Для получения лог файлов с информацией о трафике с межсетевых экранов Sophos XG Firewall необходим внешний syslog сервер. Можно использовать практический любой SysLog сервер под ОС Windows (Kiwi, SysLog Watcher и др.) или Linux. Основные требования к syslog серверу это бесперебойная, круглосуточная работа, и возможность доступа к лог файлам со стороны ProxyInspector.
В административной части необходимо открыть раздел Configure | System Services | Log Settings, нажать кнопку Add и добавить syslog сервер. Значение Severity нужно сменить на Information.
Для созданного syslog сервера нужно включить типы сообщений Firewall Rules, Web Filter и Application Filter:
после этого нажать Apply.
Для всех правил Firewall разрешающих HTTP/HTTPS трафик нужно включить опции Scan HTTP и Decrypt & Scan HTTPS. Для всех правил разрешающих трафик который необходимо контролировать в ProxyInspector необходимо включить опцию Log Firewall Traffic:
При использовании HTTPS Inspection на компьютерах пользователей необходимо установить сертификат(в раздел Доверенные корневые центры сертификации), скачать его можно в разделе административной части System | Certificates | Certificate Authorities:
В ProxyInspector необходимо указать путь и маску для доступа в лог файлам. Как правило это сетевой путь к каталогу на SysLog сервере. В Enterprise редакции это нужно сделать в Настройки | Сервера и Домены, в Standard версии в Настройки | Основные программы:
Теги: Sophos XG, syslog, лог файл, ProxyInspector