Archiver localement les logs sur pfsense



  • Bonjour,

    Étant nouvel utilisateur de pfsense je cherche aujourd'hui un systeme de garder les logs en local (les visualiser en human readeable (pour les 7 derniers jour), les compresser et après et les supprimer au bout de 3 mois) j'ai bien sur un disque dur de 320 Go présent sur la machine.

    Existe il un package qui permet tout ou partie de se que je recherche ?
    Sinon pouvez-vous me donner des pistes à creuser ?

    Merci d'avance,
    Minifab



  • Ce qui est logique en terme de logs serait plutôt de sortir les logs vers une machine interne dédiée à la fonction de stockage, recherche, tri …

    Il faut donc faire strictement l'inverse : pas de gros disque interne à un firewall (comment font les appliances ?).

    Par exemple, je regarderais du côté de syslog-ng ...



  • Bonjour,

    Tout d'abord merci pour votre retour, en effet c'est mon plan B, à défaut de pouvoir les stocker en interne mais je trouve dommage de ne pas utiliser la capacité du disque :).

    Minifab !



  • L'outil "basique de base" de gestion des logs est logrotate … non présent dans pfSense. (Corrigez moi si je me trompe)

    logrotate est (très) puissant :

    • rotation de log,
    • définition de rythme de rotation,
    • compression de fichiers logs,
    • transfert vers autre machine,
    • exécution de scripts …


  • Ok ok :) Merci à toi pour les conseils je vais creuser la piste sur logrotate.



  • Pour une gestion de logs plus poussée pfSense possède la capacité d'envoyer les logs vers un récepteur syslog, utilisez cette fonctionnalité, pfsense n'est pas conçu pour stocker les logs.



  • OK donc les 320 Go de disque ne seront jamais utilisés ? Je trouve ca dommage quand même.



  • C'est, en effet, un mauvais choix que d'acheter un disque de 320G pour un firewall.
    (Ce sera parfait comme disque du PC interne de stockage/analyse des logs)
    Comme c'est une mauvaise idée d'imaginer laisser les logs sur le firewalls.

    Dans Status > System logs > onglet Settings, on indique l'ip du serveur de log (remote syslog) et on coche les évènements à transférer (tous).

    Le serveur de log sera, par exemple, une Debian avec syslog-ng (ou rsyslog), les modules AMP, et php-syslog-ng …



  • Oui ok c'est juste que je n'avais pas cette "vision des choses" j'ai une VM debian qui tourne je va lui rajouter un peu d espace disque (100 Go) et lui installer syslo-ng.

    Merci pour tes conseils en tout cas :) Bon week end !



  • Je suis d'accord avec vous, le firewall n'est pas l'endroit pour stocker des loggs.

    Par contre pour ma part, Pfsense est installé sur un appliances  pour une installation isolée
    Je souhaiterais effectuer un transfert FTP toutes les x heures des derniers fichiers de logs vers un serveur FTP pour ensuite les supprimer localement.

    Hors la taille des logs txt semble rester fixe.

    Il ne m'est donc pas possible de mettre en œuvre une solution "batch" pour les logs du firewall.

    Avez-vous une idée pour soit

    • augmenter la taille du log à l'infini (à chaque vacation le log serrait déplacé)
    • mettre en route une solution de rotation des logs supporté par pfsense

    Merci d'avance pour vos commentaires.

    Thibaut



  • Juve a indiqué le bon outil dans le cas d'une appliance :

    ce qui convient c'est de transférer "au fil de l'eau" les logs système,
    il faut donc créer un serveur "syslog" qui recevra les logs, qui les stockera, qui les affichera (par exemple au travers d'une interface web), qui assurera la rotation, …

    Attention à ne pas imaginer que l'on pourrait faire de même avec les logs de Squid, c'est c'est TRES différent ...



  • Si je logge tous les packets, la volumétrie devrait être au moins égale à celle de squid non ?

    Si je n'ai pas la possibilité d'installer un serveur snmp sur le wan, n'est il pas possible de transférer les logs de manière journalière via ftp ou ssh ?



  • pfouff …

    Nous n'avons pas parlé de SNMP, Juve et moi avons parlé de syslog ! Cela n'a RIEN à voir !!

    syslog est fait "pour ça" ! Point. (Au passage, vous pourrez aussi y mettre les logs de vos machines Windows.)

    J'ai même cité les éléments nécessaires à une machine pour recueillir les logs. Alors que diable, lisez un peu ...

    (Cessez de mélanger tout avec Squid ...)


Log in to reply