Заархивируйте и проанализируйте сетевые журналы от NetBSD на другой машине
Я хочу использовать брандмауэр NPF нового NetBSD на шлюзе, который также имеет юридическое обязательство зарегистрировать трафик в течение 1 года. Разгружать шлюз, я, хотя поместить регистрирующийся материал (и IDS, управление квотой..) на другой машине (вероятно, на Debian).
Я, хотя из 2 решений сделать так:
- перекопирование трафика к другой машине
В отличие от FreeBSD и OpenBSD, я не уверен, может ли NetBSD установить этого короля порта, и если это, я не знаю как. http://netbsd.gw.com/cgi-bin/man-cgi?bridge указывает
Драйвер моста в настоящее время не поддерживает отслеживание через bpf (4).
но в более старой версии это было
Драйвер моста в настоящее время не поддерживает отслеживание через bpf (4) или прозрачная фильтрация.
Таким образом, возможно, существует путь, но я не знаю, где запустить, какая-либо справка?
- выполненные tcpdump на машине NetBSD и непрерывно синхронизируют файл журнала с проанализировать машиной
Но как? Это должно быть надежно и адаптировано к сетевому файлу журнала (т.е. непрерывно записан).
Я предполагаю, что эта машина имеет дополнительный 'админ' сетевой порт в дополнение к портам, используемым для маршрутизации трафика?
npf.conf(5) упоминает:
procedure "log" {
# Note: npf_ext_log kernel module should be loaded, if not built-in.
# Also, the interface created, e.g.: ifconfig npflog0 create
log: npflog0
}
что подразумевает, что вы должны иметь возможность добавить соответствующую строку журнала для "протоколирования" копии всего трафика на админ-порт
.