retención de files de logging de pfsense

Tenemos un firewall pfSense en nuestro centro de datos. De forma pnetworkingeterminada, pfSense sólo almacena 500K de loggings de filter de firewall, que es sólo unas pocas horas para nosotros. ¿Cómo puedo boost esto?

pfSense utiliza zuecos en lugar de los habituales BSD newsyslog.

Sólo quiero que el logging de debugging de normas de firewall, no el cumplimiento o nada, y el firewall tiene 100 GB de espacio libre en disco, por lo que prefiero tener los loggings en el firewall en sí que configurar un server syslog.

Hay varias forms de hacer esto. ¿Por qué no lees los excelentes y útiles files de correo para pfsense, o revisa sus foros?

De todos modos, hay dos maneras de boost los loggings. Primero, puede boost el tamaño de los files de obstrucción reiniciándolos. Otra forma es instalar un syslogger regular que capture los loggings de la forma habitual. A continuación, puede utilizar ese syslogger para reenviar loggings a un punto central. Si usted está en un entorno seguro donde tiene que garantizar para retener todos los loggings, entonces tener el locking + syslog local + syslog remoto es mejor.

Puede que tenga que leer esto: http://permalink.gmane.org/gmane.comp.security.firewalls.pfsense.user/2990

y para el syslog-ng.conf: http://forum.pfsense.org/index.php/topic.7793.0.html

La rotation de loggings en FreeBSD generalmente se controla con 'newsyslog'. Puede editar el file de configuration (/etc/newsyslog.conf) para controlar varios aspectos de cuánto time se mantienen los loggings y cuán grande pueden savese los files. Lea la página de manual de newsyslog para get detalles completos.

Puede utilizar otro server para recibir y almacenar files. Primero debe determinar la IP del server remoto en su pfsense para enviar el evento en la máquina remota. en el lado del server debe habilitar la recuperación remota de loggings en rsyslog.conf (help: http://www.rsyslog.com/storing-and-forwarding-remote-messages/ ). en este escenario más explico:

Pfasense (A) Servidor remoto (B) ——— ———– Establecer para enviar syslog a B Config rsyslog.con help link