Squid Proxy Server Logfiles von Securepoint Firewall auswerten

Möchte man aus Haftungsgründen z.B. den Webseitenverkehr vom Proxy Server der Securepoint Firewall aufzeichnen, gibt es hier mehrere Möglichkeiten.

Grundsätzlich gibt es zwar die Berichtsfunktion, aber hier kann man nicht sehen, welcher User wann auf welcher Webseite gewesen ist.

Desweiteren gibt es dann noch das Securepoint Operation Center (SOC), aber zufriedenstellend ist dies auch nicht gewesen.

Als Alternative hierzu gibt es den Firewall Anaylzer https://www.manageengine.de/produkte-loesungen/log-analyse-security/firewall-analyzer.html

Die Softwarehersteller werben zwar damit, das sie die Securepoint Firewall unterstützen, aber in der Praxis klappte das leider nicht.

Beim Einrichtungsassistenten wird zwar per Shell die Syslog Einstellung korrekt gesetzt, aber die Logfiles werden abgeändert und sind somit nicht brauchbar,

für den Firewall Analyzer, da dieser von einem Standard-Squid-Logfile ausgeht.

Um das korrekte Format zu erhalten ist es daher notwendig, die squid.config Datei zu editieren.

Dazu drückt ihr Str + Alt + A um die Templates in der Firewall freizuschalten.

 

 

 

Hier müsst ihr dann folgende Zeile abändern:

 

access_log udp://IP:PORT logformat=squid

z.B.: access_log udp://192.168.178.123:514 logformat=squid

 

Ab sofort gehen die Logs dann an den Syslogserver.

Achtung: Der Bericht funktioniert danach nicht mehr – eventuell hilft es, die Zeile nicht zu ersetzen, sondern den neuen Eintrag darüber oder darunter zu setzen.