Titel: Sophos Firewall Logs richtig lesen: Admin-Guide für schnelle Fehleranalyse
Wenn Webseiten nicht laden, VPN-Verbindungen fehlschlagen oder eine Portweiterleitung nicht wie erwartet funktioniert, beginnt die Fehlersuche auf der Sophos Firewall meist bei den Logs. Genau dort entstehen jedoch häufig Missverständnisse: Ein einzelner Logeintrag zeigt nicht immer die vollständige Ursache.
Sophos Firewall stellt Event Logs für Traffic, Systemfunktionen und Network Protection bereit. Diese Logs können lokal im Log Viewer angezeigt oder an Sophos Central beziehungsweise externe Syslog-Server gesendet werden. Damit Logs sichtbar werden, müssen die passenden Logtypen unter System services > Log settings aktiviert sein. Für Firewall-Regeln muss zusätzlich Log firewall traffic aktiv sein; für SSL/TLS Inspection Rules nennt Sophos die Option Log connections.
Sophos Firewall Logs richtig lesen: Fehler schneller finden und beheben
Viele Fehlerbilder sehen für Anwender gleich aus: Eine Webseite ist nicht erreichbar, ein Dienst antwortet nicht, ein VPN-Tunnel baut sich nicht auf oder ein Zugriff wird blockiert. Technisch können dahinter jedoch unterschiedliche Ursachen stehen, etwa Firewall-Regeln, NAT, Webfilter, SSL/TLS Inspection, IPS, Authentication, VPN, DNS, Routing oder Sophos Central-Kommunikation.
Logs helfen dabei, diese Bereiche voneinander zu trennen. Entscheidend ist, nicht nur die erste sichtbare Meldung zu bewerten, sondern das richtige Modul und den passenden Logkontext zu prüfen.
Log Viewer: Der schnelle Einstieg
Der Log Viewer zeigt Event Logs und aktualisiert sich automatisch mit neuen Ereignissen. Er wird in der Web Admin Console oben rechts über Log viewer geöffnet und erscheint in einem eigenen Vollbildfenster.
Im Log Viewer können Administratoren Module auswählen, zwischen Standard- und Detailansicht wechseln, Spalten hinzufügen oder entfernen, die automatische Aktualisierung pausieren, Logs manuell aktualisieren und Logs als CSV exportieren. Außerdem unterstützt der Log Viewer Filter nach Modul, Zeit, Feld/Wert sowie Freitextsuche, zum Beispiel nach Ports, IP-Adressen, Benutzernamen oder Regeln.
Besonders wichtig ist die Detailansicht. Sophos weist darauf hin, dass bei übersetzten Quelladressen in der Standardansicht die MASQ-Adresse als ausgehende Adresse erscheinen kann. Die tatsächlich übersetzte Quelladresse ist dann in der Detailansicht über src_trans_ip sichtbar
Wann Sessions geloggt werden
Nicht jede Verbindung erscheint automatisch so im Log, wie man es erwartet. Sophos beschreibt, dass Firewall-Regeln Sessions dann loggen, wenn die Firewall ein Connection Destroy Event erhält und die Verbindung schließt. Wird eine Verbindung beendet, ohne dass die Firewall ein solches Ereignis erhält, beispielsweise bei Verlust der Internetverbindung, wird die Session nicht entsprechend geloggt. SSL/TLS-Verbindungen werden nach abgeschlossenem Handshake und beim Schließen der Verbindung geloggt.
Das ist besonders wichtig bei sporadischen Fehlern, kurzen Verbindungsabbrüchen oder Anwendungen, die Verbindungen selbstständig beenden.
