В нашем центре обработки данных есть межсетевой экран pfSense. По умолчанию pfSense хранит только 500 КБ журналов фильтров брандмауэра, что для нас всего несколько часов. Как я могу это увеличить?
pfSense использует засорение вместо обычного журнала новостей BSD.
Мне нужен журнал только для отладки правил брандмауэра, а не соответствия или чего-то еще, а в брандмауэре есть 100 ГБ свободного дискового пространства, поэтому я предпочитаю иметь журналы на самом брандмауэре, чем настраивать сервер системного журнала.
Есть несколько способов сделать это. Почему бы вам не прочитать отличные и полезные архивы рассылки для pfsense или проверить их форумы?
В любом случае, есть два способа увеличить логи. Во-первых, вы можете увеличить размер засоряющих файлов, повторно инициализировав их. Другой способ - установить обычный системный журнал, который будет вести журналы обычным образом. Затем вы можете использовать этот системный журнал для пересылки журналов в центральную точку. Если вы находитесь в безопасной среде, где вы должны гарантировать сохранение всех журналов, то лучше всего иметь clog + local syslog + remote syslog.
и для syslog-ng.conf: http://forum.pfsense.org/index.php/topic,7793.0.html
Современные версии pfsense имеют возможность увеличения размера файла и входа на удаленный сервер системного журнала по адресу Status > System Logs > Settings
Ротация журналов во FreeBSD обычно контролируется с помощью 'newsyslog'. Вы можете редактировать файл конфигурации (/etc/newsyslog.conf), чтобы контролировать различные аспекты того, как долго хранятся журналы и насколько велики могут храниться файлы. Прочтите справочную страницу по newsyslog для получения полной информации.
Вы можете использовать другой сервер для приема и хранения файлов. Сначала вы должны определить IP-адрес удаленного сервера в вашем pfsense для отправки события на удаленный компьютер. на стороне сервера вы должны включить удаленную загрузку журнала в rsyslog.conf (справка: http://www.rsyslog.com/storing-and-forwarding-remote-messages/). в этом сценарии я объясню больше:
Pfasense (A) Удаленный сервер (B) --------- ----------- Установить для отправки системного журнала в B Конфигурация rsyslog.con справочная ссылка