Protokolldateien zur Fehlerbehebung
Sehen Sie sich die Liste der Protokolldateien an, um Probleme mit den verschiedenen Modulen zu beheben.
Allgemeine Protokolldateien
Diese Logdateien beziehen sich auf das System und die Konfiguration. Sie sind für viele Module relevant.
Tipp
Überprüfen Sie zur Fehlerbehebung diese Protokolldateien zusätzlich zu den Protokolldateien des jeweiligen Moduls.
| Service | Protokolldatei |
|---|---|
| Systemstart | sysinit.log |
| Konfigurationsänderungen | applog.logcsc.log |
| Konfigurationsdatenbank | postgres.log |
| Systemereignisse auf Kernelebene (siehe Protokollanzeige für vom System und Administrator ausgelöste Ereignisse) | syslog.log |
| Kommunikationskanal (Nur zwischen einigen Komponenten, den zugehörigen Diensten und ihren Ereignisprotokollen) | garner.log |
| Systemgenerierte E-Mails und Authentifizierungsprogramme | cschelper.log |
| Systemstart für Firewalls mit aktiviertem FIPS | fips.log |
| Paketerfassungs-Daemon (Sie können die Paketerfassung auch auf Diagnose > Paketerfassung) | pktcapd.log |
| Support-Zugriff | uma.log |
Überwachen und Analysieren
Protokolle und Berichte
| Service | Protokolldatei |
|---|---|
| Verbindungsbezogene Protokolle (Basierend auf den Protokolleinstellungen der Firewall-Regeln und Protokolleinstellungen) | fwlog.log |
| Protokollunterdrückung bei mehreren, aufeinanderfolgenden Einträgen eines Ereignisses | syslog-ng.log |
| Neue Datenbank für Berichte (21.0 und spätere Versionen) | reportdb.log |
| Alte Datenbank für Berichte | reportdb_v9.log |
| Protokollvisualisierung der Webadministrationskonsole | iview.log |
Schützen
Firewall-Regeln und WAF-Regeln
| Service | Protokolldatei |
|---|---|
| Firewall-Regeln | firewall_rule.log |
| Web Application Firewall (WAF) | reverseproxy.logfirewall_rule.log (für einige WAF-Konfigurationsdetails) |
Regeln und Einstellungen für die Netzwerkadressübersetzung (NAT)
| Service | Protokolldatei |
|---|---|
| NAT-Regeln | nat_rule.log |
| NAT-Einstellung in Site-to-Site-IPsec-Verbindungen | charon.log |
| CLI-NAT-Befehl | applog.log |
Notiz
Wenn ein Link-Load-Balancing stattfindet, überprüfen Sie das folgende zusätzliche Protokoll auf DNAT-Probleme: dgd.log.
Antivirus
Die Sophos Firewall verwendet Avira und Sophos Antivirus.
| Service | Protokolldatei |
|---|---|
| Antivirendienst | avd.log |
| Antivirus-Updates | up2date_av.log |
| Zero-Day-Schutz | sandboxd.log |
IPS und Anwendungsfilter
| Service | Protokolldatei |
|---|---|
| Intrusion Prevention System (IPS)Verschlüsselung und Entschlüsselung des Webverkehrs bei Verwendung der DPI-EngineAnwendungsfilterAktive Bedrohungsreaktion | ips.log |
| Temporärer Cache kategorisierter Anwendungen, bevor diese in der Datenbank gespeichert werden | appcached.log |
| Signatur-Upgrade für IPS und Anwendungen | sig_upgrade.log |
| Signaturmigration für IPS und Anwendungen | sigmigration.log |
| Speicherinitialisierung für FastPath (Gilt nicht für XGS 88, 108, 118, 128) | setup_vf_dpdk.log |
Web und FTP
Gemeinsame Webprotokolle
| Service | Protokolldatei |
|---|---|
| Webkategorisierung und IP-Reputation | nSXLd.log |
| Kategorie-Updates | catUpdateLog |
SSL/TLS-Prüfung
Die SSL/TLS-Prüfung erfolgt im Deep Packet Inspection (DPI)-Modus.
