Filtrer les logs du pare-feu



  • Bonjour à tous,
    Je met en place une plate-forme pfSense, j'ai configurer le CARP pour faire du failover. Jusque ici tout fonctionne.

    Cependant maintenant mes logs du pare-feu sont "pourris" par des requête VRRP, je ne peux plus voir aucune autre informations.

    Quelqu'un aurait-il un astuce pour pouvoir retirer cette notification des logs ?

    Merci d'avance,

    Bastichou



  • je crains qu'il n'y ai pas de solution telle que vous l'imaginez. Ou du moins, si astuce il y a, je ne la connais pas. Néanmoins je m’abstiendrai de toucher la configuration de Pfsense autrement que par l'interface prévue. Mais tout n'est pas perdu.
    Les logs de Pfsense, dans Pfsense, sont difficilement exploitables dans un contexte de production ou une bonne traçabilité est requise. J'active le plus souvent le stockage sur un serveur distant. Depuis quelques semaines je teste avec satisfaction Graylog2 à partir de la version packagée pour une vm : Partylog2. Cette appli vous permettra de faire ce que vous souhaitez. Il existe aussi un préprocesseur qui fonctionne avec Graylo2 : LOGSTASH.



  • (Pour compléter ccnet …)

    Les log pfSense sont consultables directement sur l'interface web de management (avec des "découpages" selon le sujet).
    Il est prudent et sûr de les envoyer vers un serveur "syslog" interne (d'où ils ne pourraient être effacé si pfSense venait à être compromis).

    En général, on créé un serveur de réception "syslog" et on y adjoint une interface web de consultation/filtrage.
    Il existe des outils pour expédier les "events" de serveurs Windows (observateur d'évènements).

    C'est pratique d'avoir un endroit pour consulter TOUS les logs de ses serveurs, firewall, imprimantes, ...



  • Merci pour vos réponses !
    Je vais essayer ca !


Locked