トラブルシューティング用のログファイル
トラブルシューティング用のログファイルのリストを、モジュールごとにまとめました。
一般的なログファイル
システムおよび設定に関係する情報が含まれます。これらのログファイルは、多くのモジュールに関係しています。
ヒント
トラブルシューティングの際は、モジュールごとのログファイルに加えて、これらのログファイルも確認するようにしてください。
| サービス | ログファイル |
|---|---|
| システムの起動 | sysinit.log |
| 構成の変更 | applog.logcsc.log |
| 構成データベース | postgres.log |
| カーネルレベルのシステムイベント (システムおよび管理者がトリガーするイベントについてはログビューアを参照してください) | syslog.log |
| 通信チャネル (一部のコンポーネント間、関連サービス、およびそれらのイベントログ) | garner.log |
| システム生成メールおよび認証ユーティリティ | cschelper.log |
| FIPS をオンにしたときのファイアウォールのシステム起動 | fips.log |
| パケットキャプチャデーモン(「診断 > パケットキャプチャ」でもパケットキャプチャを実行できます) | pktcapd.log |
| サポートアクセス | uma.log |
監視 & 分析
ログとレポート
| サービス | ログファイル |
|---|---|
| 接続関連のログ (ファイアウォールルールのログ設定と「ログ設定」に基づきます) | fwlog.log |
| 複数の連続するイベントエントリに対するログ抑制 | syslog-ng.log |
| レポート用の新しいデータベース (21.0 以降のバージョン) | reportdb.log |
| レポート用の古いデータベース | reportdb_v9.log |
| Web 管理コンソールのログの可視化 | iview.log |
保護
ファイアウォールルールと WAF ルール
| サービス | ログファイル |
|---|---|
| ファイアウォールルール | firewall_rule.log |
| Web アプリケーションファイアウォール (WAF) | reverseproxy.logfirewall_rule.log (WAF の一部の設定の詳細) |
ネットワークアドレス変換 (NAT) のルールと設定
| サービス | ログファイル |
|---|---|
| NAT ルール | nat_rule.log |
| サイト間 IPsec 接続の NAT 設定 | charon.log |
| CLI NAT コマンド | applog.log |
注
リンクの負荷分散が発生した場合は、以下のログで DNAT の問題を確認してください:dgd.log。
マルウェア対策
Sophos Firewall は Avira および Sophos Antivirus を使用します。
| サービス | ログファイル |
|---|---|
| ウイルス対策サービス | avd.log |
| ウイルス対策のアップデート | up2date_av.log |
| ゼロデイ対策 | sandboxd.log |
IPS およびアプリケーションフィルタ
| サービス | ログファイル |
|---|---|
| 侵入防御システム (IPS)DPI エンジン使用時の Web トラフィックの暗号化と復号化アプリケーションフィルタアクティブな脅威対応 | ips.log |
| 分類されたアプリケーションがデータベースに保存される前の一時キャッシュ | appcached.log |
| IPS およびアプリケーションのシグネチャアップグレード | sig_upgrade.log |
| IPS およびアプリケーションのシグネチャ移行 | sigmigration.log |
| FastPath のメモリ初期化(XGS 88、108、118、128 以外) | setup_vf_dpdk.log |
Web および FTP
一般的な Web ログ
| サービス | ログファイル |
|---|---|
| Web のカテゴリ化および IP レピュテーション | nSXLd.log |
| カテゴリ更新 | catUpdateLog |
SSL/TLS インスペクション
SSL/TLS インスペクションは、ディープ パケット インスペクション (DPI) モードで実行されます。
| サービス | ログファイル |
|---|---|
| DPI エンジン使用時の暗号化と復号化 | ips.log |
| DPI エンジン使用時に、復号化されなかった HTTPS 接続 | httplogd.log |
Web プロキシと FTP
| サービス | ログファイル |
|---|---|
| Web プロキシ使用時の HTTP および HTTPS トラフィック | awarrenhttp.log |
| Web プロキシ使用時のリクエストごとのログ | awarrenhttp_access.log |
| FTP プロキシ | ftpproxy.log |
| FTP over HTTP プロキシ | skein.log |
注
Sophos Firewall は、犯罪に関わると思われるような、危険性の高い Web ページを常にブロックします。ログやレポートにそのドメイン名は表示されません。
ワイヤレス
| サービス | ログファイル |
|---|---|
| AP および APX とファイアウォールの通信 | awed.log |
| AP および APX へのワイヤレスクライアント通信 | wc_remote.log |
| LocalWifi に関連する SSID | hostapd.log |
| ホットスポットイベント | hotspotd.log |
メール
| サービス | ログファイル |
|---|---|
| SMTP 透過プロキシ (レガシープロキシ) | awarrensmtp.log |
| POP/IMAP プロキシ | warren.log |
