4
Pfsense Syslog wird nicht an externen Syslog server übertragen
mein frisch eingerichteter pfSense Router/Firewall soll das Systemlog auf einen externen Syslogserver senden, leider funktioniert es nicht.
Hallo,
ich habe in einem unserer Standorte eine pfSense auf PC Engines Hardware installiert, dann Internetzugang, VPN mit IPSec eingerichtet und Firewall-Regeln angelegt. Bisher funktioniert alles. Jetzt möchte ich die Logfiles auf einen Syslogserver am Haupstandort übertragen, was mir jedoch nicht gelingen will.
System Info:
Version 1.2.3-RC3 built on Tue Oct 6 02:15:10 UTC 2009
Platform nanobsd
Es handelt sich hierbei um ein komplett assembliertes System (Board, Gehäuse, Netzteil, CompactFash mit System) welches man bei VARIA-STORE bestellen kann - einfach nur anstöpseln und man kann sofort loslegen...
An der pfSense sind folgende Einstellungen unter Status -> System logs -> Settings aktiviert:
Enable syslog'ing to remote syslog server: [on]
Disable writing log files to the local ram disk: [off]
IP address of remote syslog server: [xxx.xxx.xxx.xxx] hier steht meine Syslog Server IP
alle Event logs sind ausgewählt
Bei den Syslog Server IPs habe ich variiert und auch auf einen anderen Server geloggt, es kommt definitiv nirgends etwas an (oder es wird nix gesendet?!). Mit Testtools habe ich syslogs an die Syslog Server aus dem Netz mit der pfSense schicken können - es scheidet demzufolge aus, dass die Firewall seitens der pfSense oder auf der Gegenseite etwas blockt.
Ich hab die pfSense mit dem PC Engines Board erst seit einer knappen Woche in Betrieb. Vorher lief eine pfSense auf einem HP Standard PC und das Syslogging auf den Syslog Server hat funktioniert. Im Log ist leider auch nicht viel ersichtlich, jegliche Änderung an den Log Einstellungen werden im Systemlogfile mit
quittiert.
Hat wer eine Idee wo ggf. noch gedreht werden könnte/muss, damit das Syslog schreiben auf den externen Server funzt? Vielen Dank schonmal.
VG. mhard666
ich habe in einem unserer Standorte eine pfSense auf PC Engines Hardware installiert, dann Internetzugang, VPN mit IPSec eingerichtet und Firewall-Regeln angelegt. Bisher funktioniert alles. Jetzt möchte ich die Logfiles auf einen Syslogserver am Haupstandort übertragen, was mir jedoch nicht gelingen will.
System Info:
Version 1.2.3-RC3 built on Tue Oct 6 02:15:10 UTC 2009
Platform nanobsd
Es handelt sich hierbei um ein komplett assembliertes System (Board, Gehäuse, Netzteil, CompactFash mit System) welches man bei VARIA-STORE bestellen kann - einfach nur anstöpseln und man kann sofort loslegen...
An der pfSense sind folgende Einstellungen unter Status -> System logs -> Settings aktiviert:
Enable syslog'ing to remote syslog server: [on]
Disable writing log files to the local ram disk: [off]
IP address of remote syslog server: [xxx.xxx.xxx.xxx] hier steht meine Syslog Server IP
alle Event logs sind ausgewählt
Bei den Syslog Server IPs habe ich variiert und auch auf einen anderen Server geloggt, es kommt definitiv nirgends etwas an (oder es wird nix gesendet?!). Mit Testtools habe ich syslogs an die Syslog Server aus dem Netz mit der pfSense schicken können - es scheidet demzufolge aus, dass die Firewall seitens der pfSense oder auf der Gegenseite etwas blockt.
Ich hab die pfSense mit dem PC Engines Board erst seit einer knappen Woche in Betrieb. Vorher lief eine pfSense auf einem HP Standard PC und das Syslogging auf den Syslog Server hat funktioniert. Im Log ist leider auch nicht viel ersichtlich, jegliche Änderung an den Log Einstellungen werden im Systemlogfile mit
Apr 13 16:19:30 syslogd: kernel boot file is /boot/kernel/kernelApr 13 16:19:30 syslogd: exiting on signal 15quittiert.
Hat wer eine Idee wo ggf. noch gedreht werden könnte/muss, damit das Syslog schreiben auf den externen Server funzt? Vielen Dank schonmal.
VG. mhard666
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164525
Url: https://administrator.de/contentid/164525
Printed on: April 19, 2024 at 08:04 o'clock
4 Comments
Latest comment
Hi mhard666,
wenn es ausscheidet das auf der Gegenseite etwas geblockt wird und vorher auf der HP Hardware auch funktioniert hat, ist es möglich dass Du nur den Port aufem dem die neue pfSebse sendet auch freigeben musst.
Was noch in Frage kommt ist das zu viele Dienste den syslogd neu starten dann kann es sein das er abstürtzt und leider in vielen fällen manuell neu gestartet werden will, nicht über GUI.
