Merhabalar
Önceki blog yazımda pfsense üzerinde 5651 kanununa uygun nasıl openssl ile log imzayabilirsiniz, bunun ile ilgili bir yazı yayımladım. Bu blog yazısında ise kısaca Squid üzerinden geçen trafiğin log dosyası içerisinde analizi ile ilgili işinize yarayacak birkaç bilgi paylaşıyor olacağım.
Squid üzerinden geçen HTTP eğer ayarlandıysa HTTPS trafiklerinin bulunduğu “access.log” dosyasını imzaliyoruz ve saklıyoruz. Bu log dosyası içerisinde tarih/saat bilgisi unix tarih/saat formatında olduğu için bir insanın bunu anlaması zor, işte bu yüzden bu yazıyı yazıyorum.
pfSense üzerinde squid üzerinden geçen kullanıcıların aşağıdaki formatta bilgilerini anlık olarak görebiliyorsunuz. Ana menüde Services > Squid Server > Real Time sekmesine girerek ulaşabilirsiniz.
Komut satırına giriş yaptıktan sonra, aşağıdaki komutu kullanarak unix tarih formatını bir insanın okuyabileceği gibi bir tarih formatına dönüştürebiliriz.
pfsense# cat /var/squid/logs/access.log | perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e'
[Wed Jan 10 11:59:26 2018].814 1.1.1.1 TCP/MISS/403 0 CONNECT lifeoverlinux.com:443 ORIGINAL_DST/1.1.1.1 -
Aynı zamanda biraz derli toplu bir şekilde bu log dosyasını okumak isterseniz diye aşağıdaki komutu kullanabilirsiniz. Belli başlı alanları keserek, kayıt kalabalığından aşağıdaki gibi kurtulabiliriz.
pfsense# cat /var/squid/logs/access.log | cut -d' ' -f1,6,7,9,10,11,12 | perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e'
[Wed Jan 10 12:11:55 2018].627 1.1.1.1 TCP_MISS/403 CONNECT 2.2.2.2:443 - ORIGINAL_DST/2.2.2.2
[Wed Jan 10 12:11:55 2018].627 1.1.1.2 TCP_MISS/403 CONNECT 2.2.2.2:443 - ORIGINAL_DST/2.2.2.2
[Wed Jan 10 12:11:55 2018].627 1.1.1.3 TCP_MISS/403 CONNECT 2.2.2.2:443 - ORIGINAL_DST/2.2.2.2
[Wed Jan 10 12:11:55 2018].627 1.1.1.4 TCP_MISS/403 CONNECT 2.2.2.2:443 - ORIGINAL_DST/2.2.2.2
” Online pfSense Firewall & Router Eğitimi | www.udemy.com/pfsense-training “
Leave a Reply