| SMTP MTA モードプロキシ | smtpd_main.log |
| メール拒否イベント(SMTP MTA モードプロキシ) | smtpd_reject.log |
| メールスキャンエラーイベント(SMTP MTA モードプロキシ) | smtpd_error.log |
| 内部エラー(SMTP MTA モードプロキシ) | smtpd_panic.log |
| スパム対策スパム対策サービスを開始するには、受信メールまたは送信メール用のスパムポリシーが必要です | sasi.log |
アクティブな脅威対応
MDR およびサードパーティの脅威フィード
| サービス | ログファイル |
|---|---|
ライセンスステータス 設定ステータス | atr.log |
| サービスの初期化とシャットダウン | atr-service.log |
NDR Essentials
| サービス | ログファイル |
|---|---|
| ライセンス、設定、エージェントのサービスの初期化 | ndr.log |
| サービスの初期化、メタデータ処理 | ndr_agent.log |
FastPath から NDR Essentials に送信されたメタデータ 88(w)、108(w)、118(w)、128(w) アプライアンスのみ | vfpdf.log |
注
ファイアウォールルール、DNS、IPS、および Web モジュールは、IoC (不正のインジケータ) の種類に基づき、アクティブな脅威対応を実装します。詳細は、脅威フィードに関係する他のモジュールの実装方法を参照してください。
IP アドレスの IoC については、ファイアウォールルールのログファイルも確認してください。
ドメインおよび URL の IoC については、ファイアウォールルール、DNS、SSL/TLS インスペクション、Web プロキシのログファイルも確認してください。
設定
VPN
IPsec VPN
Sophos Firewall では、サイト間およびリモートアクセス IPsec VPN に strongSwan を使用します。
| サービス | ログファイル |
|---|---|
| IPsec サービスと接続 | strongswan.log |
| IPsec サービスの監視 | ipsec_monitor.log |
| IPsec VPN サービス | charon.log |
| トンネルを有効化、無効化、接続するための、接続関連の処理 (Web 管理コンソール) | /log/ipsec_conn/ipsec_<connectionname>.log |
| XFRM トンネルインターフェース | xfrmi.log |
SSL VPN
Sophos Firewall では、サイト間およびリモートアクセス SSL VPN に OpenVPN を使用します。
| サービス | ログファイル |
|---|---|
| SSL VPN サービス | sslvpn.log |
| SSL VPN のアクティブな接続 | openvpn-status0.logプロセスの数に基づき、個々のログファイルが作成されます (例:openvpn-status1.log)。 |
| ユーザーごとに生成された証明書 | peruser_cert_sslvpn.log |
その他のリモートアクセス VPN
| サービス | ログファイル |
|---|---|
| クライアントレス SSL VPN クライアント | clientless_access.log |
| L2TP | l2tpd.log |
| PPTP | pptpvpn.log |
注
VPN ユーザーの認証については、access_server.log を確認してください。
VPN ポータルについては、vpnportal.log を確認してください。
ネットワーク
| サービス | ログファイル |
|---|---|
| 物理インターフェースと仮想インターフェース | networkd.log |
| WAN リンク管理、ゲートウェイ管理リンクフェールオーバー、VPN フェールオーバーDNAT | dgd.log |
| DHCP サーバー | dhcpd.log |
| DHCPv6 サーバー | dhcpd6.log |
| IPv6 ルーターアドバタイズ | radvd.log |
| DHCP リレー | dhcprelay.log |
| DNS | dnsd.log |
| DDNS | ddc.log |
RED
| サービス | ログファイル |
|---|---|
| 設定済みの全 RED デバイスに対する RED サービス (サイト間 RED および SD-RED を含む) | red.log |
| SD-RED デバイス関連 | red-<serial ID of RED>.log |
| サイト間 RED の設定関連 | red-<RED ID>.logRED ID を確認するには、「ネットワーク > インターフェース」に移動し、個々のサイト間 RED をクリックします。 |
セルラー WAN
| サービス | ログファイル |
|---|---|
| WWAN(USB デバイスの抜き差し) | modemd.log |
| モデム関連のネットワーク設定 | networkd.log |
| USB、モデム、PPP (Point-to-Point protocol) の Syslog | syslog.log |
ルーティング
動的ルート
| サービス | ログファイル |
|---|---|
| BGP および BGP-IPv6 | bgpd.log |
| OSPF | ospfd.log |
| OSPFv3 | ospf6d.log |
| RIP | ripd.log |
| マルチキャスト (PIM-SM) | pimd.log |
| カーネルに IPv4 および IPv6 の動的ルートをインストール | zebra.log |
注
opcode 情報とサービスの再起動については、csc.log を確認してください。
HA のログについては、ha.log、msync.log、applog.log を確認してください。
