Protokolldateien zur Fehlerbehebung
In der Liste der Protokolldateien finden Sie Hilfe zur Fehlerbehebung bei Problemen mit den verschiedenen Modulen.
Allgemeine Protokolldateien
Diese Protokolldateien beziehen sich auf das System und die Konfiguration. Sie sind für viele Module relevant.
Tipp
Prüfen Sie zur Fehlerbehebung zusätzlich zu den Protokolldateien des jeweiligen Moduls auch diese Protokolldateien.
| Service | Protokolldatei |
|---|---|
| Systemstart | sysinit.log |
| Konfigurationsänderungen | applog.logcsc.log |
| Konfigurationsdatenbank | postgres.log |
| Systemereignisse auf Kernel-Ebene (siehe Protokollanzeige für System- und Administrator-ausgelöste Ereignisse) | syslog.log |
| Kommunikationskanal (Nur zwischen bestimmten Komponenten, den zugehörigen Diensten und deren Ereignisprotokollen) | garner.log |
| Systemgenerierte E-Mails und Authentifizierungsprogramme | cschelper.log |
| Systemstart für Firewalls mit aktiviertem FIPS | fips.log |
| Paketerfassungs-Daemon (Sie können auch eine Paketerfassung durchführen auf Diagnostik > Paketerfassung: ) | pktcapd.log |
| Zugriff unterstützen | uma.log |
Überwachen & Analysieren
Protokolle und Berichte
| Service | Protokolldatei |
|---|---|
| Verbindungsbezogene Protokolle (basierend auf den Protokolleinstellungen der Firewall-Regeln und Protokolleinstellungen: ) | fwlog.log |
| Protokollunterdrückung für mehrere aufeinanderfolgende Einträge eines Ereignisses | syslog-ng.log |
| Neue Datenbank für Berichte (Version 21.0 und spätere Versionen) | reportdb.log |
| Alte Datenbank für Berichte | reportdb_v9.log |
| Protokollvisualisierung der Web-Administrationskonsole | iview.log |
Schützen
Firewall-Regeln und WAF-Regeln
| Service | Protokolldatei |
|---|---|
| Firewall-Regeln | firewall_rule.log |
| Web Application Firewall (WAF) | reverseproxy.logfirewall_rule.log (für einige WAF-Konfigurationsdetails) |
Regeln und Einstellungen für die Netzwerkadressübersetzung (NAT).
| Service | Protokolldatei |
|---|---|
| NAT-Regeln | nat_rule.log |
| NAT-Einstellung in Site-to-Site-IPsec-Verbindungen | charon.log |
| CLI-NAT-Befehl | applog.log |
Notiz
Wenn ein Link-Load-Balancing stattfindet, überprüfen Sie das folgende zusätzliche Protokoll auf DNAT-Probleme: dgd.log.
Antivirus
Die Sophos Firewall nutzt Avira und Sophos Antivirus.
| Service | Protokolldatei |
|---|---|
| Antivirendienst | avd.log |
| Antivirus-Updates | up2date_av.log |
| Zero-Day-Schutz | sandboxd.log |
IPS- und Anwendungsfilter
| Service | Protokolldatei |
|---|---|
| Intrusion Prevention System (IPS) Verschlüsselung und Entschlüsselung des Webverkehrs bei Verwendung der DPI-Engine Anwendungsfilter Aktive Bedrohungsabwehr | ips.log |
| Temporärer Cache kategorisierter Anwendungen, bevor diese in der Datenbank gespeichert werden. | appcached.log |
| Signatur-Upgrade für IPS und Anwendungen | sig_upgrade.log |
| Signaturmigration für IPS und Anwendungen | sigmigration.log |
| Speicherinitialisierung für FastPath (Gilt nicht für XGS 88/88w, 108/108w, 118/118w und 128/128w) | setup_vf_dpdk.log |
Web und FTP
Gängige Weblogs
| Service | Protokolldatei |
|---|---|
| Webkategorisierung und IP-Reputation | nSXLd.log |
| Kategorieaktualisierungen | catUpdateLog |
SSL/TLS-Prüfung
Die SSL/TLS-Prüfung erfolgt im Deep Packet Inspection (DPI)-Modus.
