Logs en la nube (logging as a service)

tsis

Buena tardes

hace unos meses encontre esta solucion cloud para almacenar los logs de cualquier firewall o linux/windows servidor, queria que usarlo con pfsense, pero me faltta la forma de hacerlo, tienen un procedimiento pero no funciona.

https://www.loggly.com/login/?next=/support

hay que instalar un cliente script en el pfsense pero no tiene los comandos creo para poder hacerlo,

Step 1: Configure Syslog Daemon

Run the automatic Configure-Syslog script below to make a configuration file. Alternatively, you can Manually Configure Rsyslog or Syslog-ng.

curl -O https://www.loggly.com/install/configure-linux.sh
sudo bash configure-linux.sh -a  -t 66d7dd93-62ae-4efe-8e53-ddc849bbbd72 -u

bellera

No estás con Linux, lo que tienes es un FreeBSD. Y, al parecer, esta solución no está preparada para FreeBSD.

	case "$LINUX_DIST_IN_LOWER_CASE" in
		*"ubuntu"* )
		echo "INFO: Operating system is Ubuntu."
		;;
		*"redhat"* )
		echo "INFO: Operating system is Red Hat."
		;;
		*"centos"* )
		echo "INFO: Operating system is CentOS."
		;;
		*"debian"* )
		echo "INFO: Operating system is Debian."
		;;
		*"amazon"* )
		echo "INFO: Operating system is Amazon AMI."
		;;
		*"darwin"* )
		#if the OS is mac then exit
		logMsgToConfigSysLog "ERROR" "ERROR: This script is for Linux systems, and Darwin or Mac OSX are not currently supported. You can find alternative options here: https://www.loggly.com/docs/send-mac-logs-to-loggly/"

En principio, tal como está pfSense, los logs pueden ser enviados automáticamente a un servidor de logs externo que los admita. Ver parte inferior de la imagen.

bellera

pfSense usa syslogd (servicio syslog) para guardar sus logs y, eventualmente, enviarlos a syslogd externos (tal como se dijo en el anterior mensaje).

El configurador web de pfSense escribe la configuración para syslogd en /var/etc/syslog.conf

---

En https://www.loggly.com/docs/streaming-syslog-without-using-files/ se explica cómo reenviar los resultados de syslogd a logs-01.loggly.com:514 (modo NO seguro) o a logs-01.loggly.com:6514 (modo seguro).

Para que loggly admita los logs estos deben ir con una cabecera que identifique el usuario de loggly.

---

La cabecera de syslogd para FreeBSD sigue los estándares pero NO puede ser modificada para incluir los datos de usuario de loggly.

http://stackoverflow.com/questions/22133307/how-to-change-the-header-format-of-syslog-messages

---

En pfSense dispones del paquete syslog-ng. Según el enlace anterior parece que syslog-ng sí admite configurar la cabecera. Desconozco la bondad del paquete syslog-ng en pfSense.

https://www.balabit.com/support/documentation (seleccionar syslog-ng Open Source Edition)

https://www.loggly.com/docs/syslog-ng-manual-configuration/

https://www.loggly.com/docs/syslog-ng-tls-configuration/

---

En https://www.loggly.com/docs/network-devices-and-routers/ explican que si el dispositivo NO puede enviar los logs directamente a loggly se emplee un equipo de logs que haga de relay (intermediario).

---

Google logging as a service

http://en.wikipedia.org/wiki/Logging_as_a_service

tsis

Gracias por la info, que te parece el producto loggly opcion free.  muchas gracias por todo.

bellera

¡De nada!

Por lo que veo, es una opción que da ubicuidad al administrador.

Es una forma de tener los logs a mano, estés donde estés.

tsis

la opcion puerto 514 funciona correctamente pero cuendo intento securizar la conexion me aparece que lo corta el Pfsense, aparece en los logs pero a la hora de crear la regla incluso desde el asistente aparece un puerto cerrado TCP:S, como se puede habilitar ese tipo de protocolo?

bellera

Para poder hacer la conexión segura se precisa certificado:

https://www.loggly.com/docs/syslog-ng-tls-configuration/