スタティックルート
| サービス | ログファイル |
|---|---|
| ユニキャストルート | staticd.log |
| カーネルに IPv4 スタティックユニキャストルートをインストール | zebra.log |
| マルチキャストルート | mrouting.log |
注
opcode 情報とサービスの再起動については、csc.log を確認してください。
HA のログについては、ha.log、msync.log、applog.log を確認してください。
SD-WAN ルート
| サービス | ログファイル |
|---|---|
| アプリケーションベースのルーティング | appcached.log |
注
applog.log、csc.log、dgd.log も確認してください。
SD-WAN ルートを IPsec VPN とともに使用している場合は、IPsec のログを確認してください。
認証
| サービス | ログファイル |
|---|---|
| ユーザー認証、承認、アカウンティング | access_server.log |
| SSO によるキャプティブポータルへのサインイン | oauth_sso_captive.log |
| SSO による Web 管理コンソールへのサインイン | oauth_sso_webadmin.log |
| SSO による VPN ポータル、IPsec、SSL VPN へのサインイン | oauth_sso_vpn.log |
| Chromebook SSO | chromebook-sso-backend.log |
| Chromebook SSO ワークフロー | csd.log |
| NTLM 認証 | nasm.log |
冗長化 (HA)
| 説明 | ログファイル |
|---|---|
| Conntrack 同期サービス | ctsyncd.log |
| HA 同期サービス | msync.log |
| HA 確立の完了 / エラー、HA ステータスの遷移 | ha.log |
| QuickHA モードでのピア HA デバイスの検出 | ha_pair.log |
| SSH トンネル接続(HA デバイス間の専用リンク) | ha_tunnel.log |
| 補助デバイスへのファイル同期(ダイナミックルートや DHCP などの一部サービス) | filesync.log |
注
各 HA デバイスには、そのデバイスが処理するトラフィックのログとレポートのみが保存されます。両方のデバイスの統合レポートを確認するには、Sophos Central Firewall Reporting (CFR) を使用します。
補助デバイスのトラブルシューティングのログを確認するには、補助デバイスの CLI に管理インターフェースの IP アドレスまたは FQDN を使ってサインインします。
トラフィックシェーピング
| サービス | ログファイル |
|---|---|
| 帯域幅の管理 (QoS) イベント | bwm.log |
システム
Sophos Central
Sophos Central サービス
| サービス | ログファイル |
|---|---|
| Sophos Central に送信された、ゾーンおよびインターフェースの情報(Sophos Central の動的オブジェクトで使用されます) | fwcm-eventd.log |
| ファイアウォールから Sophos Central への接続 | fwcm-heartbeatd.log |
| Sophos Central からファイアウォールにプッシュされた設定 | fwcm-updaterd.log |
| ファイアウォールにプッシュされた MDR 解析 | fwcm-api-executor.log |
| ファイアウォールから Sophos Central に送信されたファームウェアアップグレード情報Sophos Central で取得したファイアウォールバックアップ | ssod.log |
| 高速リバースプロキシ(Sophos Central で複数のファイアウォールを同時に開いている場合) | fwcm-frpcd.log |
導入と登録
| サービス | ログファイル |
|---|---|
| 完全ゼロタッチ (True Zero Touch) 導入制御可能なゼロタッチ (Controlled Zero Touch) 導入 | zt.logfwcm-heartbeatd.log |
USB を使ったゼロタッチ導入(この導入では fwcm-heartbeatd.log はありません) | zerotouch.log |
| Sophos Central へのファイアウォール登録Sophos Central と通信するファイアウォール用のアクセストークン生成 | sophos-central.log |
| Sophos Central による管理とレポートがファイアウオールで有効 | centralmanagement.log |
注
ファイアウォールと Sophos Central 間の通信については、hbtrust.log を確認してください。
ファイアウォールによって生成されたイベントと、ファイアウォールから Sophos Central に送信された情報については、garner.log を確認してください。このログで、Central での管理については SCM プラグインログを、Central のレポートについては CR プラグインログを参照してください。
ファームウェアのアップグレードおよび関連情報については、csc.log を確認してください。
Sophos Central へのファイアウォールの登録および登録解除については、applog.log を確認してください。
Zero Touch Network Access (ZTNA)
| サービス | ログファイル |
|---|---|
| Sophos Central 顧客アカウントと ZTNA コネクタ ID ZTNA コネクタのステータス、ZTNA トンネル接続アクセスしたアプリケーション、設定の更新 | ztna-connector.log |
