Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Log output: Firewall (raw) (filter.log)

    Français
    2
    6
    1067
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      simo0079 last edited by

      Bonjour,
      je commence à utiliser PfSense, je reçois le journal log quotidien avec 2 parties , une partie dhcp(Log output: DHCP (dhcpd.log)) est plus ou moins facile à comprendre et la partie firewall (Log output: Firewall (raw) (filter.log)) que je n'arrive pas à comprendre.
      si quelqu'un peut m'aider à comprendre/déchiffrer ces lignes de code.
      voilà un exemple :
      Oct 22 07:53:12 xxx filterlog: 5,16777216,,1000000103,xl0,match,block,in,4,0x0,,64,31724,0,DF,6,tcp,52,192.168.1.22,216.58.210.226,53467,443,0,FA,354158131,3667656933,4068,,nop;nop;TS

      Merci!

      1 Reply Last reply Reply Quote 0
      • C
        ccnet last edited by

        Votre réponse est probablement là : https://doc.pfsense.org/index.php/Filter_Log_Format_for_pfSense_2.2

        Pour faciliter l'exploitation des logs et notamment les recherches, on peut regarder du côté de Graylog2. Ce produit à la bonne idée de comporter des extracteurs, notamment pour Pfsense, qui font automatiquement le travail de mise en forme de logs de différentes provenance.


        1 Reply Last reply Reply Quote 0
        • S
          simo0079 last edited by

          Merci bcp!
          Est ce que c'est normal tout ce traffic pendant la nuit et que la 1ere ligne du rapport commence qu'à 6h47 ? c-à-d je n'ai rien de ce qui c'est passé la nuit ?



          ![traffic 2.PNG](/public/imported_attachments/1/traffic 2.PNG)

          1 Reply Last reply Reply Quote 0
          • C
            ccnet last edited by

            A priori la réponse est plutôt non pour le volume. Mais difficile de vous répondre avec précision. Je ne sais pas ce qu'il y a sur votre réseau, ni comment tout cela est configuré. L'analyse du détail des logs vous le dira. On peu soupçonner des règles trop permissives s'agissant du contrôle du trafic sortant. C'est souvent le cas.
            Pfsense ne stocke que très peu de logs. Explorez l'interface, lisez la doc ! D'où l'intérêt de l'externalisation des logs.

            1 Reply Last reply Reply Quote 0
            • S
              simo0079 last edited by

              Merci !!
              Hmm il très intéressant Graylog. J'ai vu des captures d'image et des videos. Par contre je galère un peu pour l'install et la config avec Pfsense c'est pas trés clair  :-\

              1 Reply Last reply Reply Quote 0
              • C
                ccnet last edited by

                Bien s'assurer des ses connaissances réseau. Lire la doc de base. Puis si besoin le forum.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post