Exporter logs



  • Bonjour, je voudrais savoir s'il y a possibilité d'exporter les logs de PfSense en format txt ou html.

    Merci.



  • Dans le cadre d'une exploitation un peu professionnelle il est indispensable de conserver beaucoup plus de logs que Pfsense ne le fait. Pour cela il est hautement souhaitable de rediriger les logs vers une machine externe, un serveur de logs. C'est non seulement préférable pour l'exploitation, mais pour la sécurité de votre SI. Plusieurs mois de logs peuvent s'avérer nécessaire notamment pour satisfaire à des demandes judiciaires ou simplement pour appuyer un dossier judiciaire.

    Les solutions de serveur de logs, gratuites, ce n'est pas ce qui manque. Graylog2, Splunk, …



  • Je complète ccnet :

    • il y a les logs de type syslog : aisément transférable vers un serveur centralisateur (je viens d'en mettre un en place avec Debian/rsyslog/LogAnalyser), à faire absolument …
    • il y a les logs de Squid : la nature est très différente : ce n'est absolument pas destiné à être transféré par réseau en direct

    Mais de toute façon comme il NE FAUT PAS installer Squid sur pfSense ...



  • Je confirme et j'approuve. IL E FAUT PAS.



  • NB : C'est assez facile de créer un serveur syslog centralisateur :

    • Debian (Wheezy/64)
    • mysql
    • rsyslog (est de base)
    • apache+php
    • loganalyser
      puis
    • snare pour les serveurs Windows
    • . @@(ip):514 pour les serveurs Linux (en rsyslog)

    Ca fonctionne immédiatement.

    cf http://tavie.onsenfout.com/2011/07/05/consolidation-des-logs-avec-rsyslog-mysql-et-loganalyser/
    et http://tavie.onsenfout.com/2012/03/08/optimisations-loganalyser/ (à faire de suite)



  • Je viens de télécharger Syslog Server de SolarWinds sous Windows. Est-il possible de gérer les logs de deux serveurs PfSense sur la même solution ?

    Merci.



  • Oui et d'autres logs aussi, c'est d'ailleurs extrêmement pratique cette centralisation des logs. Exemple : Pfsense, Relay smtp Postfix, 3 Vmware sur le même serveur et des requêtes prédéfinies : par exemple les mail rejetés.
    Snare est aussi un complément très intéressant pour intégrer les logs Windows.



  • Je ne sais pas comment faire, en effet, j'ai un PfSense 1  avec un réseau LAN1 en 192.168.200.200/24 et un autre Pfsense 2  avec la LAN en  192.168.100.100/24

    J'ai mis mon Syslog sur un Windows dans le même réseau que le LAN du Pfsense 1, tout marche. J'aimerai récupérer les logs du PfSense 2. Sachant que le Syslog est dans le réseau Pfsense 1 et pas dans celui du Pfsense2, est-ce possible ?



  • Problème de routage ou de filtrage ou les deux.
    Dans la configuration d'un client je stock mes logs en provenance de 3 zones différentes sans difficulté. Réfléchissez un peu. Posez votre schéma réseau … Comment pfsense 2 peut il joindre le serveur syslog ?



  • Les deux réseaux sont complètement étanches, il n'y a aucun lien ni adresse en commun.



  • Dans ce cas comment avez vous pu imaginer que cela puisse fonctionner ? Si vous postiez un schéma on y verrait plus clair !



  • J'ai mis mon Syslog sur un Windows dans le même réseau que le LAN du Pfsense 1, tout marche.

    Le plus simple serait encore de mettre une seconde ip dans l'autre réseau sur le serveur Syslog.



  • Je pense pas que cette solution soit possible avec le serveur syslog que j'ai choisi



  • Là je ne vois plus ce qui est possible sans modifier l'architecture. Il ne serait pas absurde que des services d'infrastructure soient mutualisés entre les deux réseaux sans pour autant abandonner le principe de la séparation.



  • @ccnet:

    Je confirme et j'approuve. IL E FAUT PAS.