| Service | Protokolldatei |
|---|---|
| Verschlüsselung und Entschlüsselung bei Verwendung der DPI-Engine | ips.log |
| Unentschlüsselte HTTPS-Verbindungen bei Verwendung der DPI-Engine | httplogd.log |
Web-Proxy und FTP
| Service | Protokolldatei |
|---|---|
| HTTP- und HTTPS-Datenverkehr bei Verwendung eines Webproxys | awarrenhttp.log |
| Protokolle einzelner Anfragen bei Verwendung eines Webproxys |
Um dieses Protokoll zu generieren, müssen Sie Folgendes ausführen: |
| FTP-Proxy | ftpproxy.log |
| FTP über HTTP-Proxy | skein.log |
Notiz
Die Sophos Firewall blockiert stets Webseiten, die als höchst anstößige kriminelle Aktivitäten eingestuft werden, und verbirgt den Domainnamen in Protokollen und Berichten.
Drahtlos
| Service | Protokolldatei |
|---|---|
| AP- und APX-Kommunikation mit der Firewall | awed.log |
| Drahtlose Client-Kommunikation mit AP und APX | wc_remote.log |
| SSID im Zusammenhang mit LocalWifi | hostapd.log |
| Hotspot-Veranstaltungen | hotspotd.log |
| Service | Protokolldatei |
|---|---|
| SMTP-transparenter Proxy (Legacy-Proxy) | awarrensmtp.log |
| POP/IMAP-Proxy | warren.log |
| SMTP MTA-Modus-Proxy | smtpd_main.log |
| E-Mail-Ablehnungsereignisse (SMTP MTA-Modus-Proxy) | smtpd_reject.log |
| E-Mail-Scanfehlerereignisse (SMTP MTA-Modus-Proxy) | smtpd_error.log |
| Interne Fehler (SMTP MTA-Modus-Proxy) | smtpd_panic.log |
| Anti-Spam: Um den Anti-Spam-Dienst zu starten, ist eine Richtlinie für eingehenden oder ausgehenden Spam erforderlich. | sasi.log |
Reaktion auf aktive Bedrohungen
MDR und Bedrohungsfeeds von Drittanbietern
| Service | Protokolldatei |
|---|---|
Lizenzstatus Konfigurationsstatus | atr.log |
| Dienstinitialisierung und -beendigung | atr-service.log |
NDR-Grundlagen
| Service | Protokolldatei |
|---|---|
| Lizenzierung, Konfiguration und Initialisierung des Agentendienstes | ndr.log |
| Dienstinitialisierung, Metadatenverarbeitung | ndr_agent.log |
Metadaten, die von FastPath an NDR Essentials zur Verarbeitung gesendet werden Gilt nur für XGS-Geräte mit 88/88 W, 108/108 W, 118/118 W und 128/128 W. | vfpdf.log |
Notiz
Firewall-Regeln, DNS, IPS und Webmodule implementieren eine aktive Bedrohungsabwehr basierend auf der Art der Indikatoren für eine Kompromittierung (IoC). Weitere Informationen finden Sie unter [Link einfügen]. Wie andere Module Bedrohungsfeeds implementieren.
Prüfen Sie bei IP-Adressen-IoCs auch die Firewall-Regelprotokolldatei.
Prüfen Sie für Domains und URL-IoCs auch die Firewall-Regeln, DNS, SSL/TLS-Inspektion und Web-Proxy-Protokolldateien.
Konfigurieren
VPN
IPsec-VPN
Die Sophos Firewall nutzt strongSwan für Site-to-Site- und Remote-Access-IPsec-VPN.
| Service | Protokolldatei |
|---|---|
| IPsec-Dienst und Verbindungen | strongswan.log |
| IPsec-Dienstüberwachung | ipsec_monitor.log |
| IPsec-VPN-Dienst | charon.log |
| Verbindungsspezifische Aktionen zum Aktivieren, Deaktivieren und Verbinden der Tunnel (in der Web-Administrationskonsole) | /log/ipsec_conn/ipsec_<connectionname>.log |
| XFRM-Tunnelschnittstellen | xfrmi.log |
SSL-VPN
Die Sophos Firewall nutzt OpenVPN für Site-to-Site- und Remote-Access-SSL-VPN.
| Service | Protokolldatei |
|---|---|
| SSL-VPN-Dienst | sslvpn.log |
| Aktive SSL-VPN-Verbindungen | openvpn-status0.logEs werden individuelle Protokolldateien basierend auf der Anzahl der Prozesse erstellt, zum Beispiel openvpn-status1.log |
| Benutzerbezogene Zertifikate generiert | peruser_cert_sslvpn.log |
Sophos Connect
Erfahren Sie mehr über den vom Sophos Connect-Client generierten technischen Supportbericht und die darin enthaltenen Dateien.