Security Heartbeat と Synchronized Security
| サービス | ログファイル |
|---|---|
| ファイアウォールに送信されたエンドポイントのステータスおよびアプリケーション情報 | heartbeatd.log |
| ファイアウォールと Sophos Central 間の通信 | hbtrust.log |
| アプリケーション同期と制御 (SAC) の週 1回のデータベース最適化 | sac-vacuum.log |
| SophosLabs に送信されたデータ | sac-feedback.log |
注
csc.log と applog.log も確認してください。
ホストとサービス
| サービス | ログファイル |
|---|---|
| FQDN サービス | fqdnd.log |
| ワイルドカード FQDN サービス | dnsgrabber.log |
管理
| サービス | ログファイル |
|---|---|
| ライセンス | licensing.log |
| Apache HTTP サーバー (httpd)(Web 管理コンソールおよびユーザーポータル用) | apache.logapache_access.logerror_log.log |
| Jetty Web アプリケーションサーバー(Web 管理コンソールおよびユーザーポータル用) | tomcat.log |
| SSH access | sshd.log |
| VPN ポータル | vpnportal.log |
| NTP クライアント | ntpclient.log |
| Net-SNMP | snmpd.log |
バックアップとファームウェア
| サービス | ログファイル |
|---|---|
| バックアップと復元のインターフェースマッパー | interfacemapping.log |
| セキュアストレージ マスターキーなしのバックアップ生成 | legacyconversion.log |
| ファームウェアのインストールと管理 | fwmgmt.log |
| JSON 形式と XML 形式の API 変換 | apiparser.log |
| API 検証 | validation.log |
| API 検証 | validationError.log |
| システムアップデート | u2d.log |
| エアギャップのシステムアップデート | u2d_airgap.log |
| ホットフィックスエラー | cps_messages.log |
注
バックアップと復元については、以下のログも確認してください:applog.log および postgres.log
証明書
| サービス | ログファイル |
|---|---|
| 証明書、CA、CSR、CRL | vpncertificate.log |
| Let's Encryptの証明書 | letsencrypt.logapplog.log |
共通ログファイル
データベースおよびその他のサービス
| サービス | ログファイル |
|---|---|
| Signature database | sigdb.log |
| ファイアウォールの再起動時のデータベースクリーンアップ | dbcleanup.log |
| 内部サービスのオブジェクトの読み取り | readobject.log |
| ファイルシステムのトリミング | fstrim.log |
.gz ファイルへのログローテーション | logrotate.log |
移行
| サービス | ログファイル |
|---|---|
| 設定の移行 | migration.log |
| レポートの移行 | reportmigration.log |
導入プラットフォーム
すべてのプラットフォーム
すべてのプラットフォーム (ハードウェア、仮想、クラウド、ソフトウェアのファイアウォール) の情報を含みます。
| 説明 | ログファイル |
|---|---|
| CPU 使用率が高いときのシステムステータス詳細 | system-monitor/cpu_trigger.log |
ハードウェア
| 説明 | ログファイル |
|---|---|
| NPU 起動 | npu-startup.log |
| NPU Syslog | npu_syslog.log |
| CPU 使用率と温度、ファン速度、NPU 管理ポート | xgs-healthmond.log |
| 起動時の NPU ホストドライバログ | xgs-host.log |
| NPU 互換性チェック、NPU アップグレード、NPU 復旧 | xgs-npu-fw.log |
| NPU シリアルポート | xgs-npu-serial.log |
| 起動時の物理インターフェースの作成 | xgs-pport-wait.log |
| ソフトウェア RAID のステータス | raid.log |
| ハードウェアファイアウォールの LCD | lcd.log |
VMware
| 説明 | ログファイル |
|---|---|
| VMware ツール | vmtool.log |
注
syslog.log も確認してください。
Azure クラウドへの導入
| サービス | ログファイル |
|---|---|
| 設定のプロビジョニングとライセンスチェック | iaasd.log |
| Azure プロビジョニングエージェントOS レベルのプロビジョニング、正常性監視 | waagent.log |
FastPath アクセラレーション
| サービス | ログファイル |
|---|---|
| NPU ベースの FastPath の Syslog(XGS 88、108、118、128 以外) | npu_syslog.log |
| NPU ベースの FastPath によるホスト通信の Syslog仮想 FastPath の Syslog | syslog.log |
注
NPU ベースの FastPath と仮想 FastPath の詳細は、オフロードのアーキテクチャを参照してください。