Disque Dur USB pour les log



  • Bonjour,

    je me demandais s'il était possible de connecter un disque dur USB sur Pfsense afin de sauvegarder des logs?

    Et vous comment conservez vous les votres?

    D'avance merci pour votre retour d'expérience.

    Nusa



  • [Translation]
    Hello everybody
    Is it possible to use an external USB disk (key) to save the syslog files ?
    How do you save yours when you only have a internal Wifi (hotspot) network and a WAN network available?
    Is it possible to use a remote (on the net) syslogger  ? URL ou IP only ?

    Thanks for any feedback or experiences on this subject.

    Nusa

    Et bien -> ptdr.

    Toi ici ?? moi justement pour voir si je trouve une réponse sur ta question ….  :)

    Je teste tout ce soir.



  • Merci gertjan pour ton aide. Je teste actuellement une clef USB 512 Mo en FAT32… elle est détecté par Pfsense. reste à la monter et à l'intégrer dans le fstab. Par contre j'ai pas mal de message d'erreur :

    ct 17 18:13:39 kernel: umass0: vendor 0x0930 USB Flash Memory, rev 2.00/1.00, addr 2
    Oct 17 18:13:41 kernel: da0 at umass-sim0 bus 0 target 0 lun 0
    Oct 17 18:13:41 kernel: da0: < USB Flash Memory 1.04> Removable Direct Access SCSI-0 device
    Oct 17 18:13:41 kernel: da0: 1.000MB/s transfers
    Oct 17 18:13:41 kernel: da0: 489MB (1001472 512 byte sectors: 64H 32S/T 489C)
    Oct 17 18:13:41 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:41 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:41 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:41 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:41 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:41 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:42 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:42 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:42 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:42 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:42 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:42 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:42 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:42 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:42 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:42 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:43 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:43 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0
    Oct 17 18:13:43 kernel: umass0: Phase Error, residue = 0
    Oct 17 18:13:43 kernel: (da0:umass-sim0:0:0:0): Synchronize cache failed, status == 0x4, scsi status == 0x0

    Nusa



  • Noop, I'm having a real school scenario here:

    In dmesg:

    umass0: Kingston DataTraveler 2.0, rev 2.00/1.00, addr 2
    da0 at umass-sim0 bus 0 target 0 lun 0
    da0: <kingston datatraveler="" 2.0="" pmap=""> Removable Direct Access SCSI-0 device
    da0: 1.000MB/s transfers
    da0: 3936MB (8060928 512 byte sectors: 255H 63S/T 501C)
    GEOM_LABEL: Label for provider da0s1 is msdosfs/KINGSTON.</kingston>
    

    So, me saying: "Why not - looking good - let's have a try…":

    # ls /dev/da*
    /dev/da0        /dev/da0s1
    # chmod 666 /dev/da0s1
    # mount -t msdos /dev/da0s1 /mnt
    # ls /mnt
    CamPlay.exe
    WMPInfo.xml
    gendarmerie-jecoute.mp3
    gre-final.avi
    see-demo.avi
    see-sec-ssh-dcom-tunneling.avi
    wep-crack-see-new.avi
    #
    

    My first usb drive mount on FreeBSD  :)

    Having the logs being dumped on the usb drive (if present)  shouldn't be that difficult.
    Or: having a cron job making a copy every x minutes.

    This will help you automate the mounting: (french) : http://www.lri.fr/~burelle/BSD/USBKey-FreeBSD.html

    PS Running PFsense on a really old '2 USB ports v1' pc dating from 1998.



  • L'utilisation d'un syslog distant ne vous suffit pas ?



  • @Juve:

    L'utilisation d'un syslog distant ne vous suffit pas ?

    C'est une option, mais dans ce cas précis moins souhaitable.
    Le 'Remote syslog server' accepte un URL ou lieu d'un IP ?



  • Personellement, j'utilise un seveur syslog distant, mais je rejoint l'auteur de ce post,
    cela pourrait etre bien pratique d'avoir les logs sur un disque dur USB. je vais creuser l'idée.

    Par contre si j'ai bien compris les logs vont en mémoire (syslog avec patch clog)….
    Ai je bien compris? Serait ce difficile de les rerouter vers un disque dur usb?
    Merci de vos réflexions !
    Marcoof


Log in to reply