Loggning i PF

Sven-Åke Svensson sa at mbg.se
Wed Mar 23 15:39:47 CET 2011 

Ser ut som om det hjälpte med att sätta "-s 1600". Men bara om man
startade en ny session av pflogd och loggade till en annan fil. Försökte
jag med att sätta flaggan i /etc/rc.conf så blev det ingen data i filen
alls. Men detta räcker för ändamålet.


Sven-Åke



 2011-03-23 12:00, Anders Troback skrev:
> Den Wed, 23 Mar 2011 11:38:42 +0100
> skrev Anders Troback <freebsd at troback.com>:
> 
>> Den Wed, 23 Mar 2011 10:55:15 +0100
>> skrev Sven-Åke Svensson <sa at mbg.se>:
>>
>>> Hej
>>>
>>>
>>> I "option" delen av min pf.conf ser det ut så här.
>>>
>>> ***********************************************************************
>>>
>>> # Options
>>> set timeout { interval 10, frag 30 }
>>> set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
>>> set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
>>> set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
>>> set timeout { icmp.first 20, icmp.error 10 }
>>> set timeout { other.first 60, other.single 30, other.multiple 60 }
>>> set timeout { adaptive.start 0, adaptive.end 0 }
>>> set limit { states 10000, frags 5000 }
>>> set loginterface none
>>> set optimization normal
>>> set block-policy return
>>> set require-order yes
>>> set fingerprints "/etc/pf.os"
>>> **********************************************************************
>>>
>>> Sedan använder jag detta i de regler jag behöver titta på, "pass in
>>> log....".
>>>
>>>
>>> Sven-Åke
>>>
>>>
>>>
>>> 2011-03-23 10:35, Christoffer Persson skrev:
>>>> Hur ser din nuvarande config ut?
>>>>
>>>> /Christoffer Persson
>>>> ________________________________________
>>>> From: bus-bounces at stacken.kth.se [bus-bounces at stacken.kth.se] on
>>>> behalf of Sven-Åke Svensson [sa at mbg.se] Sent: Wednesday, March 23,
>>>> 2011 10:11 AM To: bus at stacken.kth.se
>>>> Subject: Loggning i PF
>>>>
>>>> Hej
>>>>
>>>>
>>>> Jag undrar om det är någon som vet hur man ökar mängden data som
>>>> samlas in i pflog? Den enda info jag hittar är att det default
>>>> samlas in 96 bytes. Men jag skulle behöva betydligt mer för att
>>>> sedan kunna undersöka i Wireshark.
>>>>
>>>>
>>>> Hälsningar
>>>>
>>>> Sven-Åke
>>
>> Dumpar du loggen med tcpdump?
> 
> Starta pflogd med flaggan "-s 0" tror jag fixar problemet!
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus

More information about the BUS mailing list