Log Sunucusu kurmak

Pfsense güvenlik duvarınızdaki internet trafiğinden, Active Directory kullanıcı girişlerine kadar ftp, mail, apache, dns… tüm sunucularınızın loglarını tek bir merkezde toplamak sizlere daha okunabilir bir günlük yönetimi sunacaktır.

PFsense güvenlik duvarınızda status — system logs sekmesine tıklayın ve setting bölümüne geçin. en altta göreceğiniz üzere uzak log sunucusu ayarları vardır. varsayılan olarak UDP 514 portundan loglar gönderilmektedir. Bu da demek oluyorki aynı ağda olursa güvenliğiniz için fazlaca sorun teşkil etmeyecektir.

Gelelim log sunucusuna. Centos işletim sistemi kurdum. rsyslog kurulumunu yaptıktan sonra paketleri bu porttan okuyabiliyoruz. Graylog arayüzü ile okuduğumuz bu paketleri web arayüzünde kolayca kullanabileceğiz. Graylog ise 1024ten büyük portlara erişebilmektedir. (ayar yaparsanız küçük portlara da eriebilir ama linuxda varsayılan olarak sistem 1024 altındaki portları uygulamalara erişimi kısıtlamaktadır.) 1514 tcp portunu RAW olarak dinlemek için arayüzden(http:logsunucusuipadresi:9000) input yani kaynak eklemeniz gerekmektedir. Bunu menülerdeki input sekmesinde yapabilirsiniz.

Buradaki püf nokta 514 udp portuna gelen bilgiyi 1514 tcp portuna nasıl yönlendireceksiniz. syslog-ng bu işi sizin için yapmaktadır. Başarılar.

işte bu kadar basit. sadece 2 günümü aldı. :)