keine logs auf Haupt-Firewall, aber auf Backup



  • Hallo zusammen,
    wie im Titel schon geschrieben, kann ich auf der Hauptfirewall (wir haben zwei in einem CARP-Cluster) keine Firewall-Logs sehen. Dort wird unter dem Reiter schlicht "No logs to display." angezeigt, während auf der Backup-Firewall diese brav angezeigt werden.
    Die System logs werden angezeigt.

    Ich bin an dieser Stelle total überfragt. Habe schon die Logfiles resettet, die Einstellungen abgeglichen (obwohl das bei CARP ja sowieso die gleichen sein müssten), aber ich finde nichts.

    Habt ihr da Ideen, woran es liegen könnte?

    Liebe Grüße,
    K



  • Hi,

    ich bin ja recht neu im Umgang mit der PFSense, jedoch solltest du via:

    clog -f /var/log/filter.log
    

    alles sehen, oder?

    Zu CARP, der Slave ist noch slave und master ist auch als master aktiv? Sorry, wenn ich so dumm frage ;)

    VG, p54



  • @p54
    Ja, die Logs sind einwandfrei da, werden aktualisiert, etc.

    Der Slave ist Slave und der Master Master, alles in Ordnung bei CARP.

    Auf den Slave werden ja die Logs übermittelt, die sind live und werden auf der Slave auch korrekt im Web Interface angezeigt.

    Nur eben auf dem Master nicht. Der behauptet stur, es seien keine Logs vorhanden.

    Ich befürchte, dass das ein Bug im Webinterface ist. Habe aber die Hoffnung, dass man das mit einem Konsolenbefehl oder Edit wieder richten kann. Neustart des Webinterfaces über Konsole löst das Problem leider nicht.

    lG
    K



  • Noch mal zur Visualisierung: So schaut es auf der Master-FW aus:
    Broken Log

    Und so auf dem Slave (wie es sein sollte):
    Log

    Ich würde ungern eine Neuinstallation vornehmen und die Logs per Konsole auszulesen ist wegen dem RAW Format auch recht mühsam.

    Natürlich könnte ich stets auf die Backup-FW wechseln, wenn ich die Logs ansehen möchte, aber falls bei der ebenfalls der Bug auftritt, bin ich ziemlich hilflos.


  • Rebel Alliance Moderator

    Hast du schonmal die Logs auf dem Primary mit dem Phänomen über die Settings gepurged/gelöscht? Sind dann welche aufgetaucht?



  • @jegr
    Über die Settings habe ich mal "Reset Log Files" ausgeführt, hat leider nicht geholfen. Der SystemLog resettet brav, die RuleLogs zeigen aber weiterhin das unerwünschte Verhalten.


  • Rebel Alliance Moderator

    Andere Frage: Sind Sachen zum Loggen ausgewählt? Unter den general settings die default blocks bspw.? Ist da was anders als auf dem Slave? Hast du mal manuell eine Regel mit aktivem Logging getestet um Logeinträge zu triggern?



  • @jegr
    Ja sind es.
    Wie du auf den Bildern (hoffentlich) siehst, wird ja auch aktiv geblockt und dies auch geloggt. Das kann ich aber nur auf der Backup-Firewall verfolgen, während die Main so tut, als wäre keine Logfile da. Die ist aber physisch präsent und wird auch befüllt (grade eben mit clog aufgezeichnet):

    Jun  7 16:10:03 pfsenseint_main filterlog: 9,16777216,,1000000103,em0,match,block,in,0,bad-hlen=0),0
    Jun  7 16:10:03 pfsenseint_main filterlog: 20,16777216,,1000000202,em2,match,pass,in,0,bad-hlen=0),0
    
    

  • Banned

    Hast du vielleicht einen Filter bei der Anzeige der Logs eingestellt?



  • @grimson Nein, das habe ich auch schon in Verdacht gehabt, aber der Filter ist quasi jungfräulich.



  • Das Problem wurde durch ein Update der Firewall von der Kommandozeile aus gelöst.
    🙄


Log in to reply