keine logs auf Haupt-Firewall, aber auf Backup
-
Hallo zusammen,
wie im Titel schon geschrieben, kann ich auf der Hauptfirewall (wir haben zwei in einem CARP-Cluster) keine Firewall-Logs sehen. Dort wird unter dem Reiter schlicht "No logs to display." angezeigt, während auf der Backup-Firewall diese brav angezeigt werden.
Die System logs werden angezeigt.Ich bin an dieser Stelle total überfragt. Habe schon die Logfiles resettet, die Einstellungen abgeglichen (obwohl das bei CARP ja sowieso die gleichen sein müssten), aber ich finde nichts.
Habt ihr da Ideen, woran es liegen könnte?
Liebe Grüße,
K -
Hi,
ich bin ja recht neu im Umgang mit der PFSense, jedoch solltest du via:
clog -f /var/log/filter.log
alles sehen, oder?
Zu CARP, der Slave ist noch slave und master ist auch als master aktiv? Sorry, wenn ich so dumm frage ;)
VG, p54
-
@p54
Ja, die Logs sind einwandfrei da, werden aktualisiert, etc.Der Slave ist Slave und der Master Master, alles in Ordnung bei CARP.
Auf den Slave werden ja die Logs übermittelt, die sind live und werden auf der Slave auch korrekt im Web Interface angezeigt.
Nur eben auf dem Master nicht. Der behauptet stur, es seien keine Logs vorhanden.
Ich befürchte, dass das ein Bug im Webinterface ist. Habe aber die Hoffnung, dass man das mit einem Konsolenbefehl oder Edit wieder richten kann. Neustart des Webinterfaces über Konsole löst das Problem leider nicht.
lG
K -
Noch mal zur Visualisierung: So schaut es auf der Master-FW aus:
Und so auf dem Slave (wie es sein sollte):
Ich würde ungern eine Neuinstallation vornehmen und die Logs per Konsole auszulesen ist wegen dem RAW Format auch recht mühsam.
Natürlich könnte ich stets auf die Backup-FW wechseln, wenn ich die Logs ansehen möchte, aber falls bei der ebenfalls der Bug auftritt, bin ich ziemlich hilflos.
-
Hast du schonmal die Logs auf dem Primary mit dem Phänomen über die Settings gepurged/gelöscht? Sind dann welche aufgetaucht?
-
@jegr
Über die Settings habe ich mal "Reset Log Files" ausgeführt, hat leider nicht geholfen. Der SystemLog resettet brav, die RuleLogs zeigen aber weiterhin das unerwünschte Verhalten. -
Andere Frage: Sind Sachen zum Loggen ausgewählt? Unter den general settings die default blocks bspw.? Ist da was anders als auf dem Slave? Hast du mal manuell eine Regel mit aktivem Logging getestet um Logeinträge zu triggern?
-
@jegr
Ja sind es.
Wie du auf den Bildern (hoffentlich) siehst, wird ja auch aktiv geblockt und dies auch geloggt. Das kann ich aber nur auf der Backup-Firewall verfolgen, während die Main so tut, als wäre keine Logfile da. Die ist aber physisch präsent und wird auch befüllt (grade eben mit clog aufgezeichnet):Jun 7 16:10:03 pfsenseint_main filterlog: 9,16777216,,1000000103,em0,match,block,in,0,bad-hlen=0),0 Jun 7 16:10:03 pfsenseint_main filterlog: 20,16777216,,1000000202,em2,match,pass,in,0,bad-hlen=0),0
-
Hast du vielleicht einen Filter bei der Anzeige der Logs eingestellt?
-
@grimson Nein, das habe ich auch schon in Verdacht gehabt, aber der Filter ist quasi jungfräulich.
-
Das Problem wurde durch ein Update der Firewall von der Kommandozeile aus gelöst.