Log output: Firewall (raw) (filter.log)



  • Bonjour,
    je commence à utiliser PfSense, je reçois le journal log quotidien avec 2 parties , une partie dhcp(Log output: DHCP (dhcpd.log)) est plus ou moins facile à comprendre et la partie firewall (Log output: Firewall (raw) (filter.log)) que je n'arrive pas à comprendre.
    si quelqu'un peut m'aider à comprendre/déchiffrer ces lignes de code.
    voilà un exemple :
    Oct 22 07:53:12 xxx filterlog: 5,16777216,,1000000103,xl0,match,block,in,4,0x0,,64,31724,0,DF,6,tcp,52,192.168.1.22,216.58.210.226,53467,443,0,FA,354158131,3667656933,4068,,nop;nop;TS

    Merci!



  • Votre réponse est probablement là : https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2

    Pour faciliter l'exploitation des logs et notamment les recherches, on peut regarder du côté de Graylog2. Ce produit à la bonne idée de comporter des extracteurs, notamment pour Pfsense, qui font automatiquement le travail de mise en forme de logs de différentes provenance.




  • Merci bcp!
    Est ce que c'est normal tout ce traffic pendant la nuit et que la 1ere ligne du rapport commence qu'à 6h47 ? c-à-d je n'ai rien de ce qui c'est passé la nuit ?



    ![traffic 2.PNG](/public/imported_attachments/1/traffic 2.PNG)



  • A priori la réponse est plutôt non pour le volume. Mais difficile de vous répondre avec précision. Je ne sais pas ce qu'il y a sur votre réseau, ni comment tout cela est configuré. L'analyse du détail des logs vous le dira. On peu soupçonner des règles trop permissives s'agissant du contrôle du trafic sortant. C'est souvent le cas.
    Pfsense ne stocke que très peu de logs. Explorez l'interface, lisez la doc ! D'où l'intérêt de l'externalisation des logs.



  • Merci !!
    Hmm il très intéressant Graylog. J'ai vu des captures d'image et des videos. Par contre je galère un peu pour l'install et la config avec Pfsense c'est pas trés clair  :-\



  • Bien s'assurer des ses connaissances réseau. Lire la doc de base. Puis si besoin le forum.


Log in to reply