leo-le
Goto Top

Sophos UTM 9.5 Firewall Log-File durchsuchen

Hallo zusammen,

weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann?
Es gibt ja die Möglichkeit über Search Log Files einen term einzugeben, z.B. die IP. Nun möchte ich aber auch noch den Port mit dazu filtern.
Habt ihr irgendeinen Tipp für mich, wie ich hier besser Suchen kann?

Vielen Dank im Vorraus"

Content-Key: 392920

Url: https://administrator.de/contentid/392920

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.11.2018 um 15:01:43 Uhr
Goto Top
Hallo,

hatte damit noch nie Probleme, wenn deine Netze so viele False-positives Ausspucken, dass dir das nicht reicht, dann solltest du erstmal woanders ansetzen.

Viele Grüße,

Christian
Mitglied: Leo-le
Leo-le 15.11.2018 um 15:09:53 Uhr
Goto Top
Nun ja, ich kann damit ganz gut umgehen und die Sophos ist aktuell nur der Mailproxy bei uns und funktioniert da auch tadellos. Meinem Kollegen stört es extrem, dass er nicht wie bei z.B. Checkpoint ordentlich filtern kann. Es muss doch irgendwie die Möglichkeit geben, dass ich mir die IP und den Port filtern lassen kann oder?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.11.2018 um 15:43:59 Uhr
Goto Top
Wenn es nur der Mail Proxy ist, wofür dann Ports?

Deine Kollegen sollten vielleicht die Schulungen besuchen
Mitglied: Leo-le
Leo-le 15.11.2018 um 16:03:31 Uhr
Goto Top
Ich möchte die Sophos zukünftig als Hauptinstanz verwenden. Es ist nur ein Kollege und dieser ist eben den Luxus von Checkpoint gewöhnt. Du hast aber völlig recht, unbedingt benötigen tut man nicht. Schwieriges Thema... Was sagst du zur XG Variante ? Dort würde uns ein sehe brauchbares logging damals vorgestellt.
Mitglied: ArnoNymous
ArnoNymous 15.11.2018 aktualisiert um 16:07:30 Uhr
Goto Top
Moin,

über die WebGUI geht das nicht. Entweder IP oder Port. Zumindest ist mir keine Möglichkeit bekannt. Finde das Logging bei Sophos UTM generell bescheiden.
Über die Shell soll das wohl funktionieren.

Gruß
Mitglied: Leo-le
Leo-le 15.11.2018 um 16:20:09 Uhr
Goto Top
Okay, danke für die Aussage mit der WebGui. Da kann ich dort wenigstens meine Suche beenden . Wie sieht es denn dann mit einem Syslog Server aus ? Gibt es da etwas brauchbares ?

Viele Grüße !
Mitglied: Rudbert
Lösung Rudbert 15.11.2018 um 19:48:17 Uhr
Goto Top
Hey,

wir lassen die Sophos per syslog in ein Splunk Free loggen, da die Auswertemöglichkeiten der UTM wirklich nicht mehr zeitgemäß sind.

Gruss
Mitglied: Leo-le
Leo-le 15.11.2018 aktualisiert um 21:38:20 Uhr
Goto Top
Hallo Rudbert, kann mit deiner Lösung gefiltert werden ? Z.B. ip und Port ?

Viele Grüße
Mitglied: Rudbert
Lösung Rudbert 16.11.2018 um 07:00:43 Uhr
Goto Top
Hey,

ja Splunk ist ein eigenes mächtiges Log-Auswertetool; mit ein wenig Nacharbeit können die Sophos-Logs komplett nach allen Datenfelder ausgewertet werden.

Gruß
Mitglied: Leo-le
Leo-le 16.11.2018 um 07:23:03 Uhr
Goto Top
Moin, das klingt ja schon mal super. Splunk ist ja soweit ich das sehe, sogar kostenlos bis 500mb. Wie hoch ist der Aufwand splunk dafür einzurichten ?

Besten Dank und viele Grüße
Mitglied: Rudbert
Lösung Rudbert 16.11.2018 um 09:28:33 Uhr
Goto Top
Hey,

1) Splunk installieren - Normales Windows-Programm mit Dienst im Hintergrund
2) Data Input anlegen - UDP/Syslog
3) Splunk-Server als Syslog-Server in der UTM hinterlegen - Protokolle > Protokolleinstellungen > Remote-Syslog
4) Dataset in Splunk anlegen zum Felder auswerten der Sophos-spezifischen Logfiles, oder direkt über die Suche auswerten - siehe Splunk Doku

Alles in allem vielleicht 1-2 Stunden Aufwand - Splunk ist sehr gut dokumentiert, und wie du schon gesehen hast 500MB/Tag kostenlos!

Eine kostenfreie Alternative für höhere Log-Volumina wäre noch Graylog aus dem OpenSource-Bereich.

Gruß
Mitglied: Leo-le
Leo-le 16.11.2018 um 10:54:22 Uhr
Goto Top
Hallo Rudbert,

die Software übertrifft sogar meine Erwartung.
Vielen Dank! Genau sowas habe ich gebraucht, denn das tool ist noch möchtiger als die Track logger von Checkpoint.

Also vielen Dank nochmal! Mal sehen, was mein Kollege dazu sagt face-smile

Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Mitglied: 89371
89371 17.11.2018 um 04:21:30 Uhr
Goto Top
Wie schon erwähnt, nicht über die WebGUI, aber...

du kannst per SSH direkt auf den Sophos schauen bzw es von dort abholen und das Logfile mit mehreren terms durchsuchen.

https://community.sophos.com/products/unified-threat-management/f/manage ...

Es ist im Beispiel eine ODER Verknüpfung. Du kannst auch UND verknüpfen usw.
Mitglied: Rudbert
Rudbert 19.11.2018 um 07:20:50 Uhr
Goto Top
Zitat von @Leo-le:
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.

Hey, leider nicht habe nur eine Standard-Suche nach Firewall-Logs definiert - reicht für uns aus!

Gruß
Mitglied: Leo-le
Leo-le 19.11.2018 um 13:58:56 Uhr
Goto Top
Okay, das Tool ist übrigens der absolute Toptipp gewesen. Ich filtere damit aktuell FW-Logs, VPN und Web-Protection Logs. Splunk wertet die Sophos UTM um 100% auf und mein Kollege strahlt. Besten Dank nochmal!"
Mitglied: 89371
89371 19.11.2018 um 15:47:49 Uhr
Goto Top
Reicht die Splunk Free Version dafür?
Mitglied: Leo-le
Leo-le 19.11.2018 um 16:29:03 Uhr
Goto Top
Ja, nehme ich auch!
Mitglied: 89371
89371 19.11.2018 um 20:28:21 Uhr
Goto Top
Danke Dir...