Server log y Pfsense

foxtrop

Buenos dias, tengo varios FreeBSD funcionado, uno de ellos  esta
capturando los logs de los otros servidores, he  verificado los
archivos y observo entradas de todos los  freebsd menos el pfsense,
caso mas especifico los paquetes  que son rechazados (o mejor dicho
las reglas que tengo  creadas para que las deje en el log), googleando
encontre que  recomiendan usar syslog-ng, asi que procedi a instalar
el  port y configurarlo, el mismo captura los logs de los otros 
freebsd he incluso de un router, mas no del pfsense, pense  que era
una regla y permiti el trafico por el puerto UDP 514,  mas aun asi no
se registran los logs.

El server log es un FreeBSD 6.1-RELEASE  El syslog-ng config es el
que trae por defecto El syslog del  pfsense esta asi:

more /etc/syslog.conf

!ntpd
.                                            %/var/log/ntpd.log
!racoon
.                                            %/var/log/ipsec.log
.                                            @172.16.7.40
!openvpn
.                                            %/var/log/openvpn.log
.                                            @172.16.7.40
!-ntpd,racoon,openvpn
local0.*                                        %/var/log/filter.log
local3.*                                        %/var/log/vpn.log
local4.*                                        %/var/log/portalauth.log
local7.*                                        %/var/log/dhcpd.log
.notice;kern.debug;lpr.info;mail.crit;        %/var/log/system.log
news.err;local0.none;local3.none;local4.none;  %/var/log/system.log
local7.none                                    %/var/log/system.log
security.                                      %/var/log/system.log
auth.info;authpriv.info;daemon.info            %/var/log/system.log
local1.*                                        %/var/log/slbd.log
auth.info;authpriv.info                        |exec /usr/local/sbin/sshlockout_pf
.emerg                                        *
local0.                                        @172.16.7.40
local3.*                                        @172.16.7.40
local4.*                                        @172.16.7.40
local7.*                                        @172.16.7.40
.notice;kern.debug;lpr.info;mail.crit;        @172.16.7.40
news.err;local0.none;local3.none;local7.none    @172.16.7.40
security.                                      @172.16.7.40
auth.info;authpriv.info;daemon.info            @172.16.7.40
*.emerg                                        @172.16.7.40

Algo que si he notado es que en filter.log es donde se  guardan los
eventos del pf, sospecho que tiene que ver con el  formato entre el
log de freebsd (texto plano) y el formato  que maneja pfsense

P.D el server logs fue añadido por el menu de pfsense

bellera

¡Hola!

Perdona, a parte de configurar en pfSense [Status][System logs][Settings] tu [Remote syslog server] supongo que tienes la casilla [Enable syslog'ing to remote syslog server] que hay encima …

Saludos,

Josep Pujadas

foxtrop

estan activos:
Show log entries in reverse order (newest entries on top)
Log packets blocked by the default rule
Enable syslog'ing to remote syslog server
–----system events
------firewall events(que es el que me intereza
------DHCP service events
------Portal Auth

He estado verificando en el server logs y registra solo los system events del pfsense.

Mas datos:
Version 1.0.1
built on Sun Oct 29 01:07:16 UTC 2006
128 de ram, modo bridge transparente.
el server log esta de lado de la interface WAN, no esta en la misma red, pero ambas redes se ven entre si.
puedo hacer ping entre ambos servidores.

bellera

¡Hola de nuevo!

O sea que funcionar, funciona, pero no ves los eventos del cortafuegos …

¿Seguro que tu bridge está haciendo de cortafuegos? Es decir, ¿ tienes en [System][Advanced] activada la casilla [Filtering
Bridge] ?, porque de lo contrario no filtra nada el cortafuegos.

Hasta pronto,

Josep Pujadas

foxtrop

hola,
De hecho si esta activa la casilla y si esta funcionado como cortafuegos, incluso los eventos del firewall si estan siendo registrado en el log local, mas no en el logs server, los que si identifico es que localmente el pfsense los registra en un archivo llamado filter.log, y en mis otros server freebsd los registra localmente en security.log, de hecho el server logs guarda todo en security.log, cree un archivo en el server logs llamado filter.logs y añadi la entrada en el syslog-ng.conf para que lo que llegara de el pfsense lo copiara alli (cuestion mia tratando de que sea igual los logs del pfsense y freebsd) pero el archivo se mantiene en 0 bytes. la pregunta seria ¿los logs del pfsense estan es texto plano?

bellera

¡Hola!

No sé qué formato se emplea …

¿ Has probado a marcar la casilla que dice [Disable writing log files to the local ram disk] ?

No tendría sentido pero igual ….

No sé qué tal andas de inglés, pero igual tendrías que postear el tema en [General Discussion]:

http://forum.pfsense.org/index.php/board,1.0.html

porque tampoco veo un apartado específico para logging …

Saludos,

Josep Pujadas

foxtrop

si, también intente con esa opción sin ningún resultado, intentare preguntando (ingles) si alguien a intentado enviar logs a un server logs antes…

Del resto funciona a mil maravillas el pfsense, aun creo que debe ser algo de formato, aunque también puede ser algo que falte en el server logs para que se entienda con el pfsense, seguiré investigando...

EnderBI

quizás como una prueba rápida te valga un syslog-server muy conocido: kiwi syslog , o 3comsyslog , no he tenido ningún problema cuando los probé , para recojer los logs del pfsense.
Instalate uno en algún windows ,y probar si llegan hasta el los logs no deveria suponer mas de 10 minutos.
(no hizo falta mas que configurar la ip del pfsense en uno de los casos)