Архивировать и анализировать сетевые журналы из NetBSD на другом компьютере

Question

Архивировать и анализировать сетевые журналы из NetBSD на другом компьютере

Я хочу использовать новый межсетевой экран NPF NetBSD на шлюзе, который также имеет юридическое обязательство регистрировать трафик в течение 1 года. Чтобы разгрузить шлюз, я хотел бы поместить материал регистрации (и IDS, управление квотами, ..) на другую машину (вероятно, в Debian).

Я хотя бы 2 решения для этого:

переписывать трафик на другую машину

В отличие от FreeBSD и OpenBSD, я не уверен, может ли NetBSD настроить этот король портов, и если это так, я не знаю как. http://netbsd.gw.com/cgi-bin/man-cgi?bridge указывает

Драйвер моста в настоящее время не поддерживает отслеживание через bpf(4).

но в более старой версии это было

Драйвер моста в настоящее время не поддерживает отслеживание с помощью bpf (4) или прозрачной фильтрации.

Так что, может быть, есть способ, но я не знаю, с чего начать, любая помощь?

запустите tcpdump на машине NetBSD и постоянно синхронизируйте файл журнала с машиной анализа

Но как? Он должен быть надежным и адаптированным к файлу сетевого журнала (т.е. постоянно записываться).

2

networking logging log-files netbsd

Источник

u91317 11 ноя '14 в 12:23

1 ответ

Другие вопросы по тегам networking logging log-files netbsd

abs 13 ноя '14 в 14:43 2014-11-13 14:43 · Answer 1 · 2014-11-13 14:43

Я предполагаю, что эта машина имеет дополнительный сетевой порт администратора в дополнение к портам, используемым для маршрутизации трафика?

npf.conf (5) упоминает:

 procedure "log" {
         # Note: npf_ext_log kernel module should be loaded, if not built-in.
         # Also, the interface created, e.g.: ifconfig npflog0 create
         log: npflog0
 }

Это означает, что вы должны иметь возможность добавить соответствующую строку журнала, чтобы "зарегистрировать" копию всего трафика на порт администратора