| Service | Protokolldatei |
|---|---|
| Verschlüsselung und Entschlüsselung bei Verwendung der DPI-Engine | ips.log |
| Unverschlüsselte HTTPS-Verbindungen bei Verwendung der DPI-Engine | httplogd.log |
Webproxy und FTP
| Service | Protokolldatei |
|---|---|
| HTTP- und HTTPS-Verkehr bei Verwendung eines Webproxys | awarrenhttp.log |
| Pro Anforderungsprotokolle bei Verwendung eines Webproxys | awarrenhttp_access.log |
| FTP-Proxy | ftpproxy.log |
| FTP über HTTP-Proxy | skein.log |
Notiz
Die Sophos Firewall blockiert immer Webseiten, die als höchst anstößige kriminelle Aktivitäten eingestuft werden, und verbirgt den Domänennamen in Protokollen und Berichten.
Kabellos
| Service | Protokolldatei |
|---|---|
| AP- und APX-Kommunikation mit der Firewall | awed.log |
| Drahtlose Clientkommunikation mit AP und APX | wc_remote.log |
| SSID bezogen auf LocalWifi | hostapd.log |
| Hotspot-Ereignisse | hotspotd.log |
| Service | Protokolldatei |
|---|---|
| Transparenter SMTP-Proxy (Legacy-Proxy) | awarrensmtp.log |
| POP/IMAP-Proxy | warren.log |
| SMTP-MTA-Modus-Proxy | smtpd_main.log |
| E-Mail-Ablehnungsereignisse (SMTP-MTA-Modus-Proxy) | smtpd_reject.log |
| Fehlerereignisse beim E-Mail-Scan (SMTP-Proxy im MTA-Modus) | smtpd_error.log |
| Interne Fehler (SMTP-MTA-Modus-Proxy) | smtpd_panic.log |
| Anti-SpamUm den Anti-Spam-Dienst zu starten, ist eine Richtlinie für eingehenden oder ausgehenden Spam erforderlich. | sasi.log |
Aktive Reaktion auf Bedrohungen
| Module | Service | Protokolldatei |
|---|---|---|
| MDR-Bedrohungs-FeedsBedrohungs-Feeds von Drittanbietern | LizenzstatusKonfigurationsstatus | atr.log |
| Initialisierung und Herunterfahren des Dienstes | atr-service.log |
Notiz
Firewall-Regeln, DNS, IPS und Webmodule implementieren eine aktive Bedrohungsreaktion basierend auf dem Typ der Indikatoren für Kompromittierung (IoC). Weitere Informationen finden Sie unter Wie andere Module Bedrohungsfeeds implementieren.
Überprüfen Sie bei IP-Adress-IoCs auch die Protokolldatei der Firewall-Regeln.
Überprüfen Sie bei Domänen und URL-IoCs auch die Firewall-Regel, DNS, SSL/TLS-Prüfung und Webproxy-Protokolldateien.
Konfigurieren
VPN
IPsec-VPN
Sophos Firewall verwendet strongSwan für Site-to-Site- und Remote-Zugriff auf IPsec-VPN.
| Service | Protokolldatei |
|---|---|
| IPsec-Dienst und -Verbindungen | strongswan.log |
| IPsec-Dienstüberwachung | ipsec_monitor.log |
| IPsec-VPN-Dienst | charon.log |
| Verbindungsspezifische Aktionen zum Aktivieren, Deaktivieren und Verbinden der Tunnel (auf der Webadministratorkonsole) | /log/ipsec_conn/ipsec_<connectionname>.log |
| XFRM-Tunnelschnittstellen | xfrmi.log |
SSL VPN
Die Sophos Firewall verwendet OpenVPN für Site-to-Site- und Remote-Zugriff auf SSL-VPN.
| Service | Protokolldatei |
|---|---|
| SSL-VPN-Dienst | sslvpn.log |
| Aktive SSL-VPN-Verbindungen | openvpn-status0.logJe nach Anzahl der Prozesse werden individuelle Logdateien erstellt, beispielsweise openvpn-status1.log |
| Pro Benutzer generierte Zertifikate | peruser_cert_sslvpn.log |
Andere Remote-Access-VPNs
| Service | Protokolldatei |
|---|---|
| Clientloser SSL-VPN-Client | clientless_access.log |
| L2TP | l2tpd.log |
| PPTP | pptpvpn.log |
Notiz
Zur Authentifizierung von VPN-Benutzern aktivieren Sie access_server.log.
