Server log y Pfsense



  • Buenos dias, tengo varios FreeBSD funcionado, uno de ellos  esta
    capturando los logs de los otros servidores, he  verificado los
    archivos y observo entradas de todos los  freebsd menos el pfsense,
    caso mas especifico los paquetes  que son rechazados (o mejor dicho
    las reglas que tengo  creadas para que las deje en el log), googleando
    encontre que  recomiendan usar syslog-ng, asi que procedi a instalar
    el  port y configurarlo, el mismo captura los logs de los otros 
    freebsd he incluso de un router, mas no del pfsense, pense  que era
    una regla y permiti el trafico por el puerto UDP 514,  mas aun asi no
    se registran los logs.

    El server log es un FreeBSD 6.1-RELEASE  El syslog-ng config es el
    que trae por defecto El syslog del  pfsense esta asi:

    more /etc/syslog.conf

    !ntpd
    .                                            %/var/log/ntpd.log
    !racoon
    .                                            %/var/log/ipsec.log
    .                                            @172.16.7.40
    !openvpn
    .                                            %/var/log/openvpn.log
    .                                            @172.16.7.40
    !-ntpd,racoon,openvpn
    local0.*                                        %/var/log/filter.log
    local3.*                                        %/var/log/vpn.log
    local4.*                                        %/var/log/portalauth.log
    local7.*                                        %/var/log/dhcpd.log
    .notice;kern.debug;lpr.info;mail.crit;        %/var/log/system.log
    news.err;local0.none;local3.none;local4.none;  %/var/log/system.log
    local7.none                                    %/var/log/system.log
    security.
                                          %/var/log/system.log
    auth.info;authpriv.info;daemon.info            %/var/log/system.log
    local1.*                                        %/var/log/slbd.log
    auth.info;authpriv.info                        |exec /usr/local/sbin/sshlockout_pf
    .emerg                                        *
    local0.
                                            @172.16.7.40
    local3.*                                        @172.16.7.40
    local4.*                                        @172.16.7.40
    local7.*                                        @172.16.7.40
    .notice;kern.debug;lpr.info;mail.crit;        @172.16.7.40
    news.err;local0.none;local3.none;local7.none    @172.16.7.40
    security.
                                          @172.16.7.40
    auth.info;authpriv.info;daemon.info            @172.16.7.40
    *.emerg                                        @172.16.7.40

    Algo que si he notado es que en filter.log es donde se  guardan los
    eventos del pf, sospecho que tiene que ver con el  formato entre el
    log de freebsd (texto plano) y el formato  que maneja pfsense

    P.D el server logs fue añadido por el menu de pfsense



  • ¡Hola!

    Perdona, a parte de configurar en pfSense [Status][System logs][Settings] tu [Remote syslog server] supongo que tienes la casilla [Enable syslog'ing to remote syslog server] que hay encima …

    Saludos,

    Josep Pujadas



  • estan activos:
    Show log entries in reverse order (newest entries on top)
    Log packets blocked by the default rule
    Enable syslog'ing to remote syslog server
    –----system events
    ------firewall events(que es el que me intereza
    ------DHCP service events
    ------Portal Auth

    He estado verificando en el server logs y registra solo los system events del pfsense.

    Mas datos:
    Version 1.0.1
    built on Sun Oct 29 01:07:16 UTC 2006
    128 de ram, modo bridge transparente.
    el server log esta de lado de la interface WAN, no esta en la misma red, pero ambas redes se ven entre si.
    puedo hacer ping entre ambos servidores.



  • ¡Hola de nuevo!

    O sea que funcionar, funciona, pero no ves los eventos del cortafuegos …

    ¿Seguro que tu bridge está haciendo de cortafuegos? Es decir, ¿ tienes en [System][Advanced] activada la casilla [Filtering
    Bridge] ?, porque de lo contrario no filtra nada el cortafuegos.

    Hasta pronto,

    Josep Pujadas



  • hola,
    De hecho si esta activa la casilla y si esta funcionado como cortafuegos, incluso los eventos del firewall si estan siendo registrado en el log local, mas no en el logs server, los que si identifico es que localmente el pfsense los registra en un archivo llamado filter.log, y en mis otros server freebsd los registra localmente en security.log, de hecho el server logs guarda todo en security.log, cree un archivo en el server logs llamado filter.logs y añadi la entrada en el syslog-ng.conf para que lo que llegara de el pfsense lo copiara alli (cuestion mia tratando de que sea igual los logs del pfsense y freebsd) pero el archivo se mantiene en 0 bytes. la pregunta seria ¿los logs del pfsense estan es texto plano?



  • ¡Hola!

    No sé qué formato se emplea …

    ¿ Has probado a marcar la casilla que dice [Disable writing log files to the local ram disk] ?

    No tendría sentido pero igual ….

    No sé qué tal andas de inglés, pero igual tendrías que postear el tema en [General Discussion]:

    http://forum.pfsense.org/index.php/board,1.0.html

    porque tampoco veo un apartado específico para logging …

    Saludos,

    Josep Pujadas



  • si, también intente con esa opción sin ningún resultado, intentare preguntando (ingles) si alguien a intentado enviar logs a un server logs antes…

    Del resto funciona a mil maravillas el pfsense, aun creo que debe ser algo de formato, aunque también puede ser algo que falte en el server logs para que se entienda con el pfsense, seguiré investigando...



  • quizás como una prueba rápida te valga un syslog-server muy conocido: kiwi syslog , o 3comsyslog , no he tenido ningún problema cuando los probé , para recojer los logs del pfsense.
    Instalate uno en algún windows ,y probar si llegan hasta el los logs no deveria suponer mas de 10 minutos.
    (no hizo falta mas que configurar la ip del pfsense en uno de los casos)


Log in to reply