Получение журналов pfSense / freeBSD с помощью elk
Я пытаюсь централизовать журналы из разных систем.
Я установил Elastick Stack (Elasticsearch, Logstash, Kibana) и WAZUH OSSEC на одном сервере (с именем elk).
Я установил агент OSSEC на трех серверах ubuntu и могу проверять журналы и целостность файлов.
Однако как я могу получить журналы и из pfSense? Я попытался установить агент OSSEC, скомпилировав его, но это не так просто ... Я думал сделать это через удаленный системный журнал, но он, похоже, не работает ...
В интерфейсе pfSense -> Статус -> Системные журналы -> Вы знаете, как заставить его работать?
Попробуйте запустить tcpdump , чтобы на самом деле подтвердить, что у вас есть трафик, исходящий от вашего устройства pfSense. Например, вы можете запустить что-то вроде:
tcpdump -nni eth0 port 514 -s 0 -AA
Это покажет вам заголовок пакета и полезную нагрузку.
Попробуйте также проверить, что процесс ossec-remote прослушивает входящий трафик. Вы можете сделать это, запустив:
netstat -nap | grep 514
Кроме того, как еще один вариант, который мне лично нравится, вы можете использовать (на сервере Wazuh) демон Rsyslog для сбора данных системного журнала и выгрузки их в файл.
Затем вы можете настроить компонент logcollector сервера Wazuh для чтения этого файла журнала, поэтому он также обрабатывается Wazuh и механизмом анализа.
Хороший инструмент для отслеживания того, выполняет ли Rsyslog запись в файл и читает ли компонент ossec-logcollector, он работает LSOF . Пример:
lsof /var/log/your_syslog_file.log
Чтобы использовать Rsyslog, вам необходимо настроить его на прослушивание удаленных данных и правило для записи журналов в файл. Примером правила может быть:
if ($fromhost == '192.168.98.1') and ($msg contains 'pfSense') then -/var/log/your_syslog_file.lgo
Если вы пойдете этим путем, чтобы избежать конфликта, не забудьте отключить ossec-remote sysl