Für das VPN-Portal prüfen Sie vpnportal.log.
Netzwerk
| Service | Protokolldatei |
|---|---|
| Physische und virtuelle Schnittstellen | networkd.log |
| WAN-Link-Management, Gateway-ManagementLink-Failover, VPN-FailoverDNAT | dgd.log |
| DHCP-Server | dhcpd.log |
| DHCPv6-Server | dhcpd6.log |
| IPv6-Router-Ankündigung | radvd.log |
| DHCP-Relay | dhcprelay.log |
| DNS | dnsd.log |
| DDNS | ddc.log |
ROT
| Service | Protokolldatei |
|---|---|
| RED-Dienst für alle konfigurierten RED-Geräte, einschließlich Site-to-Site RED und SD-RED | red.log |
| Spezifisch für das SD-RED-Gerät | red-<serial ID of RED>.log |
| Spezifisch für die Site-to-Site-RED-Konfiguration | red-<RED ID>.logUm die ROTE ID anzuzeigen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf das jeweilige Site-to-Site-ROT. |
Mobilfunk-WAN
| Service | Protokolldatei |
|---|---|
| WWAN (Einstecken und Entfernen von USB-Geräten) | modemd.log |
| Modembezogene Netzwerkkonfigurationen | networkd.log |
| Syslogs für USB, Modem und PPP (Point-to-Point Protocol) | syslog.log |
Routenplanung
Dynamische Routen
| Service | Protokolldatei |
|---|---|
| BGP und BGP-IPv6 | bgpd.log |
| OSPF | ospfd.log |
| OSPFv3 | ospf6d.log |
| RUHE IN FRIEDEN | ripd.log |
| Multicast (PIM-SM) | pimd.log |
| Installiert dynamische IPv4- und IPv6-Routen im Kernel | zebra.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter csc.log.
Für HA-Protokolle prüfen Sie ha.log, msync.log, Und applog.log.
Statische Routen
| Service | Protokolldatei |
|---|---|
| Unicast-Routen | staticd.log |
| Installiert statische IPv4-Unicast-Routen im Kernel | zebra.log |
| Multicast-Routen | mrouting.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter csc.log.
Für HA-Protokolle prüfen Sie ha.log, msync.log, Und applog.log.
SD-WAN-Routen
| Service | Protokolldatei |
|---|---|
| Anwendungsbasiertes Routing | appcached.log |
Notiz
Überprüfen Sie außerdem applog.log, csc.log, Und dgd.log.
Wenn SD-WAN-Routen mit IPsec-VPN verwendet werden, überprüfen Sie die IPsec-Protokolle.
Authentifizierung
| Service | Protokolldatei |
|---|---|
| Benutzerauthentifizierung, -autorisierung und -abrechnung | access_server.log |
| Captive-Portal-Anmeldung mit SSO | oauth_sso_captive.log |
| Anmeldung bei der Webadministratorkonsole mit SSO | oauth_sso_webadmin.log |
| Chromebook-SSO | chromebook-sso-backend.log |
| Chromebook-SSO-Workflow | csd.log |
| NTLM-Authentifizierung | nasm.log |
Hohe Verfügbarkeit
| Beschreibung | Protokolldatei |
|---|---|
| Conntrack-Synchronisierungsdienst | ctsyncd.log |
| HA-Synchronisierungsdienst | msync.log |
| Erfolg und Misserfolg bei der Einrichtung von HA, HA-Statusübergängen | ha.log |
| Peer-HA-Geräteerkennung im QuickHA-Modus | ha_pair.log |
| SSH-Tunnelverbindung (zwischen den HA-Geräten über die dedizierte Verbindung) | ha_tunnel.log |
| Dateisynchronisierung mit dem Zusatzgerät (gilt für einige Dienste, wie z. B. dynamische Routen und DHCP) | filesync.log |
Notiz
Jedes HA-Gerät speichert nur die Protokolle und Berichte für den von ihm verarbeiteten Datenverkehr. Um die konsolidierten Berichte für beide Geräte anzuzeigen, können Sie Sophos Central Firewall Reporting (CFR) verwenden.
