.log |
Zero-Day-Schutz | sandboxd.log |
IPS und Anwendungsfilter
Service | Protokolldatei |
---|---|
Intrusion Prevention System (IPS)Verschlüsselung und Entschlüsselung des Webverkehrs bei Verwendung der DPI-EngineAnwendungsfilterAktive Bedrohungsreaktion | ips.log |
Temporärer Cache kategorisierter Anwendungen, bevor diese in der Datenbank gespeichert werden | appcached.log |
Signatur-Upgrade für IPS und Anwendungen | sig_upgrade.log |
Signaturmigration für IPS und Anwendungen | sigmigration.log |
Speicherinitialisierung für FastPath (Gilt nicht für XGS 88, 108, 118, 128) | setup_vf_dpdk.log |
Web und FTP
Gemeinsame Webprotokolle
Service | Protokolldatei |
---|---|
Webkategorisierung und IP-Reputation | nSXLd.log |
Kategorie-Updates | catUpdateLog |
SSL/TLS-Prüfung
Die SSL/TLS-Prüfung erfolgt im Deep Packet Inspection (DPI)-Modus.
Service | Protokolldatei |
---|---|
Verschlüsselung und Entschlüsselung bei Verwendung der DPI-Engine | ips.log |
Unverschlüsselte HTTPS-Verbindungen bei Verwendung der DPI-Engine | httplogd.log |
Webproxy und FTP
Service | Protokolldatei |
---|---|
HTTP- und HTTPS-Verkehr bei Verwendung eines Webproxys | awarrenhttp.log |
Pro Anforderungsprotokolle bei Verwendung eines Webproxys | awarrenhttp_access.log |
FTP-Proxy | ftpproxy.log |
FTP über HTTP-Proxy | skein.log |
Notiz
Die Sophos Firewall blockiert immer Webseiten, die als höchst anstößige kriminelle Aktivitäten eingestuft werden, und verbirgt den Domänennamen in Protokollen und Berichten.
Kabellos
Service | Protokolldatei |
---|---|
AP- und APX-Kommunikation mit der Firewall | awed.log |
Drahtlose Clientkommunikation mit AP und APX | wc_remote.log |
SSID bezogen auf LocalWifi | hostapd.log |
Hotspot-Ereignisse | hotspotd.log |
Service | Protokolldatei |
---|---|
Transparenter SMTP-Proxy (Legacy-Proxy) | awarrensmtp.log |
POP/IMAP-Proxy | warren.log |
SMTP-MTA-Modus-Proxy | smtpd_main.log |
E-Mail-Ablehnungsereignisse (SMTP-MTA-Modus-Proxy) | smtpd_reject.log |
Fehlerereignisse beim E-Mail-Scan (SMTP-Proxy im MTA-Modus) | smtpd_error.log |
Interne Fehler (SMTP-MTA-Modus-Proxy) | smtpd_panic.log |
Anti-SpamUm den Anti-Spam-Dienst zu starten, ist eine Richtlinie für eingehenden oder ausgehenden Spam erforderlich. | sasi.log |
Aktive Reaktion auf Bedrohungen
Module | Service | Protokolldatei |
---|---|---|
MDR-Bedrohungs-FeedsBedrohungs-Feeds von Drittanbietern | LizenzstatusKonfigurationsstatus | atr.log |
Initialisierung und Herunterfahren des Dienstes | atr-service.log |
Notiz
Firewall-Regeln, DNS, IPS und Webmodule implementieren eine aktive Bedrohungsreaktion basierend auf dem Typ der Indikatoren für Kompromittierung (IoC). Weitere Informationen finden Sie unter Wie andere Module Bedrohungsfeeds implementieren.
Überprüfen Sie bei IP-Adress-IoCs auch die Protokolldatei der Firewall-Regeln.
Überprüfen Sie bei Domänen und URL-IoCs auch die Firewall-Regel, DNS, SSL/TLS-Prüfung und Webproxy-Protokolldateien.
Konfigurieren
VPN
IPsec-VPN
Sophos Firewall verwendet strongSwan für Site-to-Site- und Remote-Zugriff auf IPsec-VPN.