Auf dem Ziel Syslogserver in der Hauptniederlassung ist in /var/spool/logs /xxx oder wo auch immer Ihr Eure logs aufbewahrt die alte datei mit clear log (flush) gelöscht wurden und es wurde noch kein neuer logfile angelegt.
Der Syslogserver möchte explizit eine Portnummer haben Du hast aber nur die Server IP eingegeben also xxx.xxx.xxx.xxx:xxxx
Und zu letzt guck doch bitte mal ob bei deiner alten pfSense nach ob nicht der logfile auf HDD geschrieben wurde und dann an den Syslogserver in der Hauptniederlassung geschickt wurde (caching) und da Du nicht möchtest das Dir die Schöne neue CF Card in zwei Jahren durchschnort aufgrund der vielen Lese- und Schreiboperationen, hast Du die Schreiboperationen auf der internen Ramdisk unterbunden.
Vielleicht auch besser ne 2,5" IDE / SATA HDD mit zu verbauen und das ganze während des Betriebes das ganze lokal zu speichern und wenn alle Feierabend haben den bestimmt nicht gerade kleinen File (die Datei) dann mit cron oder anacron zu senden.
Aber das beste wird sein die alte pf Sense nocheinmal hochzufahren und nach zu sehen wie die Einstellungen dort waren denn wenn es mit der funktioniert hat dann ist tot sicher
etwas eingestellt was bei der neuen nicht so eingestellt ist.
MfG schuhi69
wenn es ausscheidet das auf der Gegenseite etwas geblockt wird und vorher auf der HP Hardware auch funktioniert hat, ist es möglich dass Du nur den Port aufem dem die neue pfSebse sendet auch freigeben musst.
Was noch in Frage kommt ist das zu viele Dienste den syslogd neu starten dann kann es sein das er abstürtzt und leider in vielen fällen manuell neu gestartet werden will, nicht über GUI.
Auf dem Ziel Syslogserver in der Hauptniederlassung ist in /var/spool/logs /xxx oder wo auch immer Ihr Eure logs aufbewahrt die alte datei mit clear log (flush) gelöscht wurden und es wurde noch kein neuer logfile angelegt.
Der Syslogserver möchte explizit eine Portnummer haben Du hast aber nur die Server IP eingegeben also xxx.xxx.xxx.xxx:xxxx
Und zu letzt guck doch bitte mal ob bei deiner alten pfSense nach ob nicht der logfile auf HDD geschrieben wurde und dann an den Syslogserver in der Hauptniederlassung geschickt wurde (caching) und da Du nicht möchtest das Dir die Schöne neue CF Card in zwei Jahren durchschnort aufgrund der vielen Lese- und Schreiboperationen, hast Du die Schreiboperationen auf der internen Ramdisk unterbunden.
Vielleicht auch besser ne 2,5" IDE / SATA HDD mit zu verbauen und das ganze während des Betriebes das ganze lokal zu speichern und wenn alle Feierabend haben den bestimmt nicht gerade kleinen File (die Datei) dann mit cron oder anacron zu senden.
Aber das beste wird sein die alte pf Sense nocheinmal hochzufahren und nach zu sehen wie die Einstellungen dort waren denn wenn es mit der funktioniert hat dann ist tot sicher
etwas eingestellt was bei der neuen nicht so eingestellt ist.
MfG schuhi69
Nochmal hallo,
schau mal bei diesen beiden links nach ob Dich die vielleicht weiter bringen.
---> http://redmine.pfsense.org/issues/1111
---> http://www.mail-archive.com/support@pfsense.com/msg06332.html
Nochmals viel Erfolg
MfG schuhi69
schau mal bei diesen beiden links nach ob Dich die vielleicht weiter bringen.
---> http://redmine.pfsense.org/issues/1111
---> http://www.mail-archive.com/support@pfsense.com/msg06332.html
Nochmals viel Erfolg
MfG schuhi69
Hi schuhi69,
vielen Dank. Diese Links haben mich zwar nicht weitergebracht, wohl aber dein Link zum Buch "pfSense - The Definitive Guide" in meinem anderen Thread zur pfSense. Das Buch habe ich natürlich mitbestellt
Und im Buch steht dann auch, dass man eine statische Route einrichten muss um z.B. logs an einen Syslog Server über das IPSec Interface zu schicken. Die Route hatte ich auf dem vorher als Router dienenden PC auch, daher hatte es dort auch funktioniert.
VG mhard666
vielen Dank. Diese Links haben mich zwar nicht weitergebracht, wohl aber dein Link zum Buch "pfSense - The Definitive Guide" in meinem anderen Thread zur pfSense. Das Buch habe ich natürlich mitbestellt
Und im Buch steht dann auch, dass man eine statische Route einrichten muss um z.B. logs an einen Syslog Server über das IPSec Interface zu schicken. Die Route hatte ich auf dem vorher als Router dienenden PC auch, daher hatte es dort auch funktioniert.
VG mhard666
Hallo schuhi69,
wo muss diese Route denn eingetragen werden? Eine kurze Beschreibung wäre nett.
VG ogami73
wo muss diese Route denn eingetragen werden? Eine kurze Beschreibung wäre nett.
VG ogami73
