Pfsense Logların Graylog Sunucusuna Gönderimi ve Parse İşlemi

Graylog Sunucusunu kurmak için https://www.asimmisirli.com/graylog-kurulumu-ve-log-girisi/

Pfsense Kurmak için, https://www.asimmisirli.com/pfsense-kurulumu-ve-konfigurasyon/ ilgili bağlantılar yardımıyla kurulumlar yapılabilir.

 

Pfsense ile uzak sunucuya gönderebilecek log türleri

Everything
System Events
Firewall Events
DNS Events
DHCP Events
PPP Events
Captive Portal Events
VPN Events
Gateway Monitor Events
Routing Daemon Events
Server Load Balancer Events
Network Time Protocol Events
Wireless Events

 

 

 

 

Uzak sunucuya gönderilen logların detayları için https://docs.netgate.com/pfsense/en/latest/book/monitoring/remote-logging.html adresinden bilgi edinebilir. Bizim için yazıda kullanacağımız tür Firewall Events’dir

Firewall log mesajların raw bir şekilde gönderilmesini sağlayacaktır.

Yapılan Uygulamaların başlıkları aşağıdakiler gibidir.

  • Pfsense Log Gönderilmesi
  • Pfsense İçin Graylog Input yapılandırması
  • Raw Logların parse edilmesi için Extractor

 

Lab Ortamı Hakkında

Pfsense üzerinde oluşan Firewall Events olaylarını Graylog sunucusuna aktarılacaktır. Gralog sunucusu ip adresi 192.168.2.32 ve gelen logları 2514 port UDP olarak dinleyecektir. Graylog Pfsense’nin LAN arayüzünde bulunur.

Karşılaşabilecek hatalar; Log sunucusu üzerinde kurulu lokal Firewall(ufw) yada Iptables kuralları mevcut ise ilgili 2514 portuna izin verilmelidir. İzin verilmediği takdirde Graylog gelen logları göremeyecektir.

Graylog sürümü v3.3.0

Pfsense sürümü 2.4.5

Pfsense Send log to Graylog

 

 

Pfsense Log Gönderimi

Pfsense arayüzü içeresinden Status, System Logs kategorisi seçilir.

 

pfsenselogs to graylog

 

Açılan sayfa üzerinden Settings bölümüne gidilir.

pfsense logs to graylog

 

  1. Logların sunucuya gönderilebilmesi için Aktif edilir.
  2. Remote Log servers alanı için Log sunucusun Ip adresi yazılmalıdır.
  3. Gönderilen log türü için Firewall Event seçilir ve save işlemi yapılır.
pfsense logs to graylog

 

Pfsense Logları İçin Graylog Yapılandırması

 

Graylog arayüzü üzerinden System, Inputs alanına gidilir.

Graylog inputs ekleme

 

Açılan sayfa üzerinden log türü Syslog UDP seçilir ve Launch new input denir.

 

  1. Node(düğüm) alanı içeresine sizin kendi Log sunucunuzu seçmeniz ya da global bir düğüm oluşturmalısınız.
  2. Oluşturulan alana bir isim verilmeli bunun için Pfsense logs ismini yazılır
  3. Port için 2514 yazılır ve save edilir.

 

Graylog inputs ekleme

 

Save işlemi sonucunda açılan sayfada inputs oluşmuş olacaktır. Start input diyerek logları izleyebiliriz.

Graylog inputs ekleme

Show received message seçeneği seçilince gelen loglar filterlog olarak gözükecektir.

Graylog inputs ekleme

 

 

Pfsense Firewall Event Loglarını Graylog için Parse Etmek

 

Graylog Marketplace üzerinde yayınlanmış bir pfSense Extractors kullanacağız. Raw(ham) halinde gelen logları anlaşabilir hale getirecektir.

https://marketplace.graylog.org/addons/6207fac2-63e9-4fe6-80c1-c64e3e689745

https://github.com/Hobadee/Graylog_Extractors_pfSense

İlgili adreslerden bilgi edinebilir. Biz github sayfasından pfSense Extractors.json dosyasını raw olarak bilgisayarımıza indirip Graylog sunucusuna upload edeceğiz.

İlgili github linki üzerinden Clone or download seçeneği seçilir. İndirilen sıkıştırılmış dosya açılır. İçeresinde ki pfSense Extractors.json dosyası bir metin editörü ile açılır. İçeresinde tüm ifadeler kopyalanır.

İndirmek istemeyen olursa .json dosyasını raw olarak açıp içindekileri kopyalayabilir.

Graylog Pfsense Extractors

Graylog arayüzü üzerinden System, Inputs alanına gidilir. Local inputslar içeresinde Pfsense logs için Manage extractors seçilir.

Graylog Pfsense Extractors

Açılan sayfa üzeriinden Actions seçeneği ve İmport extractors seçilir.

Graylog Pfsense Extractors

 

Daha önce metin editörü ile açıp içindekileri kopyaladığımız ifadeler yapıştırılır ve Add etractors to input işlemi yapılır. İşlem başarılı olduğu takdirde yeşil şekilde uyarı vericektir.

Graylog Pfsense Extractors

Başarılı şekilde yüklenen extractorsler, artık raw halinde gelen loglar Graylog tarafından parse edilebilir.

Graylog Pfsense Extractors

 

Özgür Yazılım/Sistemler ile güvende kalmanız dileğiyle.

Yorum yapın