Islemlere baslamadan once oluşabilecek problemlere karşın Pfsense Firewall ayarlarının yedeğinin alınması gereklidir.
Not : Backup Area alanında bulunan tüm seçeneklerin ayrı ayrı backuplarının alınması gereklidir.
SYSTEM SYSLOG ENTEGRASYONU
1- Pfsense web arayüzünde Status > System Logs menüsüne girilir. Gelen pencerede yukarıdan Settings seçilir. Enable syslogging to remote syslog server seçeneği işaretlenir. Server 1 kısmına Logsign Focus IP adresi yazılır. Loglama opsiyonlarında Everything işaretlenir veya Firewall kısmında hangi logların alınması istiyorsak tek tek seçilir ve kaydedilir.
2- logger.php dosyasını Winscp bağlantısı yaparak /etc/inc/ dizinin altına atıyoruz. Winscp kullanımı ile ilgili linkten yardım alabilirsiniz.(http://support.logsign.net/entries/22064773-winscp-ile-backup-alma)
NOT : logger.php dosyasına bu linkten ulaşabilirsiniz.(http://download2.innotim.com/download/scripts.php?script=logger)
3- Pfsense’e SSH ile bağlantı sağlayarak (Root) “Enter an option” alanına 8 yazıp shell’e düşüyoruz. /etc/inc dizinin de üzerinde işlem yapacağımız filter.inc dosyanın bir kopyasını kopyasını alıyoruz. İlgili komut:cp filter.inc fitler.inc.bck (ihtiyac duyulduğunda geri dönmek için)
Not: Pfsense versiyon 2 ve sonrasında Firewall logları iki satır olarak gelmektedir. Bu loglama yazılımları için bir problem teşkil etmektedir. Bu problemin giderilebilmesi için Pf Sense konfigürasyonuna SSH üzerinden ulaşarak; /etc/inc/filter.inc dosyasının düzenlenmesi gerekmektedir. Dosyayı bir editör ile açtığımızda mwexec_bg satırının varsayılan olarak aşağıdaki gibidir:
mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info");
3- filter.inc dosyasını vi komutuyla açıyoruz.(İlgili Komut: vi filter.inc)
İlgili satırını bulup aşağıdaki ile değiştiriyoruz.
mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php");
PFSENSE SQUID AYARLARI
Web raporlarının oluşabilmesi için proxy servisi çalışıyor olmalıdır. Çalışan servisin loglarının alınabilmesi için arayüzde Services > Proxy server seçilir. Gelen pencerede en altta Custom Options kısmına
access_log syslog:deamon common satırı eklenir ve kaydedilir.
Settings menüsünden Data Input > Device List seçilir ve gelen pencerede Add New Source butonuna tıklanır.
Pfsense loglarını Syslog ile göndereceği için Syslog seçeneği tıklanır.
Listeden Pfsense Plug-in seçilir.
Gerekli bilgiler girildikten sonra firewall cihazımızı syslog olarak eklemiş oluyoruz.
mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info");
satırı bulamıyorum ?