Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách thu thập tất cả các log đang có trên thiết bị tường lửa Sophos để phục vụ mục đích phân tích và xử lý sự cố.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

• Đường truyền internet được kết nối tại Port2 với IP tĩnh 115.78.x.x.
• Lớp mạng LAN được cấu hình tại Port1 với IP 192.168.15.201/24 và đã cấu hình DHCP.
• Cuối cùng là Computer 1 được kết nối vào vùng mạng LAN và nhận IP từ DHCP Server là 192.168.15.205/24.

3.Tình huống cấu hình

Như các bạn biết trong trường hợp thiết bị gặp sự cố như treo, tự động reboot,… thì chúng ta cần có các file log để phân tích nguyên nhân.

Thegioifirewall sẽ hướng dẫn các bạn cách thu thập tất cả log hiện có của thiết bị Sophos Firewall.

Trong bài hướng dẫn này thegioifirewall sẽ sử dụng Computer 1 để truy cập và lấy file log.

4.Các bước cấu hình

• Thực hiện nén tất cả file log.
• Copy file nén ra ngoài.

5.Hướng dẫn cấu hình

5.1.Thực hiện nén tất cả file log.

Thông thường tất cả file log sẽ được lưu trong folder log.

Để nén tất cả file trong folder log chúng ta cần truy cập vào giao diện CLI của thiết bị Sophos.

Trên Computer 1 chúng ta có 2 cách.

Đầu tiên chúng ta sẽ sử dụng Putty để SSH vào trong giao điện CLI.

Đối với cách này chúng ta cần phải bật dịch vụ SSH trên thiết bị tường lửa Sophos Firewall.

Để bật đăng nhập vào trang quản trị của Sophos Firewall, sau đó vào Administration > Device Access > tích chọn vào dịch vụ SSH tại zone LAN, nếu máy tính của bạn ở zone WAN thì chúng ta tích vào dịch vụ SSH tại zone WAN.

Thứ hai chúng ta có thể sử dụng giao diện WebUI để truy cập vào giao diện CLI.

Với cách thứ hai chúng ta cũng cần đăng nhập vào giao diện quản trị của Sophos Firewall.

Sau đó chúng ta nhấn chuột trái vào tài khoản admin ở góc trên bên trái và nhấn Console.

Một cửa số mới hiện ra chúng ta nhấn Enter và nhập password của tường lửa Sophos.

Sau khi đăng nhập thành công chúng ta nhấn số 5 để vào Device Management.

Sau đó nhấn phím 3 để vào Advanced Shell.

Để nén tất cả file log chúng ta sử dụng 2 câu lệnh sau:

• cd /
• tar -cvzf tmp/AllXGLogs.tar.gz log/*

Đợi vài giây để thực hiện quá trình nén.

Sau khi nén thành công chúng ta có thể sử dụng câu lệnh sau để kiểm tra xem file nén có tồn tại không.

• ls -l tmp/AllXGLogs.tar.gz

Như các bạn thấy file nén tên AllXGLogs.tar.gz đã được nén thành công, tiếp theo chúng ta sẽ sử dụng WinSCP để truy cập vào cây thư mục của Sophos Firewall.

Trên Computer 1 Thegioifirewall sẽ bật ứng dụng WinSCP và nhập các thông số sau:

• File protocol: SFTP.
• Host name: 192.168.15.201.
• Port number: 22
• User name: admin
• Password: nhập mật khẩu của tường lửa
• Sau đó nhấn Login

Mặc định khi chúng ta truy cập vào cây thư mục của Sophos Firewall, chúng ta sẽ vào ngay thư mục tmp.

Tại cây thư mục của tmp chúng ta tìm kiếm file nén AllXGLogs.tar.gz và kéo sang thư mục tạo sẵn tại máy Computer 1.

Như các bạn thấy mình đã copy thành công file nén AllXGLogs.tar.gz qua folder Log Sophos Firewall tại máy Computer 1.

Sau đó chúng ta thực hiện giải nén file AllXGLogs.tar.gz ra và chúng ta sẽ có được tất cả file log của Sophos Firewall để thực hiện phân tích.