Um die Fehlerbehebungsprotokolle des Zusatzgeräts anzuzeigen, melden Sie sich mit der IP-Adresse oder dem FQDN der Administrationsschnittstelle bei dessen CLI an.
Verkehrsgestaltung
| Service | Protokolldatei |
|---|---|
| Ereignisse zur Bandbreitenverwaltung (QoS) | bwm.log |
System
Sophos Central
Sophos Central-Dienste
| Service | Protokolldatei |
|---|---|
| An Sophos Central gesendete Zonen- und Schnittstelleninformationen (werden in dynamischen Objekten in Sophos Central verwendet) | fwcm-eventd.log |
| Firewall-Konnektivität mit Sophos Central | fwcm-heartbeatd.log |
| Von Sophos Central an die Firewall übertragene Konfiguration | fwcm-updaterd.log |
| MDR-Analyse an die Firewall übertragen | fwcm-api-executor.log |
| Informationen zum Firmware-Upgrade von der Firewall zu Sophos Central. In Sophos Central erstellte Firewall-Backups. | ssod.log |
| Schneller Reverse-Proxy (wenn in Sophos Central mehrere Firewalls gleichzeitig geöffnet sind) | fwcm-frpcd.log |
Bereitstellung und Registrierung
| Service | Protokolldatei |
|---|---|
| Echte Zero-Touch-BereitstellungKontrollierte Zero-Touch-Bereitstellung | zt.logfwcm-heartbeatd.log |
Zero-Touch-Bereitstellung über USB(fwcm-heartbeatd.log wird für diese Bereitstellung nicht angezeigt) | zerotouch.log |
| Firewall-Registrierung bei Sophos Central. Generierung von Zugriffstoken für die Kommunikation der Firewall mit Sophos Central. | sophos-central.log |
| Sophos Central Management und Reporting in der Firewall aktiviert | centralmanagement.log |
Notiz
Für die Kommunikation zwischen der Firewall und Sophos Central überprüfen Sie hbtrust.log.
Informationen zu Ereignissen, die von der Firewall generiert werden, und den Informationen, die sie an Sophos Central sendet, finden Sie unter garner.logÜberprüfen Sie außerdem die SCM-Plugin-Protokolle für die zentrale Verwaltung und die CR-Plugin-Protokolle für die zentrale Berichterstattung.
Informationen zum Firmware-Upgrade und zugehörigen Details finden Sie unter csc.log.
Für die Firewall-Registrierung und -Abmeldung bei Sophos Central überprüfen Sie applog.log
Zero-Touch-Netzwerkzugriff (ZTNA)
| Service | Protokolldatei |
|---|---|
| Sophos Central-Kundenkonto und ZTNA-Connector-IDsStatus des ZTNA-Connectors, ZTNA-TunnelverbindungenZugriff auf Anwendungen, Konfigurationsaktualisierungen | ztna-connector.log |
Security Heartbeat und Synchronized Security
| Service | Protokolldatei |
|---|---|
| Endpunktstatus und Anwendungsinformationen, die an die Firewall gesendet werden | heartbeatd.log |
| Kommunikation zwischen der Firewall und Sophos Central | hbtrust.log |
| Wöchentliche Synchronized Application Control (SAC)-Datenbankoptimierung | sac-vacuum.log |
| An SophosLabs gesendete Daten | sac-feedback.log |
Notiz
Überprüfen Sie außerdem csc.log Und applog.log.
