Re: [Gutl-l] Ayuda con syslog-ng y Pfsense

Arian Molina Aguilera Fri, 17 Jul 2015 13:13:46 -0700

El 17/07/15 a las 18:02, Administrador de Red ETTVCL escribió:

Probé la primera parte y todo ok me crea las carpetas por host, dentro
aparecen los logs :)


Ing. Jorge Remberto Rodríguez Rodríguez
Administrador de Red ETTVCL

-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Arian Molina Aguilera
Enviado el: Friday, July 17, 2015 12:46 PM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense

El 17/07/15 a las 17:13, Administrador de Red ETTVCL escribió:

No es tan sencillo porque los logs los pasa para dentro de syslog.log,
lamentablemente no tengo otro material que el man de rsyslog y estoy
trabajando a ver como filtro lo que llega para darle salida hacia otro
fichero Ej /var/log/pf/filterlog_2015-07-16.log


Ing. Jorge Remberto Rodríguez Rodríguez Administrador de Red ETTVCL

-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu]
En nombre de Arian Molina Aguilera Enviado el: Friday, July 17, 2015
10:34 AM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense

El 17/07/15 a las 15:29, Administrador de Red ETTVCL escribió:

Eso es lo  que necesito, la configuración del server de logs para que
el pfsense los envie

Ing. Jorge Remberto Rodríguez Rodríguez Administrador de Red ETTVCL

-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu]
En nombre de Arian Molina Aguilera Enviado el: Friday, July 17, 2015
10:24 AM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense

El 17/07/15 a las 13:09, Administrador de Red ETTVCL escribió:

Necesito alguna configuración que funcione, o algún manual. Para
syslog-ng y Pfsense o para hacer algo similar.

Ing. Jorge Remberto Rodríguez Rodríguez

Administrador de Red ETTVCL



------------ próxima parte ------------ Se ha borrado un adjunto en
formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150717/85
d
7
956a/attachment.html>
____________________________________________________________________
_ _ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

el paquete syslog-ng, esta disponible en los repos de pfsense,
también en el apartado de logs de pfsense, hay una opción para
decirle que mande los logs por syslog directamente a otro servidor de
logs que este escuchando, probado en linux. Salu2.

--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos Nodo Central ARTex S.A.
La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892



_____________________________________________________________________
_ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l




_____________________________________________________________________
_ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

nada del otro mundo, solo decirle al syslog del otro server, que este
escuchando por tcp o udp según necesites, por lo general, esta linea
esta comentada y solo tienes que descomentarla y reiniciar el servicio
para que este a la escucha, luego le dices al pfsense que lo tire para
dicha ip. y ahí lo veras en los logs de ese servidor. Salu2.

Edite de nuevo el archivo /etc/rsyslog.conf:

vi /etc/rsyslog.conf

Añada lo siguiente al inicio de la sección de reglas —alrededor de la línea
34:

#### RULES #### $template TmplAuth,
"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg,
"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth
*.info,mail.none,authpriv.none,cron.none ?TmplMsg # Log all kernel messages
to the console. # Logging much else clutters up the screen.
#kern.* /dev/console

Guarde los cambios y salga del editor de texto.

Genere el directorio /var/log/rsyslog

mkdir /var/log/rsyslog

Reinicie el servicio para aplicar los cambios.

service rsyslog restart

Además comparto esta configuración:

#################
#### MÓDULOS ####
#################

# Carga de módulos por defecto

Module(load = "imuxsock") # provides support for local system logging
Module(load = "imklog") # provides kernel logging support

# Se carga el módulo para recepción de logs por UDP y se "ata" al mismo a la
regla "remote", la cual hará que todos los logs remotos se escriban dentro #
del directorio /var/log/rsyslog

Module(load = "imudp")
Input(type = "imudp" port = "XXX" ruleset = "remote")

###################
#### TEMPLATES ####
###################

# Templates para los directorios

template(name="HOSTS" type="string"
string="/var/log/rsyslog/%$year%/%$month%/%$day%/%hostname%/syslog.log")
template(name="CUSTOM" type="string"
string="/var/log/rsyslog/%$year%/%$month%/%$day%/CUSTOM/syslog.log")

# Templates para personalizar los registros (Fecha, hora, hostname, tag y
mensaje de log propiamente dicho)

template(name="CustomFormat_Hosts" type="string"
String="%$year%-%$month%-%$day% %$hour%:%$minute% %hostname% %syslogtag%
%msg%\n")
template(name="CustomFormat_CUSTOM" type="string"
string="%$year%-%$month%-%$day% %$hour%:%$minute% CUSTOM %syslogtag%
%msg%\n")

#############################
#### DIRECTIVAS GLOBALES ####
#############################

# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Set the default permissions for all log files.

$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

# Where to place spool and state files

$WorkDirectory /var/spool/rsyslog

# Include all config files in /etc/rsyslog.d/

$IncludeConfig /etc/rsyslog.d/*.conf

##################################
#### Reglas para logs remotos ####
##################################

# Se define la regla "remote", la cual se utilizará para los logs remotos.
Salvo que se trate de una IP en particular # se separa todo por nombre de
host

ruleset(name="remote"){
if $fromhost-ip == 'aaa.bbb.ccc.ddd' then{ ?CUSTOM;CustomFormat_CUSTOM stop
}

else{
?HOSTS;CustomFormat_Hosts
stop
}
}

##################################
#### Reglas para logs locales ####
##################################

# First some standard log files. Log by facility.

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log

# Logging for the mail system. Split it up so that it is easy to write
scripts to parse these files.

mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

# Logging for INN news system.

news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice


# Some "catch-all" log files.

*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages

# Emergencies are sent to everybody logged in.

*.emerg :omusrmsg:*

# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
busy site..

daemon.*;mail.*;\
news.err;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole

--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos Nodo Central ARTex S.A. La
Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892





------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150717/28b63f0b/a
ttachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Genial. Salu2.

--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892





______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Ayuda con syslog-ng y Pfsense

Responder a