Track e log delle connessioni in e out
-
Ciao a tutti,
sto iniziando da zero a mettere le basi per un piccolo wisp (5 clients) nella mia zona, quello che mi interessa avere è un track delle connessioni in e out e salvare i log in un server syslog remoto. Altri apparati lo fanno ma costano, dato che sono agli inizi e i pochi clients attuali volevo risparmiare il più possibile usando appunto pfsense, ma considerando che non sono assolutamente ferrato in ambito pfsense non so se quanto richiesto è fattibile.Qualche indicazione su come muovermi sarebbe ben gradita, grazie!
-
Per abilitare il salvataggio dei log su di un server syslog remoto è sufficiente che vai nel menù "Status" -> "System Logs" -> "Remote Logging Options", abiliti il flag "Enable Remote Logging", inserisci l'indirizzo del tuo syslogd remoto e poi abiliti quale categoria deve essere passata al syslogd.
Ciao. -
Avevo già fatto questa operazione ma non so perchè il syslog esterno non riceveva niente. Adesso ho cambiato syslog e funziona.
Ho dato un'occhiata al log ed è molto confusionario, ci sono una sfilza di numeri e non so cosa siano.192.168.0.1 Jun 4 12:57:29 local0 info filterlog 79,16777216,,100000101,rl0,match,pass,in,4,0x0,,128,26059,0,DF,6,tcp,52,192.168.0.2,217.64.195.217,8151,143,0,S,2503996993,,8192,,mss;nop;wscale;nop;nop;sackOK
Riesco a capirlo fino ad un certo punto, porta usata, ip sorg, protocollo, ip dest.. e poi buio totale.
C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile? -
[…]
C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile?non penso sia fattibile, senza problemi.
prova a guardare greylog o logstash (elk). puoi inviare direttamente il syslog a logstash e/o al log server.alternative: fwanalog e simili.
-
[…]
C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile?non penso sia fattibile, senza problemi.
prova a guardare greylog o logstash (elk). puoi inviare direttamente il syslog a logstash e/o al log server.alternative: fwanalog e simili.
Ti rigrazio per la risposta.
Ho fatto delle ricerche e ho visto che nella documentazione ufficiale pfsense viene descritto il formato del log di pfsense, così almeno ci capisco qualcosa! Allego il link magari servisse a qualcun'altro: https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2In merito invece a graylog mi hai fatto venire la curiosità di come funziona e vedrò di installarlo su vm e scoprire le sue funzionalità.
-
su github c'è il sorgente di "filterlog" che legge da pflog0 e scrive direttamente nel syslog.
quindi solo parser esterni! -
su github c'è il sorgente di "filterlog" che legge da pflog0 e scrive direttamente nel syslog.
quindi solo parser esterni!Ho dato un'occhiata ma è troppo per me (0 di programmazione). Mi accontenterò del formato stock di pfsense che con la documentazione si legge discretamente