Aufbewahrung der pfsense-Protokolldatei

7

Wir haben eine pfSense-Firewall in unserem Rechenzentrum. Standardmäßig speichert pfSense nur 500 KB Firewall-Filterprotokolle, was für uns nur wenige Stunden sind. Wie kann ich das erhöhen?

pfSense verwendet Clog anstelle des üblichen BSD-Newsyslogs.

Ich möchte das Protokoll nur zum Debuggen von Firewall-Regeln, nicht für Konformität oder ähnliches, und die Firewall verfügt über 100 GB freien Speicherplatz. Daher möchte ich die Protokolle lieber in der Firewall selbst haben, als einen Syslog-Server einzurichten.

Colin Pickard
quelle

Antworten:

2

Es gibt verschiedene Möglichkeiten, dies zu tun. Warum lesen Sie nicht die hervorragenden und nützlichen Mailing-Archive für pfsense oder überprüfen deren Foren?

Auf jeden Fall gibt es zwei Möglichkeiten, um die Anzahl der Protokolle zu erhöhen. Zunächst können Sie die Größe der Clog-Dateien erhöhen, indem Sie sie neu initialisieren. Eine andere Möglichkeit besteht darin, einen regulären Syslogger zu installieren, der Protokolle auf normale Weise erfasst. Mit diesem Syslogger können Sie dann Protokolle an einen zentralen Punkt weiterleiten. Wenn Sie sich in einer sicheren Umgebung befinden, in der Sie sicherstellen müssen, dass alle Protokolle beibehalten werden, ist Clog + lokales Syslog + Remote-Syslog am besten.

und für die syslog-ng.conf: http://forum.pfsense.org/index.php/topic,7793.0.html

Paul M.
quelle
1

Die Protokollrotation unter FreeBSD wird normalerweise mit 'newsyslog' gesteuert. Sie können die Konfigurationsdatei (/etc/newsyslog.conf) bearbeiten, um verschiedene Aspekte der Aufbewahrung von Protokollen und der Größe der Dateien zu steuern. Lesen Sie die Manpage für Newsyslog für weitere Details.

barryj
quelle
1
Leider verwendet pfSense kein Newsyslog, sondern Clog. Es gibt einige komplizierte Klangmethoden, um es zu konvertieren, aber ich konnte nicht einmal herausfinden, wo ich anfangen soll.
Colin Pickard
Vielleicht könnten Sie es so konfigurieren, dass es Remote-Syslog verwendet, aber nicht auf Remote, sondern auf demselben Server?
Barryj
Ist es einfach, einen Syslog-Server auf dem Pfsense-Server einzurichten? Auch hier scheinen meine Google-Fähigkeiten mich hier zu verfehlen.
Colin Pickard
1

Moderne pfsense Versionen haben sowohl die Möglichkeit , die Dateigröße zu erhöhen und zu einem Remote - Syslog - Server anmelden bei Status> System Logs>Settings

ndemou
quelle
0

Sie können einen anderen Server zum Empfangen und Speichern von Dateien verwenden. Zuerst müssen Sie die Remote-Server-IP in Ihrem pfsense ermitteln, um ein Ereignis auf dem Remote-Computer zu senden. Auf der Serverseite müssen Sie das Abrufen von Remote-Protokollen in rsyslog.conf aktivieren (Hilfe: http://www.rsyslog.com/storing-and-forwarding-remote-messages/ ). In diesem Szenario erkläre ich mehr:

Pfasense (A) Remote Server (B) --------- ----------- Set syslog B Config rsyslog.con senden Hilfe - Link

Khalegh Salehi
quelle