Track e log delle connessioni in e out



  • Ciao a tutti,
    sto iniziando da zero a mettere le basi per un piccolo wisp (5 clients) nella mia zona, quello che mi interessa avere è un track delle connessioni in e out e salvare i log in un server syslog remoto. Altri apparati lo fanno ma costano, dato che sono agli inizi e i pochi clients attuali volevo risparmiare il più possibile usando appunto pfsense, ma considerando che non sono assolutamente ferrato in ambito pfsense non so se quanto richiesto è fattibile.

    Qualche indicazione su come muovermi sarebbe ben gradita, grazie!



  • Per abilitare il salvataggio dei log su di un server syslog remoto è sufficiente che vai nel menù "Status" -> "System Logs" -> "Remote Logging Options", abiliti il flag "Enable Remote Logging", inserisci l'indirizzo del tuo syslogd remoto e poi abiliti quale categoria deve essere passata al syslogd.
    Ciao.



  • Avevo già fatto questa operazione ma non so perchè il syslog esterno non riceveva niente. Adesso ho cambiato syslog e funziona.
    Ho dato un'occhiata al log ed è molto confusionario, ci sono una sfilza di numeri e non so cosa siano.

    192.168.0.1	Jun  4 12:57:29		local0	info	filterlog	79,16777216,,100000101,rl0,match,pass,in,4,0x0,,128,26059,0,DF,6,tcp,52,192.168.0.2,217.64.195.217,8151,143,0,S,2503996993,,8192,,mss;nop;wscale;nop;nop;sackOK
    

    Riesco a capirlo fino ad un certo punto, porta usata, ip sorg, protocollo, ip dest.. e poi buio totale.
    C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile?



  • @ninoalcamo:

    […]
    C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile?

    non penso sia fattibile, senza problemi.
    prova a guardare greylog o logstash (elk). puoi inviare direttamente il syslog a logstash e/o al log server.

    alternative: fwanalog e simili.



  • @proto:

    @ninoalcamo:

    […]
    C'è un modo per modificare la struttura del log per fare in modo che pfsense logga le informazioni che servono solo a me e renderlo più leggibile?

    non penso sia fattibile, senza problemi.
    prova a guardare greylog o logstash (elk). puoi inviare direttamente il syslog a logstash e/o al log server.

    alternative: fwanalog e simili.

    Ti rigrazio per la risposta.
    Ho fatto delle ricerche e ho visto che nella documentazione ufficiale pfsense viene descritto il formato del log di pfsense, così almeno ci capisco qualcosa! Allego il link magari servisse a qualcun'altro: https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2

    In merito invece a graylog mi hai fatto venire la curiosità di come funziona e vedrò di installarlo su vm e scoprire le sue funzionalità.



  • su github c'è il sorgente di "filterlog" che legge da pflog0 e scrive direttamente nel syslog.
    quindi solo parser esterni!



  • @proto:

    su github c'è il sorgente di "filterlog" che legge da pflog0 e scrive direttamente nel syslog.
    quindi solo parser esterni!

    Ho dato un'occhiata ma è troppo per me (0 di programmazione). Mi accontenterò del formato stock di pfsense che con la documentazione si legge discretamente


Log in to reply