Répertoire de logs



  • Bonjour,

    J'ai une machine avec 300Go en raid et pour me conformer aux règles de la boite, j'ai créé une partition de 8G pour installer pfSense. Le système en lui même.
    J'aimerais utiliser le restant du disque pour stocker les logs.

    J'ai deux soucis:
    le premier, l'utilitaire sysinstall n'est pas présent, contrairement à une FreeBSD. Je ne sais donc pas comment utiliser l'espace restant de mon disque..
    le deuxième, je ne trouve nul part sur l'interface http comment paramétrer le path pour stocker les logs..

    [2.1.3-RELEASE][admin@***********]/root(4): fdisk
    ******* Working on device /dev/mfid0 *******
    parameters extracted from in-core disklabel are:
    cylinders=36404 heads=255 sectors/track=63 (16065 blks/cyl)

    Figures below won't work with BIOS for partitions not in cyl 1
    parameters to be used for BIOS calculations are:
    cylinders=36404 heads=255 sectors/track=63 (16065 blks/cyl)

    Media sector size is 512
    Warning: BIOS sector numbering starts with sector 1
    Information from DOS bootblock is:
    The data for partition 1 is:
    sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
        start 63, size 16787862 (8197 Meg), flag 80 (active)
            beg: cyl 0/ head 1/ sector 1;
            end: cyl 20/ head 254/ sector 63
    The data for partition 2 is:
    sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
        start 16787925, size 568042335 (277364 Meg), flag 0
            beg: cyl 21/ head 0/ sector 1;
            end: cyl 563/ head 254/ sector 63
    The data for partition 3 is:
    <unused>The data for partition 4 is:
    <unused>[2.1.3-RELEASE][admin@]/root(8): df -h
    Filesystem      Size    Used  Avail Capacity  Mounted on
    /dev/mfid0s1a    1.3G    53M    1.1G    4%    /
    devfs            1.0k    1.0k      0B  100%    /dev
    /dev/mfid0s1d      2G    18M    1.8G    1%    /var
    /dev/mfid0s1e    484M    500k    444M    0%    /tmp
    /dev/mfid0s1f    3.1G    164M    2.7G    6%    /usr
    /dev/md0        3.6M    50k    3.3M    1%    /var/run
    devfs            1.0k    1.0k      0B  100%    /var/dhcpd/dev
    [2.1.3-RELEASE][admin@
    ]/root(9): more /etc/fstab

    Device                Mountpoint      FStype  Options        Dump    Pass#

    /dev/mfid0s1a          /              ufs    rw              1      1
    /dev/mfid0s1b          none            swap    sw              0      0
    /dev/mfid0s1d          /var            ufs    rw              2      2
    /dev/mfid0s1e          /tmp            ufs    rw              2      2
    /dev/mfid0s1f          /usr            ufs    rw              2      2
    [2.1.3-RELEASE][admin@***********]/root(10):</unused></unused>

    EDIT:
    Contexte: milieu pro, nouvelle installation, première utilisation de pfSense
    Besoin: fournir un accès internet à des box ayant une @IP privée. pfSense est principalement utilisé pour du NAT donc.
    WAN: routeur, @IP publique statique
    LAN: pas d'@IP sur la patte LAN. elle est raccordée à un routeur et porte des vlans (et donc @IP) qui arrivent chacun sur un VPRN du routeur
    OPT1: Admin
    NAT: Outbound NAT 1 vers N, interface: WAN, source: plage @IP privée des box
    Firewall: http/s bloqués sur toutes les interfaces (y compris vlan) sauf OPT1; pour chaque vlan: en provenance de la plage d'@IP privée du vlan, tout est autorisé
    aucun package

    Il faut pouvoir accéder aux logs de connexion des box, afin de pouvoir savoir qui fait quoi sur le net, en cas de requête judiciaire par exemple. plusieurs centaines de box, d'où des logs importants et la volonté de les séparer de l'OS (même si même HDD..).



  • Quelques remarques :

    • Vous n'utilisez pas le formulaire pour présenter votre problème, et ce n'est pas bien : comme vous fournissez pas mal d'infos, ce ne devrait pas être difficile de remettre en forme correcte

    • vous ne précisez pas s'il y a des packages installés !

    • quels logs ? pas de précision !

    Selon le type de logs, et je pense que ce sont les logs de Squid, il y a une bonne façon de faire et de multiples mauvaises.

    • log Syslog : à envoyer sur un serveur syslog central
    • log Squid : NE PAS utiliser le package Squid à partir d'une certaine taille : mettre en place un serveur dédié à Squid avec son stockage de logs


  • Bonjour,

    Avez-vous une idée de comment créer slices et partitions avec pfSense svp?

    Merci d'avance,



  • Salut salut

    je ne vois pas ou est le soucis, si vous faites une installation propre vous n'avez pas à vous soucier de cela, en auto install c'est des plus simple.

