[Mới nhất 2026] Sophos Firewall: Hướng Dẫn Theo Dõi & Xuất Report Từ Sophos Firewall V22

Bài viết này nhằm:

• Hướng dẫn cách xem và lọc log trên Sophos Firewall.
• Hướng dẫn đọc và xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Xem thông tin về lưu lượng mạng đi qua firewall và các mối đe dọa bảo mật

Các loại Dashboard chính:

• Traffic dashboard: Phân loại theo lưu lượng mạng
• Security dashboard:  Hoạt động bị chặn và các mối đe dọa: Malware, IPS, Spam, nguồn tấn công.
• Executive report: Thông tin tổng hợp cho người quản lý: Traffic & Threat nổi bật.
• User threat quotient (UTQ): Xếp hạng người dùng dựa trên điểm rủi ro bảo mật.

Xem thông tin về việc sử dụng ứng dụng và Internet trên hệ thống mạng của bạn.

Application risk meter là cách thức mà Firewall sẽ tính điểm dựa trên mức độ rủi ro và số lần truy cập (hits) của từng ứng dụng. Chỉ số rủi ro ứng dụng được xác định dựa trên điểm trung bình của toàn bộ lưu lượng ứng dụng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• User app risks & usage: Thống kê việc sử dụng các ứng dụng và mức độ rủi ro tương ứng.
• Cloud applications usage: Thống kê việc sử dụng các ứng dụng đám mây
• Blocked user apps: Các lần truy cập ứng dụng bị chặn.
• Synchronized applications: Các ứng dụng được phân loại và đồng bộ từ endpoint lên firewall.
• Web risks & usage: Hoạt động truy cập web trong mạng và các rủi ro liên quan.
• Blocked web attempts: Các lần truy cập web bị chặn
• Search engine: Thống kê hành vi tìm kiếm của người dùn
• Web content: Các kết quả khớp của bộ lọc nội dung và các thông tin liên quan.
• Web server usage: Lưu lượng Application, Web, Internet và FTP.
• Web server protection: Trạng thái bảo mật của các Web Server, bao gồm các cuộc tấn công và nguồn tấn công.
• User data transfer: User traffic
• FTP usage: FTP activity
• FTP protection: Malicious FTP activity

Xem thông tin về việc sử dụng mạng và các mối đe dọa liên quan.

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Intrusion attacks: Các lượt tấn công
• Active threat response: Threat events và các máy bị xâm nhập được phát hiện bởi MDR (Managed Detection and Response) và Sophos X-Ops
• Wireless: Access point và SSID được sử dụng
• Security Heartbeat: Tình trạng sức khỏe của máy trạm trong mạng dựa trên kết nối giữa máy trạm và Firewall.
• Zero-day protection: Bảo vệ nâng cao trước các cuộc tấn công mới.

Xem thông tin về remote user (người dùng kết nối từ xa) vào hệ thống mạng của bạn thông qua IPSEC VPN, SSL VPN và Clientless access

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• VPN: Lưu lượng phát sinh từ remote users qua IPsec, L2TP hoặc PPTP
• SSL VPN: Lưu lượng phát sinh từ remote users thông qua SSL VPN Client.
• Clientless Access: Lưu lượng phát sinh từ remote users thông qua trình duyệt web.

Xem thông tin về email traffic (lưu lượng email) trong hệ thống mạng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Email Usage: Email traffic trong hệ thống mạng của mình
• Email Protection: Email Traffic bị Virus và Spam trong hệ thống mạng của mình

Xem thông tin về việc tuân thủ các quy định/quy chuẩn:

Các nhóm Quy chuẩn có thể theo dõi trong phần này, bao gồm:

• HIPAA: Security Report tuân thủ chuẩn HIPAA
• GLBA: Security Report tuân thủ chuẩn GLBA
• SOX: Security Report tuân thủ chuẩn SOX
• FISMA: Security Report tuân thủ chuẩn FISMA
• PCI: Security Report tuân thủ chuẩn PCI
• NERC CIP v3: Security Report tuân thủ chuẩn NERC CIP v3
• CIPA: Security Report tuân thủ chuẩn CIPA
• Events: Network Event và các mức độ nghiêm trọng tương ứng

Tạo báo cáo bao gồm các tiêu chí được chỉ định.

Các loại Report có thể tạo trong phần này, bao gồm:

• Web Report: Tìm kiếm hoạt động duyệt web hoặc virus. Có thể lọc theo user, domain và các tiêu chí khác
• Mail Report: Tìm kiếm lưu lượng Email, Spam và Virus. Có thể lọc theo protocol, user và các tiêu chí khác.
• FTP Report: Tìm kiếm hoạt động FTP và Virus. Có thể lọc theo kiểu truyền, user, file hoặc source IP
• User Report: Thống kê mức độ sử dụng: ứng dụng rủi ro cao, website không hiệu quả, virus phát hiện. Có thể lọc theo username, source host.
• Web Server Report: Tìm kiếm hoạt động Web Server (time, user, URI) và cả các sự kiện bảo vệ Web Server.

Log Viewer hiển thị event logs và được tự động cập nhật khi có event mới (Real-time).

Để truy cập, ở góc phải phía trên Sophos Firewall, nhấn Log viewer

Cửa sổ Log Viewer mới sẽ xuất hiện, và quản trị viên có thể xem log Realtime ở đây

Quản trị viên có thể tùy chọn các loại log cụ thể để giám sát như sau:

• Admin
• Active Threat Response
• Application filter
• Authentication
• Email
• Firewall
• IPS
• Malware
• Security Heartbeat
• SSL/TLS inspection
• SD-WAN
• System
• VPN
• Web content policy
• Web filter
• Web server protection
• Zero-day protection

Trong quá trình quản trị hệ thống, người quản trị cần các file báo cáo tổng hợp phản ánh tình trạng sử dụng hệ thống và các mối đe dọa tiêu biểu. Vì vậy, trong bài hướng dẫn này sẽ lựa chọn Executive report để thực hiện việc xuất báo cáo.

 Để xuất Report báo cáo theo lịch trình, chọn Show Reports Settings

Chọn Report Scheduling, nhấn Add

Nhập thông tin sau:

• Name: Đặt tên lịch report.
• Description: Mô tả (không bắt buộc).
• To email address: Địa chỉ email nhận report (có thể nhập nhiều email)
• Report type: Chọn loại report (VD: Report group)
• Report group: Chọn nhóm report phù hợp (VD: Executive Report)
• Email frequency: Chọn Daily hoặc Weekly và mốc thời gian gửi report qua email.

Sau khi nhập hoàn tất, nhấn Save.

Đúng lịch trình cấu hình, Sophos sẽ gửi email bảng báo cáo report về email.