Service | Protokolldatei |
---|---|
IPsec-Dienst und -Verbindungen | strongswan.log |
IPsec-Dienstüberwachung | ipsec_monitor.log |
IPsec-VPN-Dienst | charon.log |
Verbindungsspezifische Aktionen zum Aktivieren, Deaktivieren und Verbinden der Tunnel (auf der Webadministratorkonsole) | /log/ipsec_conn/ipsec_<connectionname>.log |
XFRM-Tunnelschnittstellen | xfrmi.log |
SSL VPN
Die Sophos Firewall verwendet OpenVPN für Site-to-Site- und Remote-Zugriff auf SSL-VPN.
Service | Protokolldatei |
---|---|
SSL-VPN-Dienst | sslvpn.log |
Aktive SSL-VPN-Verbindungen | openvpn-status0.log Je nach Anzahl der Prozesse werden individuelle Logdateien erstellt, beispielsweise openvpn-status1.log |
Pro Benutzer generierte Zertifikate | peruser_cert_sslvpn.log |
Andere Remote-Access-VPNs
Service | Protokolldatei |
---|---|
Clientloser SSL-VPN-Client | clientless_access.log |
L2TP | l2tpd.log |
PPTP | pptpvpn.log |
Notiz
Zur Authentifizierung von VPN-Benutzern aktivieren Sie access_server.log
.
Für das VPN-Portal prüfen Sie vpnportal.log
.
Netzwerk
Service | Protokolldatei |
---|---|
Physische und virtuelle Schnittstellen | networkd.log |
WAN-Link-Management, Gateway-ManagementLink-Failover, VPN-FailoverDNAT | dgd.log |
DHCP-Server | dhcpd.log |
DHCPv6-Server | dhcpd6.log |
IPv6-Router-Ankündigung | radvd.log |
DHCP-Relay | dhcprelay.log |
DNS | dnsd.log |
DDNS | ddc.log |
ROT
Service | Protokolldatei |
---|---|
RED-Dienst für alle konfigurierten RED-Geräte, einschließlich Site-to-Site RED und SD-RED | red.log |
Spezifisch für das SD-RED-Gerät | red-<serial ID of RED>.log |
Spezifisch für die Site-to-Site-RED-Konfiguration | red-<RED ID>.log Um die ROTE ID anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf das jeweilige Site-to-Site-ROT. |
Mobilfunk-WAN
Service | Protokolldatei |
---|---|
WWAN (Einstecken und Entfernen von USB-Geräten) | modemd.log |
Modembezogene Netzwerkkonfigurationen | networkd.log |
Syslogs für USB, Modem und PPP (Point-to-Point Protocol) | syslog.log |
Routenplanung
Dynamische Routen
Service | Protokolldatei |
---|---|
BGP und BGP-IPv6 | bgpd.log |
OSPF | ospfd.log |
OSPFv3 | ospf6d.log |
RUHE IN FRIEDEN | ripd.log |
Multicast (PIM-SM) | pimd.log |
Installiert dynamische IPv4- und IPv6-Routen im Kernel | zebra.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter csc.log
.
Für HA-Protokolle prüfen Sie ha.log
, msync.log
, Und applog.log
.
Statische Routen
Service | Protokolldatei |
---|---|
Unicast-Routen | staticd.log |
Installiert statische IPv4-Unicast-Routen im Kernel | zebra.log |
Multicast-Routen | mrouting.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter csc.log
.
Für HA-Protokolle prüfen Sie ha.log
, msync.log
, Und applog.log
.
SD-WAN-Routen
Service | Protokolldatei |
---|---|
Anwendungsbasiertes Routing | appcached.log |
Notiz
Überprüfen Sie außerdem applog.log
, csc.log
, Und dgd.log
.
Wenn SD-WAN-Routen mit IPsec-VPN verwendet werden, überprüfen Sie die IPsec-Protokolle.
