LogSign (Log Yönetim Çözümü) ile Pfsense Firewall ve Squid Entegrasyonu (Syslog)

Bu makalemiz de Logsign‘in ücretsiz sürümü olan Focus X3 üzerinde Pfsense Firewall ve Squid entegrasyonunu anlatmaya çalışacağım.

Öncelikle işlemlere başlamadan önce Pfsense ayarlarının olası bir hataya karşılık yedeğini alalım. Bunun için menüden Diagnostics‘e gelip Backup/Restore tıkıyoruz.

Resim-1

Gelen sayfa da Backup Area alanında bulunan “All ya da dilediğiniz servisi” seçiyoruz ve Download Configuration’a basarak yedekleme işlemimizi yapıyoruz.

Resim-2

Yedeğimizi aldığımıza göre artık Logsign Pfsense&Squid syslog entegrasyonuna geçebiliriz.

Pfsense web ara yüzüyle, Pfsense yönetim ekranına giriş yapıp Status altında bulunan System Logs menüsüne giriyoruz. Gelen pencere de Settings tabına geçip. “Enable syslog’ing to remote syslog server” kutucuğu işaretlenir.

Daha sonra Remote syslog servers kısmında Logsign‘ın Ip Address‘ini yazıyoruz. IP adresimizi belirttikten sonra aşağıda bulunan firewall loglarından hangilerinin alınacağı sorulur burada ister dilediğiniz logları alır isterseniz de tümünü aldırabilirsiniz. Ben bu makale de tümünü alacağımdan dolayı Everything‘i seçiyorum ve Save ile kaydediyorum.

Resim-3

Winscp uygulaması ile Pfsense kurulu olan makinemize bağlanıp /etc/inc dizinine logger.php dosyasını atıyoruz.

Logger.php dosyasını buradan indirebilirsiniz : (http://download2.innotim.com/download/scripts.php?script=logger)

Winscp programını buradan indirebilirsiniz : http://winscp.net/eng/download.php

Resim-4

Daha sonra Putty uygulaması vasıtasıyla Pfsense makinemize SSH bağlantı sağlıyoruz. Bunun için aşağıdaki linkten Putty uygulamasını indirebilirsiniz.

http://www.putty.org/

Putty uygulamamızı indirdikten sonra Host name (or Ip address) kısmına Pfsense ip adresimizi yazıyoruz port(22) kısmından ise her hangi bir değişiklik yapmadan Open diyerek çalıştırıyoruz.

Resim-5

Daha sonra gelen Dos ekranında Pfsense kullanıcı adı ve şifremizi yazıp Pfsense makinemize erişiyoruz. Gelen ekran da Enter an option’a 8 yazıp enter’a basıyoruz ve Pfsense Shell ekranına geçmiş oluyoruz. Daha sonra cd /etc/inc yazıp enter’a basıyoruz. Böylelikle /etc/inc dizinine geçmiş oluyoruz.

Öncelikle değişiklik yapacağım filter.inc dosyasının bir backup’ını cp filter.inc filter.inc.bck komutu ile alıyorum.

Resim-6

Resim-7

Resim-8

Not : Pfsense version 2 ve sonrasın da firewall logları iki satır olarak gelmektedir. Bu loglama yazılımları için bir problem teşkil etmektedir, bu problemin giderilmesi için Pfsense konfigürasyonuna (filter.inc dosyası ) SSH üzerinden ulaşılarak düzenlenmesi gerekmektedir.

Filter.inc dosyasını bir editör yardımıyla açarak mevcut olan mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info”);
değerinin aşağıdaki komutla değiştirilmesi gerekmektedir.

Mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php”);

Resim-9

PFSENSE SQUID AYARLARI;

Raporların oluşabilmesi için Proxy Server çalışıyor olmalıdır. Servisin loglarını alınabilmesi için Menüden Services > Proxy Server seçilir.

Resim-10

Gelen pencere de Custom Options kısmına Access_log syslog:deamon common satırı eklenir ve kaydedilir.

Resim-11

Squid ayarlaması bu kadardır. Artık firewall makinemizi logsign’a device olarak ekleyebiliriz.

Bunun için Logsign web ara yüzünden Settings menüsüne gelip Data Input > Device List açılır.

Gelen ekran da “Add New Source” butonuna tıklıyoruz.

Resim-12

Gelen “Source Type Selection” penceresin de Syslog‘a tıklıyoruz.

Resim-13

Sonrasın da Pfsense seçiyoruz.

Resim-14

Son adım da ise Pfsense Firewall makinemizin bilgilerini girip kaydediyoruz.

Resim-15

Logsign Pfsense&squid entegrasyonu (syslog) işlemleri bu kadardır.

Umarım faydalı olmuştur.

Bu yazı ile ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org