Gastgeber und Dienste
| Service | Protokolldatei |
|---|---|
| FQDN-Dienst | fqdnd.log |
| Wildcard-FQDN-Dienst | dnsgrabber.log |
Verwaltung
| Service | Protokolldatei |
|---|---|
| Lizenzierung | licensing.log |
| Apache-HTTP-Server (httpd) (Für die Webadministrationskonsole und das Benutzerportal) | apache.logapache_access.logerror_log.log |
| Jetty-Webanwendungsserver (für die Webadministrationskonsole und das Benutzerportal) | tomcat.log |
| SSH-Zugriff | sshd.log |
| VPN-Portal | vpnportal.log |
| NTP-Client | ntpclient.log |
| Net-SNMP | snmpd.log |
Backup und Firmware
| Service | Protokolldatei |
|---|---|
| Backup-Restore-Schnittstellenmapper | interfacemapping.log |
| Backup-Erstellung ohne Secure Storage Master Key | legacyconversion.log |
| Firmware-Installation und -Verwaltung | fwmgmt.log |
| API-Übersetzung zwischen JSON- und XML-Formaten | apiparser.log |
| API-Validierung | validation.log |
| API-Validierung | validationError.log |
| Systemaktualisierungen | u2d.log |
| Systemupdates für Airgap | u2d_airgap.log |
| Hotfix-Fehler | cps_messages.log |
Notiz
Überprüfen Sie zur Sicherungswiederherstellung die folgenden zusätzlichen Protokolle: applog.log Und postgres.log
Zertifikate
| Service | Protokolldatei |
|---|---|
| Zertifikate, CAs, CSRs, CRLs | vpncertificate.log |
| Let’s Encrypt-Zertifikate | letsencrypt.logapplog.log |
Gemeinsame Protokolldateien
Datenbank und andere Dienste
| Service | Protokolldatei |
|---|---|
| Signaturendatenbank | sigdb.log |
| Datenbankbereinigung beim Neustart der Firewall | dbcleanup.log |
| Leseobjekte für interne Dienste | readobject.log |
| Dateisystemtrimmung | fstrim.log |
Protokollrotation nach .gz Dateien | logrotate.log |
Migration
| Service | Protokolldatei |
|---|---|
| Konfigurationsmigration | migration.log |
| Berichtsmigration | reportmigration.log |
Bereitstellungsplattformen
Hardware
| Beschreibung | Protokolldatei |
|---|---|
| NPU-Start | npu-startup.log |
| NPU-Syslogs | npu_syslog.log |
| CPU-Auslastung und -Temperatur, Lüftergeschwindigkeit und NPU-Verwaltungsport | xgs-healthmond.log |
| NPU-Hosttreiberprotokolle während des Startvorgangs | xgs-host.log |
| NPU-Kompatibilitätsprüfung, NPU-Upgrade und NPU-Wiederherstellung | xgs-npu-fw.log |
| NPU-Serieller Anschluss | xgs-npu-serial.log |
| Erstellen der physischen Schnittstelle während des Startvorgangs | xgs-pport-wait.log |
| Software-RAID-Status | raid.log |
| LCD auf Hardware-Firewalls | lcd.log |
VMware
| Beschreibung | Protokolldatei |
|---|---|
| VMware-Tools | vmtool.log |
Notiz
Überprüfen Sie außerdem syslog.log.
Azure-Cloudbereitstellung
| Service | Protokolldatei |
|---|---|
| Konfigurationsbereitstellung und Lizenzprüfung | iaasd.log |
| Azure-Bereitstellungsagent, Bereitstellung auf Betriebssystemebene, Integritätsüberwachung | waagent.log |
FastPath-Beschleunigung
| Service | Protokolldatei |
|---|---|
| Syslogs für NPU-basiertes FastPath (Gilt nicht für XGS 88, 108, 118, 128) | npu_syslog.log |
| Syslogs für die Hostkommunikation mit NPU-basiertem FastPathSyslogs für Virtual FastPath | syslog.log |
Notiz
Weitere Informationen zu NPU-basiertem FastPath und Virtual FastPath finden Sie unter Architektur für das Offloading.