Authentifizierung
Service | Protokolldatei |
---|---|
Benutzerauthentifizierung, -autorisierung und -abrechnung | access_server.log |
Captive-Portal-Anmeldung mit SSO | oauth_sso_captive.log |
Anmeldung bei der Webadministratorkonsole mit SSO | oauth_sso_webadmin.log |
Chromebook-SSO | chromebook-sso-backend.log |
Chromebook-SSO-Workflow | csd.log |
NTLM-Authentifizierung | nasm.log |
Hohe Verfügbarkeit
Beschreibung | Protokolldatei |
---|---|
Conntrack-Synchronisierungsdienst | ctsyncd.log |
HA-Synchronisierungsdienst | msync.log |
Erfolg und Misserfolg bei der Einrichtung von HA, HA-Statusübergängen | ha.log |
Peer-HA-Geräteerkennung im QuickHA-Modus | ha_pair.log |
SSH-Tunnelverbindung (zwischen den HA-Geräten über die dedizierte Verbindung) | ha_tunnel.log |
Dateisynchronisierung mit dem Zusatzgerät (gilt für einige Dienste, wie z. B. dynamische Routen und DHCP) | filesync.log |
Notiz
Jedes HA-Gerät speichert nur die Protokolle und Berichte für den von ihm verarbeiteten Datenverkehr. Um die konsolidierten Berichte für beide Geräte anzuzeigen, können Sie Sophos Central Firewall Reporting (CFR) verwenden.
Um die Fehlerbehebungsprotokolle des Zusatzgeräts anzuzeigen, melden Sie sich mit der IP-Adresse oder dem FQDN der Administrationsschnittstelle bei dessen CLI an.
Verkehrsgestaltung
Service | Protokolldatei |
---|---|
Ereignisse zur Bandbreitenverwaltung (QoS) | bwm.log |
System
Sophos Central
Sophos Central-Dienste
Service | Protokolldatei |
---|---|
An Sophos Central gesendete Zonen- und Schnittstelleninformationen (werden in dynamischen Objekten in Sophos Central verwendet) | fwcm-eventd.log |
Firewall-Konnektivität mit Sophos Central | fwcm-heartbeatd.log |
Von Sophos Central an die Firewall übertragene Konfiguration | fwcm-updaterd.log |
MDR-Analyse an die Firewall übertragen | fwcm-api-executor.log |
Informationen zum Firmware-Upgrade von der Firewall zu Sophos Central. In Sophos Central erstellte Firewall-Backups. | ssod.log |
Schneller Reverse-Proxy (wenn in Sophos Central mehrere Firewalls gleichzeitig geöffnet sind) | fwcm-frpcd.log |
Bereitstellung und Registrierung
Service | Protokolldatei |
---|---|
Echte Zero-Touch-BereitstellungKontrollierte Zero-Touch-Bereitstellung | zt.log fwcm-heartbeatd.log |
Zero-Touch-Bereitstellung über USB(fwcm-heartbeatd.log wird für diese Bereitstellung nicht angezeigt) | zerotouch.log |
Firewall-Registrierung bei Sophos Central. Generierung von Zugriffstoken für die Kommunikation der Firewall mit Sophos Central. | sophos-central.log |
Sophos Central Management und Reporting in der Firewall aktiviert | centralmanagement.log |
Notiz
Für die Kommunikation zwischen der Firewall und Sophos Central überprüfen Sie hbtrust.log
.
Informationen zu Ereignissen, die von der Firewall generiert werden, und den Informationen, die sie an Sophos Central sendet, finden Sie unter garner.log
Überprüfen Sie außerdem die SCM-Plugin-Protokolle für die zentrale Verwaltung und die CR-Plugin-Protokolle für die zentrale Berichterstattung.
Informationen zum Firmware-Upgrade und zugehörigen Details finden Sie unter csc.log
.
Für die Firewall-Registrierung und -Abmeldung bei Sophos Central überprüfen Sie applog.log
Zero-Touch-Netzwerkzugriff (ZTNA)
Service | Protokolldatei |
---|---|
Sophos Central-Kundenkonto und ZTNA-Connector-IDsStatus des ZTNA-Connectors, ZTNA-TunnelverbindungenZugriff auf Anwendungen, Konfigurationsaktualisierungen | ztna-connector.log |
Security Heartbeat und Synchronized Security
Service | Protokolldatei |
---|---|
Endpunktstatus und Anwendungsinformationen, die an die Firewall gesendet werden | heartbeatd.log |
Kommunikation zwischen der Firewall und Sophos Central | hbtrust.log |
Wöchentliche Synchronized Application Control (SAC)-Datenbankoptimierung | sac-vacuum.log |
An SophosLabs gesendete Daten | sac-feedback.log |
Notiz
Überprüfen Sie außerdem csc.log
Und applog.log
.