Andere VPNs für den Fernzugriff
| Service | Protokolldatei |
|---|---|
| Clientloser SSL-VPN-Client | clientless_access.log |
| L2TP | l2tpd.log |
| PPTP | pptpvpn.log |
Notiz
Zur Authentifizierung von VPN-Benutzern prüfen Sie Folgendes: access_server.log.
Für VPN-Portale prüfen Sie vpnportal.log.
Netzwerk
| Service | Protokolldatei |
|---|---|
| Physische und virtuelle Schnittstellen | networkd.log |
| WAN-Verbindungsmanagement, Gateway-Management, Verbindungsausfall, VPN-Ausfall, DNAT | dgd.log |
| DHCP-Server | dhcpd.log |
| DHCPv6-Server | dhcpd6.log |
| IPv6-Router-Werbung | radvd.log |
| DHCP-Relay | dhcprelay.log |
| DNS | dnsd.log |
| DDNS | ddc.log |
ROT
| Service | Protokolldatei |
|---|---|
| RED-Service für alle konfigurierten RED-Geräte, einschließlich Site-to-Site-RED und SD-RED. | red.log |
| Speziell für das SD-RED-Gerät | red-<serial ID of RED>.log |
| Speziell für die Site-to-Site-RED-Konfiguration | red-<RED ID>.logUm die RED ID zu sehen, gehen Sie zu Netzwerk > Schnittstellen und klicken Sie auf das entsprechende Site-to-Site-Symbol (ROT). |
Mobilfunk-WAN
| Service | Protokolldatei |
|---|---|
| WWAN (Einstecken und Entfernen von USB-Geräten) | modemd.log |
| Modembezogene Netzwerkkonfigurationen | networkd.log |
| Systemprotokolle für USB, Modem und PPP (Point-to-Point-Protokoll) | syslog.log |
Routing
Dynamische Routen
| Service | Protokolldatei |
|---|---|
| BGP und BGP-IPv6 | bgpd.log |
| OSPF | ospfd.log |
| OSPFv3 | ospf6d.log |
| RUHE IN FRIEDEN | ripd.log |
| Multicast (PIM-SM) | pimd.log |
| Installiert dynamische IPv4- und IPv6-Routen im Kernel | zebra.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter: csc.log.
Für HA-Protokolle prüfen Sie ha.log, msync.log, Und applog.log.
Statische Routen
| Service | Protokolldatei |
|---|---|
| Unicast-Routen | staticd.log |
| Installiert statische IPv4-Unicast-Routen im Kernel | zebra.log |
| Multicast-Routen | mrouting.log |
Notiz
Informationen zu Opcodes und zum Neustart des Dienstes finden Sie unter: csc.log.
Für HA-Protokolle prüfen Sie ha.log, msync.log, Und applog.log.
SD-WAN-Routen
| Service | Protokolldatei |
|---|---|
| Anwendungsbasiertes Routing | appcached.log |
Notiz
Prüfen Sie außerdem applog.log, csc.log, Und dgd.log.
Wenn SD-WAN-Routen mit IPsec-VPN verwendet werden, überprüfen Sie die IPsec-Protokolle.
Authentifizierung
| Service | Protokolldatei |
|---|---|
| Benutzerauthentifizierung, Autorisierung und Abrechnung | access_server.log |
| Anmeldung über das Captive Portal mit SSO | oauth_sso_captive.log |
| Anmeldung an der Web-Administrationskonsole mit SSO | oauth_sso_webadmin.log |
| VPN-Portal, IPsec und SSL-VPN-Anmeldung mit SSO | oauth_sso_vpn.log |
| Chromebook SSO | chromebook-sso-backend.log |
| Chromebook SSO-Workflow | csd.log |
| NTLM-Authentifizierung | nasm.log |
Hohe Verfügbarkeit
| Beschreibung | Protokolldatei |
|---|---|
| Conntrack-Synchronisierungsdienst | ctsyncd.log |
| HA-Synchronisierungsdienst | msync.log |
| Erfolg und Misserfolg bei der Etablierung von HA, Übergänge im HA-Status | ha.log |
| Peer-HA-Geräteerkennung im QuickHA-Modus | ha_pair.log |
| SSH-Tunnelverbindung (zwischen den HA-Geräten über die dedizierte Verbindung) | ha_tunnel.log |
| Dateisynchronisierung mit dem Hilfsgerät (Gilt für einige Dienste, wie z. B. dynamische Routen und DHCP) | filesync.log |
Notiz
Jedes HA-Gerät speichert nur die Protokolle und Berichte für den von ihm verarbeiteten Datenverkehr. Um die konsolidierten Berichte beider Geräte anzuzeigen, können Sie Sophos Central Firewall Reporting (CFR) verwenden.
