Ir para o conteúdo

Capítulo 51 – Logs e Auditoria no OPNsense

Introdução

Os logs de um firewall são como provas em uma cena de crime digital. Cada linha registrada conta parte de uma história — um acesso permitido, uma conexão bloqueada, uma falha, um alerta.
Em conjunto, esses registros formam um quebra-cabeça que permite compreender o comportamento da rede, identificar a origem de problemas e até atribuir responsabilidade em incidentes de segurança.

No OPNsense, os logs são uma ferramenta essencial para diagnóstico, auditoria e monitoramento. Eles ajudam o administrador a acompanhar tudo o que ocorre dentro e fora do firewall — desde falhas de autenticação até ataques detectados pelo IDS.

Neste capítulo, você aprenderá:

  • Como o OPNsense gera e armazena logs;
  • Onde encontrar cada tipo de registro;
  • Como ajustar retenção e armazenamento;
  • Como enviar logs para um servidor remoto;
  • E como fazer buscas úteis em registros específicos.

1. Como o OPNsense faz o registro de eventos (logging)

O processo de registro de eventos no OPNsense segue uma arquitetura simples, porém poderosa. Ele é composto de várias camadas que se comunicam entre si:

  1. Serviços do sistema — cada serviço (como OpenVPN, Suricata, Web Proxy, CrowdSec, etc.) gera mensagens sobre seu funcionamento, conexões, erros e alertas.
  2. Syslog-NG — o OPNsense utiliza o Syslog-NG, um sistema central de logging que coleta mensagens de todos os serviços.
  3. Armazenamento local — por padrão, essas mensagens são gravadas em arquivos localizados em /var/log, categorizadas por serviço.
  4. Ambientes com armazenamento flash (SD/USB) — nesses casos, é possível configurar o sistema para manter os logs somente em memória RAM, evitando desgaste da mídia.
  5. Logs remotos (Syslog) — o OPNsense pode enviar todas as mensagens de log para um servidor central remoto, permitindo consolidação e auditoria centralizada.
  6. Rotação e retenção — um processo Cron diário comprime, rotaciona e elimina logs antigos de acordo com o período de retenção definido (padrão: 31 dias).

Importante

Em ambientes corporativos, recomenda-se sempre utilizar um servidor remoto de Syslog, garantindo integridade e disponibilidade das evidências, mesmo em caso de falha no firewall.

2. Onde encontrar os logs no OPNsense

O OPNsense organiza seus registros por áreas e serviços.
Abaixo, listamos os principais caminhos dentro da interface web e a finalidade de cada um:

Logs internos do sistema

  • Acesse: System → Log Files
    • Audit: Eventos de autenticação.
    • Backend: Eventos do serviço configd (backend da configuração).
    • Boot: Informações relacionadas à inicialização do sistema.
    • General: Eventos gerais do funcionamento do sistema como falhas PPPoE ou conexão LDAP com o Active Directory.
    • WebGUI: Eventos relacionados ao acesso web de administração do OPNsense.

Logs de conexões de firewall

  • Acesse: Firewall → Log Files → Live View ou Plain View
  • Permite visualizar conexões em tempo real e consultar o histórico.
  • Lembre-se: apenas regras com logging habilitado registram eventos.

Importante

Ao criar as regras, lembre-se de marcar a opção Log para fazer o registro das conexões daquela regra.

Logs de VPN (OpenVPN)

  • Acesse: VPN → OpenVPN → Log File
  • Exibe mensagens de autenticação, inicialização e status dos túneis VPN.
  • Útil para diagnosticar falhas de login, problemas de certificação e instabilidade em túneis.

Alertas do IDS (Suricata)

  • Acesse: Services → Intrusion Detection → Administration → Alerts
  • Lista todos os eventos detectados pelo motor do IDS — como tentativas de exploração, comunicação com C2, ou violações de política de rede.

Logs do Web Proxy (Squid)

  • Acesse: Services → Web Proxy → Access Log

  • Contém detalhes sobre navegação:

    • IP do cliente, URL acessada, resultado da requisição (permitido, bloqueado, do cache), e mais.
    • É essencial para auditorias de uso da Internet e investigações de políticas de acesso.

