PfSense 5651 Kanuna Uygun Log İmzalama
-
/var/squid/logs/ altında cache.log ve netdb.state var, log dosyasının içinde ERROR No forward-proxy configured. hatası vermiş.
Squid güncellemesi varmış onuda yapıp tekrar denediğimde aşağıdaki hataları alıyorum.
[2.4.2-RELEASE][admin@pfSense.localdomain]/usr/local/ssl/imzalama: sh /usr/local/ssl/imzalama/squid-access-imzalama.sh
cp: /var/squid/logs//access.log: No such file or directory
34380755912:error:02001002:system library:fopen:No such file or directory:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:175:fopen('access.log','rb')
34380755912:error:2006D080:BIO routines:BIO_new_file:no such file:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:182:
Using configuration from /usr/local/ssl/imzalama/openssl.cnf
Response is not generated.
34380755912:error:02001002:system library:fopen:No such file or directory:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:175:fopen('access.log.tsq','rb')
34380755912:error:2006D080:BIO routines:BIO_new_file:no such file:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:182:
34380755912:error:02001002:system library:fopen:No such file or directory:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:175:fopen('access.log.der','rb')
34380755912:error:2006D080:BIO routines:BIO_new_file:no such file:/builder/ce-242/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:182:
Dogrulama Saglanamadi. Islemler geri aliniyor.
mv: rename /var/imza_isleri/access.log* to /var/imzali_kayitlar/hatali-imza-access.log-20180130-082026/access.log*: No such file or directory
/usr/local/ssl/imzalama/squid-access-imzalama.sh: mail: not found -
Şöyleki dosya halen yok :) Squid servisini ayarlayınız daha sonra üzerinden trafik geçirin 'ki dosya oluşsun veya elle dosya oluştur "access.log" adında /var/squid/logs/ dizini altında daha sonra test et. Başarılı bir şekilde imzaladığını göreceksin.
Dediğim gibi dosya yok veya dosya yolu bozuk. Eğer script içerisindeki dosya yolunu değiştirmediysen /var/squid/logs/access.log dosyası senin sistemde yok o yüzden imzalama yapamıyor çünkü dosya yok.
Aşağıdaki adımları deneyerek test et, daha sonra sonuçları bizimle paylaşırsın.
pfsense# touch /var/squid/logs/access.log
pfsense# sh /usr/local/ssl/imzalama/squid-access-imzalama.sh
Kolay gelsin.
-
İbrahim hocam,
Söyledikleri yaptım herhangi bir hata almıyorum teşekkür ederim.Makalende Corn için görev yapmışsın ek' te resim silinmiş sanırım göremedim hangi ayarları yapmamız lazım ?
Diğer bir sıkıntı ise;
/var/squid/logs/access.log içeriği boş
diğer bir konu ise /var/imzalı_kayitlar/ altındaki dhcpd.log, dhcpd.leases ve access.log içerklerine girdiğimde şaçma sapan karaterler görünüyor.
-
1. Cron resmi halen ekte duruyor. Yazının en altında.
2. /var/squid/logs/access.log dosyası boş olur içerisi. Neden çünkü biz elle boş bir dosya oluşturduk test için. Sizin squid servisini yapılandırmanız lazım.
3. O dosyaların içerisinde normalde saçma sapan karakterler olmaz. İşe yarar bilgiler var içerlerinde. Yanlış birşey yapıyorsunzdur.
-
İbrahim Hocam,
Squid ayarları bu şekilde,
-
Ben özellikle squid bölümündeki ayarlarının doğru bir şekilde yapılandırıldığından emin olun dedim. Logging Settings bölümdeki seçeneği aktif et ve rotate bölümüne ise 2 yaz daha sonra ayarları kaydet. Böylelike log tutmaya başlayacak ve access.log içerisi artık boş olmayacak.
-
Evet İbrahim hocam logları tutmaya başladı, hard disk kapasitem 1tb buradaki dosya boyutunu ara sıra kontrol edip silmek gerekebilir,
aşağıda log örnekleri koydum,
517300231.690 27 192.168.100.100 TCP_MISS/200 1353 GET http://idora.milliyet.com.tr/80x55/2018/01/30/–10725656.Jpeg - ORIGINAL_DST/46.20.153.20 image/jpeg
1517300231.694 31 192.168.100.100 TCP_MISS/200 11795 GET http://idora.milliyet.com.tr/80x55/2018/01/30/cumhurbaskani-erdogan-sudan-da-soz-vermisti-calisma-basladi-10725616.Jpeg - ORIGINAL_DST/46.20.153.20 image/jpeg
1517300231.798 134 192.168.100.100 TCP_MISS/200 66864 GET http://idora.milliyet.com.tr/568x337/2018/01/30/abd-li-askere-evlatlik-verilen-kiz-28-yil-sonra-gercek-annesiyle-bulustu-10725621.Jpeg - ORIGINAL_DST/46.20.153.20 image/jpegBu loglar da tarih saat olması gerekmez mi?
Orjinal Access Log dosyası ek' teki gibi düzelmiş görünüyor.