Um die Fehlerbehebungsprotokolle des Hilfsgeräts anzuzeigen, melden Sie sich über die IP-Adresse oder den FQDN der Verwaltungsschnittstelle an dessen CLI an.
Verkehrsgestaltung
| Service | Protokolldatei |
|---|---|
| Bandbreitenmanagement (QoS)-Ereignisse | bwm.log |
System
Sophos Central
Sophos Central-Dienste
| Service | Protokolldatei |
|---|---|
| Zonen- und Schnittstelleninformationen werden an Sophos Central gesendet (werden in dynamischen Objekten in Sophos Central verwendet). | fwcm-eventd.log |
| Firewall-Konnektivität mit Sophos Central | fwcm-heartbeatd.log |
| Die Konfiguration wurde von Sophos Central an die Firewall übertragen. | fwcm-updaterd.log |
| MDR-Analyse an die Firewall übertragen | fwcm-api-executor.log |
| Informationen zum Firmware-Upgrade der Firewall in Sophos Central. Firewall-Backups wurden in Sophos Central erstellt. | ssod.log |
| Schneller Reverse-Proxy (Wenn in Sophos Central mehr als eine Firewall gleichzeitig geöffnet ist) | fwcm-frpcd.log |
Bereitstellung und Registrierung
| Service | Protokolldatei |
|---|---|
| Echte Zero-Touch-Bereitstellung, gesteuerte Zero-Touch-Bereitstellung | zt.logfwcm-heartbeatd.log |
Zero-Touch-Bereitstellung über USB (fwcm-heartbeatd.log (wird bei dieser Bereitstellung nicht angezeigt) | zerotouch.log |
| Firewall-Registrierung bei Sophos Central; Generierung eines Zugriffstokens für die Firewall zur Kommunikation mit Sophos Central | sophos-central.log |
| Sophos Central Management und Reporting sind in der Firewall aktiviert. | centralmanagement.log |
Notiz
Prüfen Sie für die Kommunikation zwischen der Firewall und Sophos Central, ob … hbtrust.log.
Prüfen Sie die vom Firewall generierten Ereignisse und die Informationen, die er an Sophos Central sendet. garner.logÜberprüfen Sie in Garner die SCM-Plugin-Protokolle für die zentrale Verwaltung und die CR-Plugin-Protokolle für die zentrale Berichterstellung.
Informationen zum Firmware-Upgrade und weitere Details finden Sie hier: csc.log.
Informationen zur Firewall-Registrierung und -Deregistrierung bei Sophos Central finden Sie unter: applog.log
Zero Touch Network Access (ZTNA)
| Service | Protokolldatei |
|---|---|
| Sophos Central-Kundenkonto und ZTNA-Connector-IDs, Status des ZTNA-Connectors, ZTNA-Tunnelverbindungen, aufgerufene Anwendungen, Konfigurationsaktualisierungen | ztna-connector.log |
Sicherheits-Heartbeat und synchronisierte Sicherheit
| Service | Protokolldatei |
|---|---|
| Endpunktstatus und Anwendungsinformationen werden an die Firewall gesendet. | heartbeatd.log |
| Kommunikation zwischen der Firewall und Sophos Central | hbtrust.log |
| Wöchentliche Optimierung der SAC-Datenbank (Synchronized Application Control). | sac-vacuum.log |
| An SophosLabs gesendete Daten | sac-feedback.log |
Notiz
Prüfen Sie außerdem csc.log Und applog.log.