    Cordialement.



  • J'aimerais utiliser le restant du disque pour stocker les logs.

    On ne sait pas de quels logs il s'agit. Quoi qu'il en soit vous avez une problématique de log management et Pfsense n'a rien à voir lé dedans. Il est évident que vous devez vous tourner vers une solution de gestion et stockage des logs mais ce n'est pas pfsense qui va le faire. L'idée de tenter de modifier le partitionnement disque utilisé par Pfsense est assez curieuse.

    je ne trouve nul part sur l'interface http comment paramétrer le path pour stocker les logs..

    L'interface prévoir de pouvoir stocker les logs à l'extérieur de Pfsense, ce qui est vivement conseillé (Status: System logs: Settings) . Puis renseigner Remote Syslog Servers.
    C'est vraiment la méthode rationnelle et sensée de faire les choses. Ce qui n'empêche pas de faire en matière de proxy ce qui est préconisé par Jdh. Bien au contraire. Le bon outil pour chaque tâche. La sécurité passe aussi par là. On évitera les contorsions et acrobaties dangereuses.



  • Ce fil tourne très mal !

    • pas d'utilisation du formulaire de présentation
    • malgré cela des questions … sans réponses.
    • et toujours d'autres questions

    Je ne suis pas d'accord pour répondre !

    On ne sait pas de quels logs il s'agit.

    On ne sait TOUJOURS pas de quels logs il s'agit !



  • Salut salut

    C'est surtout un revisite du formulaire à la vas y que je te pousse.

    En relisant, je remarque un manque aussi de recherche sur le sujet et encore plus sur le forum.

    Cordialement.



  • Bonjour,

    J'ai fait un edit en utilisant le formulaire, je ne comprends pas pourquoi vous dites que je ne l'utilise pas.
    Les logs, je les ai précisés dans mon edit, ce sont les logs de connexions des box, du nat, du firewall.

    Concernant le disque, si je l'ai partitionné, c'est pour me plier à la politique de l'entreprise, à savoir 8Go pour l'OS. Tout le reste sur un autre disque/partition.

    Cdlt



  • Je me moque de la politique de l'entreprise … surtout si elle est déconnectée de la réalité !

    Il aurait été préférable de faire un nouveau post en utilisant le formulaire : relire un post pour cause de modif est particulièrement désagréable : imaginez que vous être obligé à chaque fois de relire un bouquin depuis la première page !

    La formulation
    Il faut pouvoir accéder aux logs de connexion des box, afin de pouvoir savoir qui fait quoi sur le net, en cas de requête judiciaire par exemple. plusieurs centaines de box
    n'utilise pas les termes habituels !

    La loi (janvier 2006) oblige les fournisseurs d'Internet de loguer le trafic Internet.
    Cela NE PEUT ETRE réalisé qu'au travers d'un proxy (le plus généralement Squid) et certainement pas d'un firewall !
    A partir d'une dimension comme la votre, il est ESSENTIEL de créer un proxy dédié.
    Dans ce proxy dédié, vous aurez le loisir d'archiver durant 1 an (ce qui est demandé par la loi).

    Donc, pour votre firewall, oubliez le partitionnement qui est inutile.
    Pensez à la création d'un proxy dédié, la mise en place de blacklist, le stockage des logs, …



  • salut salut

    @jdh  ==> ne faire un cahier des charges (cours ce cacher), la colère n'est pas bonne conseillère, la diplomatie est plus efficace même devant la méconnaissance d'un sujet qui est, je conçoie, une impératif à avoir et surtout maitriser pour comprendre ce qu'est un pare-feu d'un simple routeur, voir les deux.

    @all

    Si un formulaire à été mis en place c'est pour éviter d'avoir une xieme discussion de ce type qui n'apporte rien.
    Les remarques que certain d'entre nous, ne sont pas la pour vous mettre des battons dans les roues ou autres concepts ineptes.

    Un pare-feu est un pare-feu et pas un marchand de glaces, le tout en un c'est bien pour de très très petites structures avec un budget plus que limité.
    Pour vous des solutions vous ont été données du moins des pistes (très vivement) à suivre face à votre structure.

    Pour information rajouter un élément en plus créée potentiellement un trou dans la sécurité de votre SI, les responsables décisionnelles oublient que dans le cas d'un sinistre/incident informatique où il est avéré qu'ils ont été informés des risques et qu'ils font procédé à l'ajout de ce dit module non sécure, est de leur responsabilité juridique, quand les données du SI se retrouvent en libre accès sur l'extérieur, qu'ils soient ou non encore dans les effectifs de l'entreprise. si les disposition légale n'ont pas changé.

    En résumé vous aller faire de la course F1 avec un monter truck à plus de 300km/h et freiner avec la force d'inertie d'un paquebot arrivant à pleine vitesse sur un quai, le résultat est plus que sur et prévisible.

    Cordialement.