Je suis en train de mettre en place ELK pour analyser des logs pfSense. ELK sera sur un serveur et pfSense sur un autre. Je vais donc modifier l'adresse où j'envoie mes logs grâce à l'interface de pfSense mais j'ai un problème. Est-ce que je pourrai toujours voir mes logs bruts? Si oui où? J'ai vraiment besoin de garder un trace de ces logs quelque part.
Je suppose que tu forwarde tes logs via syslog vers un logstash. Si tu utilise un pipeline par défaut et que tu ne supprime pas le champ message, ce dernier contient le message originel. Par ailleurs, au niveau d'elasticsearch, le corps du document indexé se retrouve dans le champ _source.
Par ailleurs, il semble me souvenir d'une vie passée que pfsense garde aussi une très petite quantité de logs en local (quelques Ko à quelques Mo, je ne me souviens plus trop).
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.