Gastgeber und Dienste
Service | Protokolldatei |
---|---|
FQDN-Dienst | fqdnd.log |
Wildcard-FQDN-Dienst | dnsgrabber.log |
Verwaltung
Service | Protokolldatei |
---|---|
Lizenzierung | licensing.log |
Apache-HTTP-Server (httpd) (Für die Webadministrationskonsole und das Benutzerportal) | apache.log apache_access.log error_log.log |
Jetty-Webanwendungsserver (für die Webadministrationskonsole und das Benutzerportal) | tomcat.log |
SSH-Zugriff | sshd.log |
VPN-Portal | vpnportal.log |
NTP-Client | ntpclient.log |
Net-SNMP | snmpd.log |
Backup und Firmware
Service | Protokolldatei |
---|---|
Backup-Restore-Schnittstellenmapper | interfacemapping.log |
Backup-Erstellung ohne Secure Storage Master Key | legacyconversion.log |
Firmware-Installation und -Verwaltung | fwmgmt.log |
API-Übersetzung zwischen JSON- und XML-Formaten | apiparser.log |
API-Validierung | validation.log |
API-Validierung | validationError.log |
Systemaktualisierungen | u2d.log |
Systemupdates für Airgap | u2d_airgap.log |
Hotfix-Fehler | cps_messages.log |
Notiz
Überprüfen Sie zur Sicherungswiederherstellung die folgenden zusätzlichen Protokolle: applog.log
Und postgres.log
Zertifikate
Service | Protokolldatei |
---|---|
Zertifikate, CAs, CSRs, CRLs | vpncertificate.log |
Let’s Encrypt-Zertifikate | letsencrypt.log applog.log |
Gemeinsame Protokolldateien
Datenbank und andere Dienste
Service | Protokolldatei |
---|---|
Signaturendatenbank | sigdb.log |
Datenbankbereinigung beim Neustart der Firewall | dbcleanup.log |
Leseobjekte für interne Dienste | readobject.log |
Dateisystemtrimmung | fstrim.log |
Protokollrotation nach .gz Dateien | logrotate.log |
Migration
Service | Protokolldatei |
---|---|
Konfigurationsmigration | migration.log |
Berichtsmigration | reportmigration.log |
Bereitstellungsplattformen
Hardware
Beschreibung | Protokolldatei |
---|---|
NPU-Start | npu-startup.log |
NPU-Syslogs | npu_syslog.log |
CPU-Auslastung und -Temperatur, Lüftergeschwindigkeit und NPU-Verwaltungsport | xgs-healthmond.log |
NPU-Hosttreiberprotokolle während des Startvorgangs | xgs-host.log |
NPU-Kompatibilitätsprüfung, NPU-Upgrade und NPU-Wiederherstellung | xgs-npu-fw.log |
NPU-Serieller Anschluss | xgs-npu-serial.log |
Erstellen der physischen Schnittstelle während des Startvorgangs | xgs-pport-wait.log |
Software-RAID-Status | raid.log |
LCD auf Hardware-Firewalls | lcd.log |
VMware
Beschreibung | Protokolldatei |
---|---|
VMware-Tools | vmtool.log |
Notiz
Überprüfen Sie außerdem syslog.log
.
Azure-Cloudbereitstellung
Service | Protokolldatei |
---|---|
Konfigurationsbereitstellung und Lizenzprüfung | iaasd.log |
Azure-Bereitstellungsagent, Bereitstellung auf Betriebssystemebene, Integritätsüberwachung | waagent.log |
FastPath-Beschleunigung
Service | Protokolldatei |
---|---|
Syslogs für NPU-basiertes FastPath (Gilt nicht für XGS 88, 108, 118, 128) | npu_syslog.log |
Syslogs für die Hostkommunikation mit NPU-basiertem FastPathSyslogs für Virtual FastPath | syslog.log |
Notiz
Weitere Informationen zu NPU-basiertem FastPath und Virtual FastPath finden Sie unter Architektur für das Offloading.