我们的数据中心有一个 pfSense 防火墙。默认情况下,pfSense 仅存储 500K 防火墙过滤日志,这对我们来说只有几个小时的时间。我该如何增加这个数量?
pfSense 使用 clog而不是通常的 BSD newsyslog。
我只想要用于调试防火墙规则的日志,而不是合规性或任何其他内容,并且防火墙有 100GB 的备用磁盘空间,所以我宁愿将日志放在防火墙本身上,而不是设置系统日志服务器。
答案1
有几种方法可以做到这一点。你为什么不阅读优秀且有用的 pfsense 邮件存档,或查看他们的论坛?
无论如何,有两种方法可以增加日志。首先,您可以通过重新初始化来增加 clog 文件的大小。另一种方法是安装常规系统日志程序,以常规方式捕获日志。然后,您可以使用该系统日志程序将日志转发到中心点。如果您处于一个安全的环境中,必须保证保留所有日志,那么最好使用 clog + 本地系统日志 + 远程系统日志。
对于 syslog-ng.conf: http://forum.pfsense.org/index.php/topic,7793.0.html
答案2
FreeBSD 上的日志轮换通常由“newsyslog”控制。您可以编辑配置文件 (/etc/newsyslog.conf) 来控制日志保存时间以及文件大小的各个方面。请阅读 newsyslog 的手册页以了解完整详情。
答案3
现代 pfSense 版本既可以选择增加文件大小,也可以选择将文件记录到远程系统日志服务器Status> System Logs>Settings
答案4
您可以使用其他服务器来接收和存储文件。首先,您必须在 pfSense 中确定远程服务器 IP,以便在远程机器上发送事件。在服务器端,您必须在 rsyslog.conf 中启用远程日志提取(帮助:http://www.rsyslog.com/storing-and-forwarding-remote-messages/)在这种情况下我进一步解释一下:
Pfasense(A) 远程服务器 (B) --------- ----------- 设置将系统日志发送到 B 配置 rsyslog.con帮助链接