Log Viewer vs. CLI
| Bereich | Log Viewer | CLI / Advanced Shell | |
| Zweck | Schnelle Analyse von Event Logs | Detaillierte Analyse einzelner Logdateien | |
| Web Admin ConsoleSchnelle Analyse von Event Logs | CLI > Device Management > Advanced Shell | |
| Nutzung | Filter nach IP, Port, User, Regel, Modul | tail, grep, less, Debugging | |
| Stärke | Übersicht und schnelle Eingrenzung | Tiefe technische Prüfung | |
| Ausgabe | Event Logs, CSV | Logdateien unter /log |
Der Log Viewer eignet sich für die erste Eingrenzung. Die CLI ist sinnvoll, wenn einzelne Dienste, Modul-Logs oder Live-Ausgaben benötigt werden.
Zugriff auf die Sophos Firewall CLI
Sophos beschreibt zwei Wege zur CLI: lokal per Konsolenkabel oder remote über das Netzwerk. Für SSH muss unter Administration > Device access > Local service ACL der SSH-Zugriff für die benötigte Zone aktiviert sein. Für die CLI Console über die Web Admin Console muss HTTPS für die jeweilige Zone erlaubt sein. Inaktive SSH-Sitzungen werden laut Sophos nach 15 Minuten geschlossen.
Sophos beschreibt zwei Wege zur CLI: lokal per Konsolenkabel oder remote über das Netzwerk. Für SSH muss unter Administration > Device access > Local service ACL der SSH-Zugriff für die benötigte Zone aktiviert sein. Für die CLI Console über die Web Admin Console muss HTTPS für die jeweilige Zone erlaubt sein. Inaktive SSH-Sitzungen werden laut Sophos nach 15 Minuten geschlossen.
Nach der Anmeldung erscheint das CLI-Hauptmenü mit Bereichen wie Network Configuration, System Configuration, Route Configuration, Device Console, Device Management und VPN Management.
Für Troubleshooting-Logs beschreibt Sophos folgenden Weg: In der CLI anmelden, 5 Device Management auswählen, anschließend 3 Advanced Shell öffnen und mit cd /log in das Logverzeichnis wechseln.
Typische Befehle sind:
- cd /log
- tail -f ips.log
- grep error ips.log
- less ips.log
- tail -f ips.log | grep 10.10.10.10
Mit tail -f .log lassen sich aktuelle Logeinträge live anzeigen. Mit grep kann nach Begriffen, IP-Adressen oder Zeitangaben gesucht werden. Sophos nennt außerdem Befehle, um Dienste zu starten, zu stoppen, neu zu starten oder im Debug-Modus auszuführen.
Beispiel:
- service ips:debug -ds nosync
- service -S | grep ips
- Typische Log-Meldungen richtig einordnen
Allowed bedeutet nicht immer vollständig erlaubt
Bei Web-Traffic auf Port 80 und 443 kann ein Firewall-Log auf den ersten Blick irreführend wirken. Sophos beschreibt, dass Traffic an den Web Proxy übergeben werden kann. Dann kann im Firewall-Log allowed erscheinen, während der Web Filter den Zugriff als blocked zeigt.
Deshalb gilt: Bei Webproblemen nicht nur den Firewall-Log prüfen, sondern zusätzlich Webfilter und gegebenenfalls SSL/TLS Inspection betrachten.
Dropped und Rejected unterscheiden
Bei Drop werden Pakete verworfen. Bei Reject werden Pakete zurückgewiesen. Für Web-Traffic auf Port 80 und 443 kann zusätzlich der Web Proxy beziehungsweise Web Filter beteiligt sein. Entscheidend ist daher immer, welche Komponente die Entscheidung getroffen hat.
Invalid Traffic im Kontext bewerten
Sophos Firewall nutzt Connection Tracking. Wenn ein Paket zu keiner aktuellen Verbindung passt, kann es als Invalid Traffic Event erscheinen. Sophos weist außerdem darauf hin, dass mehrere TCP-RST- und TCP-FIN-Pakete verworfen und als Invalid Traffic Events protokolliert werden können.
