/var/log/filter/xyz.log Labelname

Started by superwinni2, September 01, 2023, 10:06:59 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 01, 2023, 10:06:59 AM
Hallo

Ich habe auf GitHub den aufbau der Filterlogs entdeckt.
ports/opnsense/filterlog/files/description.txt at master · opnsense/ports (github.com)

Hier gibt es ja das Feld "label". Sollte dies dann der Regelname sein?
Wenn ich in meine Log Datei schaue so steht dort leider nichts drin.

Beispielzeile:
Code Select
<134>1 2023-08-31T23:59:59+02:00 OPNsense1.domain.intern filterlog 44229 - [meta sequenceId="732913"] 73,,,fae559338f65e11c53669fc3642c93c2,vtnet2,match,pass,out,4,0x0,,63,2556,0,DF,17,udp,64,10.10.10.219,10.10.20.108,54268,53,44

Unter Label würde hier ja "fae559338f65e11c53669fc3642c93c2" stehen. Gibt es alternativ eine Möglichkeit dies "aufzulösen"?

Was genau habe ich vor:
Ich würde die Logs gerne in eine SQL Datenbank oder ähnliches werfen um diese etwas besser auswerten zu können.
Das Projekt von Frabianfrz kenne ich bereits. Bringt mich leider auch nicht so ganz an mein Ziel.
Excel macht ja nur bis 1 Mio. Zeilen mit. Da bin ich locker drüber.




Gibt es ansonsten ganz alternativ ein Programm dem ich die Filter.log füttere und diese ausgewertet zurückbekomme oder so?
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
September 01, 2023, 10:17:08 AM #1
Kommt darauf an wohin es aufgelöst werden soll:

# pfctl -s rules | grep bb72618316fdf630cdf15f33ae3d699f
pass in log quick on igb0 proto tcp from any to (self) port = ssh flags S/SA keep state label "bb72618316fdf630cdf15f33ae3d699f"
pass in log quick on igb0 proto tcp from any to (self) port = http flags S/SA keep state label "bb72618316fdf630cdf15f33ae3d699f"
pass in log quick on igb0 proto tcp from any to (self) port = https flags S/SA keep state label "bb72618316fdf630cdf15f33ae3d699f"

Das wäre dann eine Beschreibung der funktionalen Regel

Oder:

# grep bb72618316fdf630cdf15f33ae3d699f /tmp/rules.debug
pass in log quick on igb0 proto tcp from {any} to {(self)} port {22 80 443} keep state label "bb72618316fdf630cdf15f33ae3d699f" # anti-lockout rule

Das # am eEde ist dann das "description" label aus der GUI. Aber auch gibt es ggf. Splits auf mehrere Regeln.

Und nein eine API gibt es hier noch nicht. Auf der Rules Seite kann man diese Anzeigen. Und: NAT Regeln haben kein Label Support.


Grüsse
Franco
Print
Go Up Pages1
User actions