-
1 TB harddisk varsa o harddisk ortalama seni 10 yıl götürür :)
Aynı zamanda aşağıdaki yazımı inceleyebilirsin tarih olayı için.
https://lifeoverlinux.com/pfsense-5651-log-dosyasi-inceleme/
-
İbrahim hocam çok teşekkür ederim, hiç sorunsuz imzalıyor,
Bu şekilde imza resmi olarak kabul ediliyor mu? ve ayrıca diğer makalendeki pfsense# cat /var/squid/logs/access.log | perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e'
komutunu sadece shell satırında okumak için sanırım bu düzeltilmiş veriyi export etmek mümkün değil mi?Diğer taraftan Corn minute ayarını 5 yaptım ama otomatik çalışmadı bir şeyi yanlış yapıyor olabilir miyim?
Teşekkürler.
-
Levent bey şöyleki, bunu sürekli yapman gerekmiyor hatta hiç yapma. Gerek yok. Sadece bil diye söylüyorum log dosyası içerisindeki kayıtların tarih ve saat bilgilerini bu yöntem ile okuyabiliyorsun. Ne zaman log dosyasını okumak istersen bu yöntemle okursan tarih ve saat bilgisini anlarsın.
Bu konuyu istersen kapatalım.)
-
Selam İbrahim hocam,
Corn içindeki minute ayarını */59 yaptım her 59 dakikada bir imzalayacak test ettim düzgün çalışıyor.
Bir durum olması halinde biz elimizdeki dhcpd.log, dhcpd.lease ve access.log tar.gz uzantılı dosyaları vererek resmi işlemden geçmiş oluyormuyuz? Yoksa farklı bir prosedür daha uygulamamız gerekir mi?
Teşekkür ederim.
-
1. 59 dk 'da bir loglar imzalanacak bunu tavsiye etmem kisa süre içerisinde yüzlerce binlerce .tar.gz uzantılı dosyanız olacak. Gün bazında yapsanız daha iyi olur. Yinede siz bilirsiniz.
2. İmzali kayitlar dizini içerisindeki .tar.gz uzantılı dosyaları verirseniz başka hiçbir şey yapmanıza gerek yok.
-
Yardımlarınızdan dolayı çok teşekkür ederim, sıkıntısız çalışıyor.
-
İbrahim Bey, normalde sadece teşekkür yazıp bırakılan yazıları sevmem ancak, siz büyük bir teşekkürü hak ediyorsunuz, kıymetli zamanınızı ayırarak pfsense kullanıcılarını rahatlatacak bir çalışma yaptığınız için çok teşekkür ediyoruz, bahsettiğiniz adımları uyguladım bir sorun olmadan uygulamayı tamamladı yazınızın başında söylediğiniz gibi önce squid ve dans guardian kurulumu ile ilgili makaleye göz atılması fayda sağlayacaktır. (kuramayan arkadaşlar için)
-
Teşekkür ederim güzel yorumunuz için, mutlu oldum. 1 hafta içinde 443 https trafiğinide dinleyip ardından 5651 kanununa uygun imzalayacağım. Böylelikle tam teşekkürlü bir 5651 yapmış olacağız hem kendimiz için hemde savcı, polis vb. diğer kişiler için.
İşin sonunda HTTPS, HTTP, DHCP kayıtlarını logluyor ve imzaliyor olacağız. Şuan HTTP, DHCP var, dediğim gibi 1 haftaya kalmaz HTTPS modülünü eklicem ;)
-
Merhabalar,
anladığım kadarı ile sadece pfsense üzerinde yapılan dhcp server la ilgili çalışması var peki active direcktory tarafında dhcp ve dns olan kişiler bu yapıdan yararlanabilir mi yararlanamazsa ne yapmaları gerekiyor ?
-
Merhaba,
Network içerisinde dhcp sunucusu farklı bir server üzerinden dağıtılıyor ise Syslog özelliği ile bu dhcp kayıtlarını pfsense üzerine yollayıp, pfsense üzerinde imzalatabilirsiniz. Fakat bunun için biraz uğraşmam ve test etmem lazım, fakat şu günlerde hiç müsait değilim. O yüzden siz kayıtları pfsense 'e yollarsanız imzalama kısmında yardımcı olurum.
-
elinize sağlık teşekkürler.
bir sorunum var. denemek için kurulumu yaptım. 25 kullanıcılı bir ağda https-re0-trafik.log dosyasının boyutu 2dk içinde 100mb. geçti. bu normal mi, yoksa yanlış bir şey mi yaptım? -
@oguzk06 Eğer 2 dk içinde 100mb oluyorsa bir problem var demektir, bu kadar hızlı dosyanın boyutu o kadar olmaz. 150-200 kullanıcınız olsaydı normal fakat 25 kullanıcı ile 2 dk içinde 100mb sıkıntılı. Network trafiğinizi kontrol etmeniz gerekiyor. Çok yoğun bir trafik yapan birisi varmı, kontrol edin.
Eğer kullanıcılarınız yüksek trafik tüketiyorsa bu normal olabilir. Yinede siz tcpdump komutu ile o network bacağını dinleyip trafik yoğunluğuna bakın.
-
teşekkürler paylaşım için...