3. (Opcional) Desabilitar gravação de logs no disco

Em dispositivos com armazenamento limitado (cartões SD, pendrives), gravar constantemente no disco pode reduzir a vida útil da mídia.
O OPNsense oferece a opção de armazenar logs apenas em memória volátil (RAM).

Como configurar

  1. Vá até System → Settings → Miscellaneous.
  2. Marque /var/log RAM disk.
  3. No campo /var/log RAM usage, defina a porcentagem de memória dedicada (ex.: 10).
  4. Clique em Save.

Atenção

Se essa opção estiver ativada e não houver envio remoto de logs, todas as informações serão perdidas após uma reinicialização.
Use essa configuração apenas quando houver um Syslog remoto ou para fins de testes.

4. Ajustando retenção de logs (armazenamento local)

O firewall pode ser configurado para manter logs por um número específico de dias, removendo automaticamente registros antigos.

Como ajustar o período de retenção

  1. Vá até System → Settings → Logging.
  2. No campo Maximum preserved files, defina o número de dias desejado (ex.: 90).
  3. Clique em Save.

Após essa configuração, logs mais antigos serão automaticamente excluídos conforme o ciclo de rotação do sistema.

5. Enviando logs para um servidor Syslog remoto

Em ambientes corporativos, é altamente recomendável centralizar os logs em um servidor Syslog.
Isso facilita a auditoria, permite correlação entre dispositivos e aumenta a resiliência das evidências.

Como configurar o envio remoto

  1. Vá até System → Settings → Logging → Remote.
  2. Clique em + Add.

  3. Preencha as informações do destino:

    • Transport: TCP ou UDP (TCP é mais confiável).
    • Applications: selecione os serviços cujos logs serão enviados.
    • Levels/Facilities: defina filtros ou deixe em branco para enviar tudo.
    • Hostname/IP: endereço do servidor Syslog remoto.
    • Port: porta configurada no servidor (geralmente 514 ou 6514).
    • Format: prefira o padrão RFC 5424 por compatibilidade.

  4. Clique em Save e Apply.

Importante

Dica: se o servidor não receber os logs, use o Packet Capture do OPNsense para confirmar se há tráfego saindo para o IP/porta configurado.

6. Limpando todos os logs (reset total)

Em alguns casos, é útil limpar completamente os registros — por exemplo, após testes ou antes de iniciar uma nova configuração.

  1. Vá até System → Settings → Logging.
  2. Clique em Reset Log Files.
  3. Confirme com Yes e aguarde o processo ser concluído.

Todos os arquivos de log locais serão apagados e recriados em branco.

7. Pesquisando informações úteis nos logs

O poder dos logs está em saber como e onde procurar.
Veja alguns exemplos práticos de busca dentro da interface do OPNsense:

a) Quem acessou a interface WebGUI?

  1. Vá em System → Log Files → Audit.
  2. Altere o nível de detalhe para DEBUG.
  3. Pesquise pelo termo successful.

Isso listará logins bem-sucedidos na interface administrativa.

b) Quais usuários autenticaram na VPN OpenVPN?

  1. Vá em VPN → OpenVPN → Log File.
  2. Marque o nível DEBUG.
  3. Procure por user authenticated.

Esses registros mostram quais usuários conseguiram estabelecer túnel VPN com sucesso.

c) Quais conexões estão ativas agora?

  1. Vá em Firewall → Diagnostics → States.
  2. Use a barra de pesquisa para filtrar conexões específicas.
    Exemplo:
    172.20.0.19 8.8.8.8
    Isso retornará o estado das conexões entre esses dois IPs em tempo real.

Conclusão

Os logs são o coração da observabilidade no OPNsense.
Eles revelam o que acontece “por trás do firewall”, permitindo entender comportamentos, identificar falhas e comprovar incidentes de segurança.

Saber onde procurar, como interpretar e como preservar esses registros é um dos pilares da administração eficiente e segura.
Ao combiná-los com alertas, relatórios e integrações com servidores Syslog ou SIEMs, você transforma o OPNsense de um simples firewall em uma plataforma completa de auditoria e visibilidade operacional.