Infos sur IP du serveur de destination pour les LOGS

Nous avons pu arrêter votre input.
Veuillez actualiser votre page "Outils de Collecte" pour que les actions sur votre collecteur soient de nouveau disponibles.

Désolé de la gêne occasionnée.

Bonjour nous n'avons pas vu de traffic arriver sur votre collecteur Logstash provenant du réseau que vous avez configuré. Etant donné que vous avez configuré votre collecteur avec le support du SSL en TCP, vous pouvez tester que vous arrivez bien à vous connecter d'une machine de votre réseau grâce à la commande suivante en utilisant OpenSSL :

`openssl s_client -connect :514`

Cette commande devrait vous renvoyer le certificat utilisé par le collecteur.

Bonjour,

En effet l'UDP n'est supporté que sur l'input globale. L'une des solutions dans ce cas est d'utiliser un forwarder intermédiaire qui va envoyer les messages en TCP (avec optionnellement du TLS). Par exemple, vous pouvez utiliser syslog-ng avec une configuration minimale. Vous avez ensuite plus qu'à envoyer vos logs pfSense vers localhost en 514 et syslog-ng les forwardera vers la destination de votre choix.
Voici un exemple de configuration syslog-ng permettant de faire le forward de logs de votre machine vers LDP :

@version: 3.5
@include "scl.conf"
@include "`scl-root`/system/tty10.conf"

# Syslog-ng configuration file, compatible with default Debian syslogd
# installation.

# First, set some global options.
options { chain_hostnames(off); flush_lines(0); use_dns(no); use_fqdn(no);
owner("root"); group("adm"); perm(0640); stats_freq(0);
bad_hostname("^gconfd$");
time-reap(30);
mark-freq(10);
keep-hostname(yes);
};

source s_udp { syslog( port(514) transport("udp"));};

destination d_syslog_tls {
syslog("15861323b8c18c0000d025806.gra2.logs.ovh.com5861323b8c18c0000d025806.gra2.logs.ovh.com"
transport("tls")
port(12202)
tls(peer-verify(required-trusted)
ca-dir('/etc/ssl/certs/'))); };

log { source(s_udp); destination(d_syslog_tls); };

Afin de pouvoir communiquer en SSL avec votre collecteur il est nécessaire de rajouter le certificat CA des outils de collecte dans votre répertoire /etc/ssl/certs (le CADir utilisé dans la conf ci dessus). Vous trouverez ce certificat sur la page "About/A propos" du manager Logs Data Platform. Syslog-ng ne prend en compte que les pem qui ont pour nom le hash du certificat, il vous faudra effectuer la commande suivante pour obtenir le hash :

`openssl x509 -noout -hash -in `
Le résultat devrait être (auj 9 février 2018) : 3b81e38f
ajoutez le avec l'extension '.0' dans le répertoire /etc/ssl/certs : `3b81e38f.0`

Configurez ensuite pfSense pour envoyer directement vers localhost sur le port 514 pour forwarder les logs vers votre input. N'oubliez pas de fermer ce port pour les requêtes ne provenant pas de localhost.

Les logs sortant au format RFC 5424, nous vous conseillons d'utiliser le template Logstash `SYSLOG RFC 5424` nouvellement disponible dans la configuration Logstash pour faciliter le parsing des logs.

N'hésitez pas à nous dire si tout cela ne semble pas clair ou ne fonctionne pas comme prévu.