pfsense防火墙

您可以使用pfSense防火墙作为一个开源工具,提供安全网络,还包括路由、VPN和其他特性。可以配置pfSense将防火墙日志和DHCP日志同时发送到InsightIDR。您必须配置日志到syslog服务器或InsightIDR采集器。

配置syslog.

需要将InsightIDR配置为远程syslog服务器,以便从pfSense接收防火墙日志。

要这样做:

  1. 登录您的PFSense接口。
  2. 从顶部菜单中,选择状态>系统日志然后选择设置右边的标签。
  1. 向下滚动到“远程日志记录选项”部分。
  2. 检查启用远程日志记录复选框。
  3. 选择要使用的IP协议。
  4. 输入InsightIdr收集器的IP地址和唯一端口。例如,10.1.20.24:10000
  5. 在“远程日志内容”一节中,检查一切复选框。
  6. 点击保存按钮完成配置。

配置pfSense事件源

现在,您必须在InsightIdr中配置防火墙事件源,以便收集器可以摄取日志。

要这样做:

  1. 从仪表板中选择数据收集在左手菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选择选择发送未经过滤的日志
  7. 配置您的默认域和任何高级设置
  8. 选择syslog.身为你的数据收集方法并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载rapt7证书
  9. 点击保存按钮。