4️⃣Relatórios de acesso do UserAuth
Atualizado
Atualizado
Na versão 4 do UserAuth foi aberta a possibilidade de gerar relatórios dos acessos, utilizando os domínios e FQDNs que são identificados quando se utiliza a integração com filtro DNS.
Para ativar essa funcionalidade, basta navegar até a opção "Logs" na guia General do UserAuth.
Será necessário configurar a integração com o serviço DNS e paramentos de logs do pfSense®. Configurados na pagina inicial do UserAuth, configuração de Logs.
Integrate userauth authenticated user to pfSense logs: Adiciona o nome do usuario aos registros do log.
Add fqdn to destination: Adicionará o fqdn nos logs gerados pelo UserAuth, sendo um requisito ter o NGRules ativo;
Add rule description: Adicionará nos logs a descrição da regra criada para identificar o acesso;
Ao selecionar está opçõa, se faz necessario adicionar a descrição ao configurar a regra.
Add DNS/bind9 resolution logs: Inclui os logs de DNS;
Logs Volumetry: Adiciona volumetria aos logs;
Remote syslog: Integração de um servidor de Greylog externo;
Parallel log monitor: Configuração de quantidade processos máximo para processamento dos logs.
Patch Configuration: Aqui temos duas opções:
Enable userauth in Sarg: Nessa opção podemos realizar a integração dos logs entre o UserAuth e o Sarg, permitindo assim uma opção a mais para o gerenciamento dos relatórios;
Remove log duplicate: Essa função foi criada para melhorar os logs do próprio pfSense, que trás por padrão informações de acessos duplicadas.
Send logons to syslog: Neste campo pode ser configurado um servidor de logs externos, como por exemplo um Greylog, basta adicionar o IP dele e a ferramenta fará o envio das informações de acesso.
Logons Log Retention Count: Se trata do número de dias que os arquivos de logs de login serão retidos antes que a cópia mais antiga seja removida durante a rotação.
Shipping Format send logons: Formato que o log pode ser encaminhado para um servidor externo.
Será necessário, inicialmente, aplicar uma configuração dentro dos logs do pfSense® "Status -> System Logs -> Settings", visto que a ferramenta apenas visualiza o que o pfSense® gera.
Nesta mesma tela de configuração existe a possibilidade de seguir diretamente para a tela de configuração, basta clicar em "Goto pfSense system log config page".
Agora siga a ordem de ajustes abaixo:
Log firewall default block: Vamos desabilitar os logs padrão de bloqueio.
Forward/Reverse Display: Vamos ativar essa opção de exibição
Log Rotation Size: Altere o tamanho do arquivo de Logs, lembrando que o tamanho é definido por (Bytes), importante tomar cuidado na hora da conversão.
Na imagem abaixo temos como exemplo "512000000 KB" convertendo isso para MB da um total de "500MB"
Após realizar todas as configurações acima citadas, será possível consultar e exportar os logs dos acessos.
Basta acessar a guia "Logs" do UserAuth.
Dentro da guia "Logs" temos 3 opções que podem ser vistar na imagem acima:
Firewall: Essa opção trás os logs dos acessos do usuários;
UserAuth: Nessa opção é possível visualizar os logs do próprio UserAuth;
User History: Histórico de login e logoff dos usuários.
Nessa tela será possível visualizar os logs dos acessos, para tal, você pode utilizar algumas opções de filtros:
Max lines: Quantidade de linhas apresentadas em tela;
Firewall Logs Files: Selecione quais arquivos de banco de dados você deseja usar em sua pesquisa, sendo possível mais de um para exibição;
Update Interval: Com que frequência as entradas de log são atualizadas;
String Filter: Filtro de informações no log, ao clicar em obter ajuda serão apresentadas algumas opções de filtros, para a descrição destas opções avançadas de filtro acesse nesse manual "Opções avançadas para filtro de logs";
String Filter Limit: Tamanho máximo para o conteúdo filtrado;
Export Logs: É possível exportar os registros exibidos na tela utilizando as opções de CSV e HTML. Ao selecionar a opção "Arquivo Completo", será realizado o download do arquivo completo do dia, porém sem formatação.
Nos registros deste log, que serão exibidos em tempo real, serão informados o país de origem e destino da conexão, através da bandeira.
Ao clicar no IP de destino ou origem, duas abas serão exibidas logo acima, informando em qual tabela/alias o IP clicado está presente e a quais regras ele pertence.
Para entender como utilizar filtros avançados, clique aqui.
Aqui temos algumas opções de filtros, mas são basicamente os mesmo acima informados.
Nos campos abaixo temos os registros com as informações relacionadas a licenças do pacote, vencimento, além da quantidade de usuários conectados.
Caso você tenha integração com o AD, serão exibidas informações relacionadas a sincronização e eventos locais, bem como IP e usuário de acesso.
Nessa aba, vamos ter também as mesmas opções de filtros já repassados no início dessa página.
Nos logs vamos ter as informações de login e logoff de cada usuário, além dos eventos relacionadas a data, grupo pertencente, endereço IP, endereço MAC e onde foi feita autenticação (AD, CP ou MAC)