別のマシン上のNetBSDからのネットワークログをアーカイブおよび分析する
新しいNetBSDのNPFファイアウォールをゲートウェイで使用したいと思います。ゲートウェイには、トラフィックを1年間ログに記録する法的義務もあります。ゲートウェイをオフロードするために、ロギング関連のもの(およびIDS、クォータ管理など)を別のマシン(おそらくDebian)に配置しました。
私はそうするための2つの解決策を考えました:
- トラフィックを他のマシンに再コピーする
FreeBSDやOpenBSDとは異なり、NetBSDがこのポートの王様をセットアップできるかどうかはわかりません。セットアップできる場合は、その方法がわかりません。 http://netbsd.gw.com/cgi-bin/man-cgi?bridge は
ブリッジドライバーは現在、bpf(4)を介したスヌーピングをサポートしていません。
しかし、古いバージョンでは
ブリッジドライバーは現在、bpf(4)または透過フィルタリングを介したスヌーピングをサポートしていません。
方法はあるかもしれませんが、どこから始めればよいのかわかりません。
- netBSDマシンでtcpdumpを実行し、ログファイルを分析マシンと継続的に同期します
しかし、どのように?信頼性が高く、ネットワークログファイルに適合している(つまり、継続的に書き込まれている)必要があります。
このマシンには、トラフィックのルーティングに使用されるポートに加えて、追加の「admin」ネットワークポートがあると思いますか?
npf.conf(5)は次のように述べています。
procedure "log" {
# Note: npf_ext_log kernel module should be loaded, if not built-in.
# Also, the interface created, e.g.: ifconfig npflog0 create
log: npflog0
}
これは、管理ポートへのすべてのトラフィックのコピーを「ログに記録」するために適切なログ行を追加できる必要があることを意味します