Gastgeber und Dienstleistungen
| Service | Protokolldatei |
|---|---|
| FQDN-Dienst | fqdnd.log |
| Wildcard-FQDN-Dienst | dnsgrabber.log |
Verwaltung
| Service | Protokolldatei |
|---|---|
| Lizenzierung | licensing.log |
| Apache HTTP-Server (httpd) (Für die Web-Administrationskonsole und das Benutzerportal) | apache.logapache_access.logerror_log.log |
| Jetty Web Application Server (Für die Web-Administrationskonsole und das Benutzerportal) | tomcat.log |
| SSH-Zugriff | sshd.log |
| VPN-Portal | vpnportal.log |
| NTP-Client | ntpclient.log |
| Net-SNMP | snmpd.log |
Backup und Firmware
| Service | Protokolldatei |
|---|---|
| Schnittstellenzuordnung für Backup und Wiederherstellung | interfacemapping.log |
| Backup-Generierung ohne Secure Storage Master Key | legacyconversion.log |
| Firmware-Installation und -Verwaltung | fwmgmt.log |
| API-Übersetzung zwischen JSON- und XML-Formaten | apiparser.log |
| API-Validierung | validation.log |
| API-Validierung | validationError.log |
| Systemaktualisierungen | u2d.log |
| Systemaktualisierungen für Airgap | u2d_airgap.log |
| Hotfix-Fehler | cps_messages.log |
Notiz
Prüfen Sie für die Datensicherung und -wiederherstellung die folgenden zusätzlichen Protokolle: applog.log Und postgres.log
Zertifikate
| Service | Protokolldatei |
|---|---|
| Zertifikate, Zertifizierungsstellen, CSRs, CRLs | vpncertificate.log |
| Let's Encrypt-Zertifikate | letsencrypt.logapplog.log |
Allgemeine Protokolldateien
Datenbank und andere Dienste
| Service | Protokolldatei |
|---|---|
| Signaturdatenbank | sigdb.log |
| Datenbankbereinigung beim Neustart der Firewall | dbcleanup.log |
| Objekte für interne Dienste lesen | readobject.log |
| Dateisystembereinigung | fstrim.log |
Logrotation zu .gz Dateien | logrotate.log |
Migration
| Service | Protokolldatei |
|---|---|
| Konfigurationsmigration | migration.log |
| Berichtsmigration | reportmigration.log |
Bereitstellungsplattformen
Alle Plattformen
Alle Plattformen umfassen Hardware-, virtuelle, Cloud- und Software-Firewalls.
| Beschreibung | Protokolldatei |
|---|---|
| Umfassender Systemstatus bei hoher CPU-Auslastung | system-monitor/cpu_trigger.log |
Hardware
| Beschreibung | Protokolldatei |
|---|---|
| NPU-Start | npu-startup.log |
| NPU-Syslogs | npu_syslog.log |
| CPU-Auslastung und -Temperatur, Lüfterdrehzahl und NPU-Management-Port | xgs-healthmond.log |
| NPU-Hosttreiberprotokolle während des Startvorgangs | xgs-host.log |
| NPU-Kompatibilitätsprüfung, NPU-Upgrade und NPU-Wiederherstellung | xgs-npu-fw.log |
| NPU-Serieller Anschluss | xgs-npu-serial.log |
| Erstellung der physikalischen Schnittstelle während des Startvorgangs | xgs-pport-wait.log |
| Software-RAID-Status | raid.log |
| LCD auf Hardware-Firewalls | lcd.log |
VMware
| Beschreibung | Protokolldatei |
|---|---|
| VMware Tools | vmtool.log |
Notiz
Prüfen Sie außerdem syslog.log.
Azure-Cloud-Bereitstellung
| Service | Protokolldatei |
|---|---|
| Konfigurationsbereitstellung und Lizenzprüfung | iaasd.log |
| Azure-Bereitstellungsagenten-Bereitstellung auf Betriebssystemebene, Zustandsüberwachung | waagent.log |
FastPath-Beschleunigung
| Service | Protokolldatei |
|---|---|
| Syslogs für NPU-basiertes FastPath (Gilt nicht für XGS 88/88w, 108/108w, 118/118w und 128/128w) | npu_syslog.log |
| Syslogs für die Host-Kommunikation mit NPU-basiertem FastPath; Syslogs für Virtual FastPath | syslog.log |
Notiz
Weitere Informationen zu NPU-basiertem FastPath und Virtual FastPath finden Sie unter Architektur für die Auslagerung.