1. Ana Sayfa
  2. Open Source
  3. LogSign (Log Yönetim Çözümü) ile Pfsense Firewall ve Squid Entegrasyonu (Syslog)

LogSign (Log Yönetim Çözümü) ile Pfsense Firewall ve Squid Entegrasyonu (Syslog)

Bu makalemiz de Logsign‘in ücretsiz sürümü olan Focus X3 üzerinde Pfsense Firewall ve Squid entegrasyonunu anlatmaya çalışacağım.

Öncelikle işlemlere başlamadan önce Pfsense ayarlarının olası bir hataya karşılık yedeğini alalım. Bunun için menüden Diagnostics‘e gelip Backup/Restore tıkıyoruz.


Resim-1

Gelen sayfa da Backup Area alanında bulunan “All ya da dilediğiniz servisi” seçiyoruz ve Download Configuration’a basarak yedekleme işlemimizi yapıyoruz.


Resim-2

Yedeğimizi aldığımıza göre artık Logsign Pfsense&Squid syslog entegrasyonuna geçebiliriz.

Pfsense web ara yüzüyle, Pfsense yönetim ekranına giriş yapıp Status altında bulunan System Logs menüsüne giriyoruz. Gelen pencere de Settings tabına geçip. “Enable syslog’ing to remote syslog server” kutucuğu işaretlenir.

Daha sonra Remote syslog servers kısmında Logsign‘ın Ip Address‘ini yazıyoruz. IP adresimizi belirttikten sonra aşağıda bulunan firewall loglarından hangilerinin alınacağı sorulur burada ister dilediğiniz logları alır isterseniz de tümünü aldırabilirsiniz. Ben bu makale de tümünü alacağımdan dolayı Everything‘i seçiyorum ve Save ile kaydediyorum.


Resim-3

Winscp uygulaması ile Pfsense kurulu olan makinemize bağlanıp /etc/inc dizinine logger.php dosyasını atıyoruz.

Logger.php dosyasını buradan indirebilirsiniz : (http://download2.innotim.com/download/scripts.php?script=logger)

Winscp programını buradan indirebilirsiniz : http://winscp.net/eng/download.php


Resim-4

Daha sonra Putty uygulaması vasıtasıyla Pfsense makinemize SSH bağlantı sağlıyoruz. Bunun için aşağıdaki linkten Putty uygulamasını indirebilirsiniz.

http://www.putty.org/

Putty uygulamamızı indirdikten sonra Host name (or Ip address) kısmına Pfsense ip adresimizi yazıyoruz port(22) kısmından ise her hangi bir değişiklik yapmadan Open diyerek çalıştırıyoruz.


Resim-5

Daha sonra gelen Dos ekranında Pfsense kullanıcı adı ve şifremizi yazıp Pfsense makinemize erişiyoruz. Gelen ekran da Enter an option’a 8 yazıp enter’a basıyoruz ve Pfsense Shell ekranına geçmiş oluyoruz. Daha sonra cd /etc/inc yazıp enter’a basıyoruz. Böylelikle /etc/inc dizinine geçmiş oluyoruz.

Öncelikle değişiklik yapacağım filter.inc dosyasının bir backup’ını cp filter.inc filter.inc.bck komutu ile alıyorum.


Resim-6


Resim-7


Resim-8

Not : Pfsense version 2 ve sonrasın da firewall logları iki satır olarak gelmektedir. Bu loglama yazılımları için bir problem teşkil etmektedir, bu problemin giderilmesi için Pfsense konfigürasyonuna (filter.inc dosyası ) SSH üzerinden ulaşılarak düzenlenmesi gerekmektedir.

Filter.inc dosyasını bir editör yardımıyla açarak mevcut olan mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info”);
değerinin aşağıdaki komutla değiştirilmesi gerekmektedir.

Mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php”);


Resim-9

PFSENSE SQUID AYARLARI;

Raporların oluşabilmesi için Proxy Server çalışıyor olmalıdır. Servisin loglarını alınabilmesi için Menüden Services > Proxy Server seçilir.


Resim-10

Gelen pencere de Custom Options kısmına Access_log syslog:deamon common satırı eklenir ve kaydedilir.


Resim-11

Squid ayarlaması bu kadardır. Artık firewall makinemizi logsign’a device olarak ekleyebiliriz.

Bunun için Logsign web ara yüzünden Settings menüsüne gelip Data Input > Device List açılır.

Gelen ekran da “Add New Source” butonuna tıklıyoruz.


Resim-12

Gelen “Source Type Selection” penceresin de Syslog‘a tıklıyoruz.


Resim-13

Sonrasın da Pfsense seçiyoruz.


Resim-14

Son adım da ise Pfsense Firewall makinemizin bilgilerini girip kaydediyoruz.


Resim-15

Logsign Pfsense&squid entegrasyonu (syslog) işlemleri bu kadardır.

Umarım faydalı olmuştur.

Bu yazı ile ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

1987 İstanbul-Eyüp doğumluyum, evli ve 1 çocuk babasıyım. 2003 yılından bu zamana kadar çeşitli firmalar da danışmanlık, sistem ve network uzmanı olarak görev aldım. Şu anda İstanbul, Zeytinburnu’nda uluslararası cam kalıbı imalatı yapan bir firma da IT sorumlusu olarak çalışmaktayım. Microsoft tarafın da MCP ve MCS unvanlarına sahibim, ayrıca 2013 sonun da MCSE eğitimimi bilişim eğitim merkezinden aldım.

Yorum Yap

Yorumlar (1)

  1. 4 sene önce

    Merhablar,;

    Aşağıda ki işlemi yapığım zaman.

    ” Filter.inc dosyasını bir editör yardımıyla açarak mevcut olan mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info”);
    değerinin aşağıdaki komutla değiştirilmesi gerekmektedir.

    Mwexec_bg(“/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php”);

    Pfsene girişte aşağıdaki hatayı alıyorum.
    Parse error: syntax error, unexpected T_LNUMBER in /etc/inc/filter.inc on line 128