Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=system-services-log-settings

Protokolleinstellungen

Die Sophos Firewall stellt Ereignisprotokolle für die Schutzfunktionen Datenverkehr, System und Netzwerk bereit. Mithilfe dieser Protokolle können Sie die Netzwerkaktivität analysieren und Sicherheitsprobleme identifizieren.

Um die Protokolleinstellungen anzuzeigen oder zu ändern, gehen Sie zu Systemdienste > Protokolleinstellungen.

Ereignisprotokolle

Sie können die Protokolltypen auswählen, um die Protokolle lokal zu speichern und im Log-Viewer anzuzeigen oder sie an Sophos Central oder externe Syslog-Server zu senden.

Sie können die zu speichernden oder zu sendenden Protokolle nach Modul oder Funktion auswählen, oder Sie können alle Protokolle auswählen.

  1. Um die Protokolle für den Datenverkehr, der den folgenden Regeln entspricht, zu speichern, gehen Sie wie folgt vor:

    • Firewall-Regeln: Auswählen Firewall-Verkehr protokollieren in jeder Regel.
    • SSL/TLS-Prüfregeln: Auswählen Verbindungen protokollieren in jeder Regel.

  2. Um sicherzustellen, dass die gespeicherten Protokolle lokal angezeigt oder extern gesendet werden, gehen Sie zu Systemdienste > Protokolleinstellungen und wählen Sie die Protokolltypen unter Protokolleinstellungen wie folgt:

    • Protokollanzeige: Unter Lokale Berichterstattung
    • Sophos Central: Unter Central-Berichterstattung
    • Syslog-Server: Unter den Syslog-Servern, die Sie konfigurieren

Select the log types under Local, Central reporting, and syslog servers.

Lokal

Um Ereignisprotokolle lokal zu speichern und sie im anzuzeigen Protokollanzeige: Wählen Sie die Protokolltypen unter Lokale Berichterstattung.

Notiz

Diese Protokolle werden im Protokoll-Viewer angezeigt. Es handelt sich nicht um Berichte, die vom System selbst erstellt werden. Informationen zum Aktivieren oder Deaktivieren der Berichtsfunktion finden Sie unter Kontinuierliche Generierung von Anwendungsberichten.

Zentrale Berichterstattung

Um Protokolle an Sophos Central zu senden, müssen Sie die Sophos Central-Seite aufrufen und die entsprechende Option aktivieren. Sophos Central-Dienste. Sehen Sophos Central-Dienste im Überblick.

Auf der Seite „Protokolleinstellungen“ können Sie die Protokolltypen ändern, die an Sophos Central gesendet werden sollen. Zentrale Berichterstattung.

Die Auswahl gilt nur für Protokolle. Sie gilt nicht für Berichte.

Syslog-Server

Sie können bis zu fünf Syslog-Server konfigurieren, an die die Ereignisprotokolle gesendet werden. Die Firewall leitet diese Protokolle an die Server weiter. Das Syslog-Protokoll verwendet üblicherweise UDP-Port 514 für die Kommunikation.

Syslog-Server bieten eine zentrale Protokollierungseinrichtung und einen langfristig geschützten Speicher für Ereignisprotokolle.

Um Protokolle an einen Syslog-Server zu senden, klicken Sie hier. Hinzufügen und geben Sie die Details des Syslog-Servers an. Der Syslog-Server wird auf der Seite mit den Protokolleinstellungen angezeigt.

Notiz

Für eine TLS-Verbindung zum Syslog-Server im LINCE-Modus muss der allgemeine Name (CNAME) oder der alternative Antragstellername (SAN) des Zertifikats mit der Domäne des Syslog-Servers übereinstimmen. Wenn LINCE deaktiviert ist, überprüft die Firewall lediglich den CNAME.

Protokollunterdrückung

Sie können Protokolleinträge unterdrücken und so mehrere aufeinanderfolgende Einträge für ein Ereignis entfernen. Die Unterdrückung von Protokolleinträgen spart Speicherplatz und Rechenleistung.

Die Funktion gilt für Protokolle, die an den Log-Viewer, Sophos Central und Syslog-Server von Drittanbietern gesendet werden.

  • Unter Protokolle unterdrücken, wählen Alle Alle Protokolle unterdrücken. Derzeit können Sie die Protokolle nur unter folgendem Pfad unterdrücken: Firewall.
  • Die Anzahl der Protokolleinträge für ein Ereignis können Sie unter folgendem Link einsehen: Protokollauftreten im Log-Viewer.

Protokolltyp

Firewall: Informationen über den mit der Firewall-Konfiguration verbundenen Datenverkehr, wie z. B. Firewall-Regeln, MAC-Filterung und DoS-Angriffe.

IPS: Protokolle erkannter und abgebrochener Angriffe basierend auf unbekannten oder verdächtigen Mustern (Anomalien) und Signaturen.

Antivirus: Details zu Viren, die im HTTP-, SMTP-, FTP-, POP3-, IMAP4-, HTTPS-, SMTPS-, IMAPS- und POPS-Datenverkehr erkannt wurden.

Anti-Spam: Details zu SMTP-, POP3-, IMAP4-, SMTPS-, POPS- und IMAPS-Spam-E-Mails sowie wahrscheinlichen Spam-E-Mails.

Inhaltsfilterung: Details zu Web- und Anwendungsfilterereignissen, wie z. B. solchen, die mit Webrichtlinien verknüpft sind.

Notiz

Um Ereignisse anzuzeigen, die mit einer Webrichtlinie verknüpft sind, müssen Sie Folgendes auswählen: Firewall-Verkehr protokollieren in der zugehörigen Firewall-Regel.

Veranstaltungen: Informationen über Konfiguration, Authentifizierung und Systemaktivitäten.

Webserverschutz: Details zu den Schutzmaßnahmen des Webservers, wie z. B. Schutzrichtlinien.

Reaktion auf aktive Bedrohungen: Informationen über protokollierten und blockierten Datenverkehr basierend auf MDR-Bedrohungsfeeds, NDR Essentials, Sophos X-Ops-Bedrohungsfeeds und Bedrohungsfeeds von Drittanbietern.

Drahtlos: Details zur Aktivität der Zugangspunkte und zu den SSIDs.

Notiz

Unter Lokale Berichterstattung, Zugangspunkte & SSID Die Auswahl ist standardmäßig deaktiviert, da WLAN-Protokolle im Protokoll-Viewer nicht verfügbar sind. Sie können WLAN-Protokolle anzeigen, indem Sie sie an Sophos Central oder Syslog-Server senden.

Herzschlag: Informationen über den Gesundheitszustand der Endpunkte.

Systemgesundheit: Details zur CPU-Auslastung, Speichernutzung, Anzahl der aktiven Benutzer, Schnittstellen und Festplattenpartitionen.

Zero-Day-Schutz: Protokolle aller Zero-Day-Schutzereignisse.

SD-WAN: Protokolle der SD-WAN-Profil-, SLA- und Routennutzung.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen