Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 9 subscribers
  • Views 1579 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 210: Wo finde ich das Netzwerktraffic-Log, das älter als eine Woche ist?

XG_User_2021

Hallo zusammen,

ich habe aktuell ein Fall, bei dem ich bei einer Sophos XG210 (SFOS 19.5.2 MR-2-Build624) herausfinden sollte, wer am 24.08. auf ein bestimmtes Gerät hinter einem SSL-S2S-VPN-Tunnel zugegriffen hat.

Im Log-Viewer der Firewall geht das Log aber nur maximal bis zum 07.09.2023 zurück (Stand jetzt). Ich habe schon gesehen, dass es unterschiedliche Log-Dateien auf der Sophos gibt und man diese über die CLI finden kann: Sophos Docu. Allerdings habe ich darunter bis jetzt kein Log des Netzwerktraffics gefunden, dass mir genau so wie der Log-Viewer zeigt, wo welcher Netzwerktraffic über welche Firewallregel ging.

Gibt es hier ein Log dazu, was weiter als der Log-Viewer in die Vergangenheit reicht? Gibt es einen Weg über Sophos Central?
Oder müsste man eventuell eine VM mit Sophos OS aufsetzen und dort ein Backup aus dem Zeitraum wiederherstellen, um dann den Traffic im Log-Viewer zu sehen?

Ich bedanke mich im Voraus.



This thread was automatically locked due to age.
  • 0

    Central oder ein Syslog Server sind die einzigen Wege, diese Logs zu erhalten. 

    Central hat 7 Tage oder 30 Tage, abhängig von deiner Subscription. Wenn du xStream Protection hast, hast du 30 Tage Logs. Du kannst auch auf 1 Jahr aufstocken mit einer Lizenz. 

    syslog Server wäre entsprechend nur ab dem aktivieren der Option. 

    SFOS protokolliert den Conntrack nicht im /log/ 

    Der Logviewer berechnet immer dynamisch die Datenvorhaltung, damit die Festplatte nicht irgendwann voll läuft, daher ist es immer abhängig vom Traffic, wielange man zurück gehen kann.

    Overall: Es ist die beste option in Central zu schauen, dort findest du die Daten in der Regel sehr schnell. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ich danke dir schon mal sehr! Die Logs wären dann am besten in Sophos Central unter Firewall-Management -> Report Generator zu finden, oder?

Unfiltered HTML