0 votos

Problema con Rsyslog, LOGS y UTM (Firewall)

Hola a todos. Invoco vuestra sabiduría a ver si me podéis ayudar con un problema que tengo. Tengo un UTM (Firewall) el cual he configurado para que envie todos los Logs generados a un host con Ubuntu server y Rsyslog. A su vez el Rsyslog manda los Logs a otra plataforma para poder leerlos

Mi problema reside en el volumen de Logs generados. De los miles de logs que genera únicamente necesito mas o menos 30 (tipos de logs). He estado buscando por Internet y he visto que se pueden crear filtros en el Rsyslog para descartar los Logs que no necesitas y enviar únicamente los necesarios. Después de infinidad de pruebas no he conseguido crear un filtro adecuado que realice la tarea que necesito.

Esto es un ejemplo del tipo de Log que genera el firewall:

(2017-11-29T08:47:32) http-proxy[2552]: msg_id="234-567" Allow 1-Trusted 6-ADSL-Fibra tcp xxxxxxxxx msg="ProxyAllow: HTTP Request categories" proxy_act="HTTP-Client.Limitado.4" cats="Search Engines and Portals" op="GET" dstname="xxxxxxx" arg="/8SE/411?MI=xxxxxxxxxxxxxxxx&xxxxxxxxxxxxxxxxxxx&AG=2461" src_user="xxxxx" (HTTP.Navegacion Limitado-00)

Como podeis ver el log contiene un msg_id="234-567" el cual me indica que tipo de evento esta ocurriendo en el firewall. Lo que me interesaría seria crear filtros en el rsyslog que estén asociados a unos msg_id="xxx-xxx" concretos y descartar el resto.

Espero sinceramente que me podáis ayudar ya que me esta creando muchos quebraderos de cabeza.

Un saludo a todos

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;