Wichtige Sophos Firewall Logdateien
Sophos stellt eine offizielle Übersicht zu Troubleshooting-Logdateien bereit. Allgemeine System- und Konfigurationslogs sollen zusätzlich zu den spezifischen Modul-Logs geprüft werden.
| Bereich | Relevante Logdateien |
| Verbindungsbezogene Logs | fwlog.log |
| Firewall-Regeln | firewall_rule.log |
| NAT-Regeln | nat_rule.log |
| DNAT / Gateway | dgd.log |
| IPS / Application Filter / Active Threat Response | ips.log, appcached.log, sig_upgrade.log |
| Web-Kategorisierung / IP-Reputation | nSXLd.log, catUpdateLog |
| SSL/TLS Inspection im DPI-Modus | ips.log, httplogd.log |
| Web Proxy | awarrenhttp.log, awarrenhttp_access.log |
| IPsec VPN | strongswan.log, ipsec_monitor.log, charon.log, /log/ipsec_conn/ipsec_.log |
| SSL VPN | sslvpn.log, openvpn-status0.log |
| Authentication | access_server.log |
| Netzwerk / Interfaces | networkd.log |
| DHCP / DNS | dhcpd.log, dhcpd6.log, dnsd.log |
| System / Konfiguration | syslog.log, applog.log, csc.log, postgres.log |
Für IPsec VPN nutzt Sophos Firewall laut Dokumentation strongSwan. Relevante Logdateien sind unter anderem strongswan.log, ipsec_monitor.log, charon.log und verbindungsspezifische Logs unter /log/ipsec_conn/ipsec_.log. Für SSL VPN nennt Sophos OpenVPN sowie unter anderem sslvpn.log und openvpn-status0.log.
Für Webprobleme sind häufig mehrere Logs relevant. Sophos nennt unter anderem nSXLd.log für Web-Kategorisierung, ips.log und httplogd.log für DPI-bezogene Verarbeitung sowie awarrenhttp.log und awarrenhttp_access.log für Web-Proxy-Traffic.
Configuration Viewer als Ergänzung
Logs zeigen, was passiert ist. Der Configuration Viewer hilft dabei zu verstehen, welche Konfiguration dahintersteht.
Sophos beschreibt den Configuration Viewer als browserbasiertes Werkzeug, mit dem Firewall-Konfigurationen lesbar angezeigt und zwei Konfigurationsdateien verglichen werden können. Die Analyse läuft laut Sophos lokal im Browser; Konfigurationsdaten werden nicht außerhalb des Browsers hochgeladen oder geteilt.
Der Configuration Viewer kann Regeln, Policies und Einstellungen anzeigen, zwei Konfigurationen vergleichen, hinzugefügte, entfernte, geänderte und unveränderte Einträge hervorheben, Objektverwendungen anzeigen und Reports als HTML exportieren. Für die Nutzung muss die Datei Entities.xml aus der Firewall exportiert werden, unter Backup & firmware > Import export.
Troubleshooting-Workflow für Administratoren
1. Problem eingrenzen
Klären Sie zuerst:
- Welche Quell-IP ist betroffen?
- Welche Ziel-IP oder Domain wird aufgerufen?
- Welcher Port und welches Protokoll werden genutzt?
- Wann trat der Fehler auf?
- Betrifft es einen Benutzer, ein Netz oder mehrere Standorte?
2. Log Viewer prüfen
Starten Sie mit Zeitfilter, Modulfilter, Quell-IP, Ziel-IP, Port, Benutzername und Regelname. Der Log Viewer eignet sich ideal, um die beteiligte Komponente einzugrenzen. Die Filtermöglichkeiten nach Modul, Zeit, Feld/Wert und Freitextsuche sind offiziell von Sophos dokumentiert.
3. Passende Logdatei bestimmen
Je nach Fehlerbild sollten die passenden Modul-Logs geprüft werden:
| Fehlerbild | Zuerst prüfen |
7 Jahre Technischer Support
Zertifizierung:
- Sophos MDR Sales Consultant
- Sophos Firewall Sales Consultant
- Sophos Central Sales Consultant
- Sophos Central Engineer
- Sophos Central Technician
- Sophos Central Architect
- Sophos Firewall Engineer
- Sophos Firewall Technician
- Sophos Firewall Architect