    Bonjour,

    J'aimerais connaitre la raison de ne pas installer SQUID ? Espace disque consommé ? Charge CPU/RAM ?

    Je suis curieux de connaitre vos avis éclairés en la matière :-)

    A+



  • Cette question a été maintes et maintes fois présentée …

    Il est question de rapports entre besoins et ressources ...

    Ce qui serait plutôt intelligent, ce serait que vous recherchiez et en fassiez votre synthèse (à l'intention ce ceux qui ne veulent pas chercher et veulent que du tout cuit !)



  • Bonjour,

    Je dirais donc que le choix ou non d'utiliser Squid/SquidGuard se fera en fonction de la demande Client (désir de mise ne cache des pages les plus courantes, filtrage d'URL's, etc…).

    Au vue de la lecture rapide des réponses apportées (IL NE FAUT PAS....), la réponse est tout aussi courte que ma question :-) et n'apporte pas plus d'eau au moulin.

    J'ai bien conscience que plus de détails et d'analyses étayeraient la question, mais ayant lu "IL NE FAUT PAS...", je me demande si légitimement ce paquetage pose soucis ou non à l'usage  ???

    Cdlt.



  • Cette question a été maintes et maintes fois présentée …    dans beaucoup de fils sur ce site (et d'autres).

    Soit vous faites l'idiot : vous ne voulez pas lire les autres fils, en faire une synthèse, ne serait que suivre les hypothèses que, vous même avancez
    Soit rien

    Squid est un package, qui peut fonctionner, mais qu'il ne faut pas mettre en oeuvre à partir d'une certaine taille et compte tenu des caractéristiques du matériels.
    Cela peut paraitre incohérent alors que c'est en fait parfaitement cohérent !

    Il y a des raisons à cela. Et un esprit carré peut les comprendre si tant est qu'il prend juste 1 ou 2 minutes de réflexion.



  • Manifestement vous n'avez pas beaucoup cherché. La réponse ne s'est pas limitée à ce que vous décrivez. Un exemple, parce que je ne vais pas refaire tout le développement. Un proxy produit beaucoup de logs. Que se passe t il si le disque est saturé ? Votee firewall est compromis, il cesse de fonctionner correctement, on ne peux plus par exemple se connecter à l'inteface d'administration. C'est un exemple des risques encourus. Il y en a d'autres.

    Je dirais donc que le choix ou non d'utiliser Squid/SquidGuard se fera en fonction de la demande Client (désir de mise ne cache des pages les plus courantes, filtrage d'URL's, etc…).

    Non. Les modalitéS techniques sont indépendantes de ce choix. D'ailleurs pour l'entreprise y a t il vraiment un choix compte tenu de la législation ? La réponse est non.

    Tout cela a été très largement exposé et argumenté sur ce forum.



  • Rassurez vous, je ne tente pas de faire l'idiot  :o :o :o

    Je vais donc fouiller à ce sujet sur "To be Squid or not be Squid", le matériel sera un appliance OSNET FWA3020 (deux en fait en CARPI/pfSync), 60 utilisateurs environ.

    J'ai déjà lu et vu que Squip + CARPI/pfsync = moyen.

    Je vais donc suivre vos conseils et de vous faire un feedback in fine.

    Merci encore.





  • Plutôt que fournir un lien qui donne juste une idée, il serait judicieux pour vous de parcourir au moins une 20aine de fils et en faire la synthèse …

    Si le firewall est une appliance, utiliser un proxy dédié devient (presque) totalement obligatoire ...



  • @jdh:

    Plutôt que fournir un lien qui donne juste une idée, il serait judicieux pour vous de parcourir au moins une 20aine de fils et en faire la synthèse …

    J'en suis rendu à une dizaine, surtout dans la section en anglais :)

    Si le firewall est une appliance, utiliser un proxy dédié devient (presque) totalement obligatoire …

    Voilà une (bonne) réponse qui me convient et me rassure dans ce cas !



  • Ce n'est pas par hasard que j'écris cela, c'est en application d'une évidence (une fois écrite, pour certains)


Log in to reply