• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Log output: Firewall (raw) (filter.log)

Scheduled Pinned Locked Moved Français
6 Posts 2 Posters 1.4k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • S
    simo0079
    last edited by Oct 29, 2015, 2:47 PM

    Bonjour,
    je commence à utiliser PfSense, je reçois le journal log quotidien avec 2 parties , une partie dhcp(Log output: DHCP (dhcpd.log)) est plus ou moins facile à comprendre et la partie firewall (Log output: Firewall (raw) (filter.log)) que je n'arrive pas à comprendre.
    si quelqu'un peut m'aider à comprendre/déchiffrer ces lignes de code.
    voilà un exemple :
    Oct 22 07:53:12 xxx filterlog: 5,16777216,,1000000103,xl0,match,block,in,4,0x0,,64,31724,0,DF,6,tcp,52,192.168.1.22,216.58.210.226,53467,443,0,FA,354158131,3667656933,4068,,nop;nop;TS

    Merci!

    1 Reply Last reply Reply Quote 0
    • C
      ccnet
      last edited by Oct 29, 2015, 3:16 PM Oct 29, 2015, 2:56 PM

      Votre réponse est probablement là : https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2

      Pour faciliter l'exploitation des logs et notamment les recherches, on peut regarder du côté de Graylog2. Ce produit à la bonne idée de comporter des extracteurs, notamment pour Pfsense, qui font automatiquement le travail de mise en forme de logs de différentes provenance.

      Capture.JPG
      Capture.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • S
        simo0079
        last edited by Oct 30, 2015, 10:21 AM

        Merci bcp!
        Est ce que c'est normal tout ce traffic pendant la nuit et que la 1ere ligne du rapport commence qu'à 6h47 ? c-à-d je n'ai rien de ce qui c'est passé la nuit ?

        traffic.PNG
        traffic.PNG_thumb
        ![traffic 2.PNG](/public/imported_attachments/1/traffic 2.PNG)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by Oct 30, 2015, 10:35 AM

          A priori la réponse est plutôt non pour le volume. Mais difficile de vous répondre avec précision. Je ne sais pas ce qu'il y a sur votre réseau, ni comment tout cela est configuré. L'analyse du détail des logs vous le dira. On peu soupçonner des règles trop permissives s'agissant du contrôle du trafic sortant. C'est souvent le cas.
          Pfsense ne stocke que très peu de logs. Explorez l'interface, lisez la doc ! D'où l'intérêt de l'externalisation des logs.

          1 Reply Last reply Reply Quote 0
          • S
            simo0079
            last edited by Nov 2, 2015, 4:12 PM

            Merci !!
            Hmm il très intéressant Graylog. J'ai vu des captures d'image et des videos. Par contre je galère un peu pour l'install et la config avec Pfsense c'est pas trés clair  :-\

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by Nov 2, 2015, 7:14 PM

              Bien s'assurer des ses connaissances réseau. Lire la doc de base. Puis si besoin le forum.

              1 Reply Last reply Reply Quote 0
              6 out of 6
              • First post
                6/6
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                This community forum collects and processes your personal information.
                consent.not_received