3. Parti Yazılımlar

LogSign ile Pfsense Firewall Squid Entegrasyonu – Syslog

Bu makalemiz de Logsign ‘in ücretsiz sürümü olan Focus X3 üzerinde pfsense firewall  & squid entegrasyonunu anlatmaya çalışacağım.

Bölüm1

Öncelikle işlemlere başlamadan önce pfsense ayarlarının olası bir hataya karşılık yedeğini alalım. Bunun için menüden Diagnostics ‘e gelip Backup/Restore tıkıyoruz.

clip_image001

Gelen sayfa da Backup Area alanında bulunan “All ya da dilediğiniz servisi” seçiyoruz ve Download Configuration ‘a basarak yedekleme işlemimizi yapıyoruz.

clip_image002

Yedeğimizi aldığımıza göre artık Logsign Pfsense&Squid syslog entegrasyonuna geçebiliriz.

Pfsense web ara yüzüyle, pfsense yönetim ekranına giriş yapıp Status altında bulunan System Logs menüsüne giriyoruz. Gelen pencere de Settings tabına geçip. “Enable syslog’ing to remote syslog server” kutucuğu işaretlenir.

Daha sonra Remote syslog servers kısmında Logsign ‘ın ip adress ‘ini yazıyoruz. Ip adresimizi belirttikten sonra aşağıda bulunan firewall loglarından hangilerinin alınacağı sorulur burada ister dilediğiniz logları alır isterseniz de tümünü aldırabilirsiniz. Ben bu makale de tümünü alacağımdan dolayı Everything ‘i seçiyorum ve Save ile kaydediyorum.

clip_image003

Winscp uygulaması ile pfsense kurulu olan makinemize bağlanıp /etc/inc dizinine logger.php dosyasını atıyoruz.

Logger.php dosyasını buradan indirebilirsiniz : (http://download2.innotim.com/download/scripts.php?script=logger)

Winscp programını buradan indirebilirsiniz.

http://winscp.net/eng/download.php

clip_image004

Daha sonra putty uygulaması vasıtasıyla pfsense makinemize SSH bağlantı sağlıyoruz. Bunun için aşağıdaki linkten putty uygulamasını indirebilirsiniz.

http://www.putty.org/

Putty uygulamamızı indirdikten sonra Host name (or Ip adress) kısmına pfsense ip adresimizi yazıyoruz port(22) kısmından ise her hangi bir değişiklik yapmadan Open diyerek çalıştırıyoruz.

clip_image005

Daha sonra gelen dos ekranında pfsense kullanıcı adı ve şifremizi yazıp pfsense makinemize erişiyoruz.  Gelen ekran da Enter an option ‘a 8 yazıp enter’a basıyoruz ve pfsense Shell ekranına geçmiş oluyoruz. Daha sonra cd /etc/inc yazıp enter ‘a basıyoruz. Böylelikle /etc/inc dizinine geçmiş oluyoruz.

Öncelikle değişiklik yapacağım filter.inc dosyasının bir backup ‘ını cp filter.inc filter.inc.bck komutu ile alıyorum.

clip_image006

clip_image007

clip_image008

Not : Pfsense version 2  ve sonrasın da firewall logları iki satır olarak gelmektedir. Bu loglama yazılımları için bir problem teşkil etmektedir, bu problemin giderilmesi için pfsense konfigürasyonuna (filter.inc dosyası ) SSHüzerinden ulaşılarak düzenlenmesi gerekmektedir.

Filter.inc dosyasını bir editör yardımıyla açarak mevcut olan mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info”); değerinin aşağıdaki komutla değiştirilmesi gerekmektedir.

mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php”);

clip_image009

PFSENSE SQUID AYARLARI;

Raporların oluşabilmesi için Proxy Server çalışıyor olmalıdır. Servisin loglarını alınabilmesi için Menüden Services > Proxy Server seçilir.

clip_image010

Gelen pencere de Custom Options kısmına Access_log syslog:deamon common satırı eklenir ve kaydedilir.

clip_image011

Squid ayarlaması bu kadardır. Artık firewall makinemizi logsign’a device olarak ekleyebiliriz.

Bunun için Logsign web ara yüzünden Settings menüsüne gelip Data Input > Device List açılır.

Gelen ekran da “Add New Source” butonuna tıklıyoruz.

clip_image012

Gelen “Source Type Selection” penceresin de Syslog ‘a tıklıyoruz.

clip_image013

Sonrasın da Pfsense seçiyoruz.

clip_image014

Son adım da ise Pfsense Firewall makinemizin bilgilerini girip kaydediyoruz.

clip_image015

Logsign pfsense&squid entegrasyonu(syslog) işlemleri bu kadardır.

Umarım faydalı olmuştur…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.