Sam travaille comme analyste de réseau pour une société de trading algorithmique. Il a obtenu son baccalauréat en technologie de l’information de l’UMKC.
Garder un œil sur les journaux système de votre pare-feu pfSense est important pour garantir son bon fonctionnement. Vous pouvez facilement afficher les journaux à l’aide de l’interface Web, mais ma méthode préférée de surveillance des journaux est via syslog à distance.
Syslog est un protocole de journalisation standard qui permet de transmettre des messages de journalisation sur le réseau vers une destination distante en temps réel. Cela vous permet de surveiller un système pfSense depuis n’importe quel endroit, ce qui facilite la détection des problèmes potentiels avant qu’ils ne surviennent. L’affichage à distance des journaux est également très pratique si vous résolvez un problème avec une règle de pare-feu.
L’une des choses que j’aime le plus dans la surveillance de pfSense avec syslog est que je peux surveiller plusieurs routeurs pfSense à partir d’une seule console.
Dans cet article, je vais vous montrer comment configurer pfSense pour envoyer des journaux à distance à un serveur syslog Kiwi.
Qu’est-ce que le serveur Kiwi Syslog ?
Le serveur syslog Kiwi est un progiciel créé par SolarWinds qui reçoit et traite les messages syslog envoyés par les appareils sur le réseau. Kiwi est disponible dans une version gratuite et sous licence. La version gratuite n’expire jamais et peut être utilisée indéfiniment, mais elle n’a pas autant de fonctionnalités que la version payante.
J’aime Kiwi parce qu’il est très facile à configurer et qu’il a pas mal de fonctionnalités pour un programme gratuit.
Kiwi ne fonctionne que sur des machines Windows, mais de nombreux serveurs syslog sont également disponibles pour Linux.
Installation du serveur Kiwi Syslog
Pour démarrer avec Kiwi, vous devrez télécharger le package d’installation à partir du site SolarWinds. Une fois le téléchargement terminé, exécutez le programme d’installation dans le fichier zip.
- Accord de licence: Vous devrez d’abord accepter le contrat de licence pour démarrer le processus d’installation.
- Mode d’installation : Si vous envisagez d’exécuter Kiwi en tant que serveur toujours actif, installez-le en tant que service. Sinon, choisissez la deuxième option et installez-la en tant qu’application.
- L’accès à Internet: La version gratuite n’inclut pas l’accès au Web, vous pouvez donc désélectionner cette option.
- Composants: Choisissez les raccourcis du programme que vous souhaitez que le programme d’installation crée.
- Emplacement d’installation : L’emplacement par défaut est généralement un bon choix. Les fichiers syslog ne peuvent pas grossir dans le temps, mais ne sont généralement pas très volumineux.
Une fois le programme d’installation terminé, vous devriez avoir un raccourci vers la console du serveur Kiwi syslog.
Captures d’écran d’installation
Configuration de Syslog dans pfSense
Pour configurer pfSense pour envoyer un message syslog, cliquez sur l’élément journaux système dans le menu d’état, puis cliquez sur l’onglet paramètres.
- Activez Syslog : Cochez la case intitulée « Enable syslog’ing » pour activer syslog.
- Spécifiez les serveurs syslog : Entrez l’adresse IP du système exécutant le serveur syslog Kiwi. PfSense 2.0 prend en charge jusqu’à 3 destinations de journaux distants.
- Sélectionnez les événements du journal : Pour le moniteur de base, je recommande de sélectionner les événements système. Si vous souhaitez résoudre un problème spécifique, vous pouvez également activer d’autres événements.
Faites défiler pour continuer
Après avoir configuré les paramètres, cliquez sur le bouton Enregistrer. Une fois les paramètres enregistrés, pfSense commencera à envoyer des messages syslog aux adresses IP que vous avez entrées.
Page de configuration de pfSense Syslog
Affichage des journaux avec Kiwi
Une fois que vous avez ouvert le Kiwi, vous devriez commencer à voir les messages syslog de pfSense.
Tous les messages syslog contiennent un horodatage et une gravité. Les messages du journal sont horodatés lorsqu’ils quittent l’hôte sur lequel ils ont été créés.
Le champ de gravité peut être utilisé pour créer d’autres événements d’alerte ou appliquer différents niveaux de surbrillance aux messages.
Console du serveur syslog Kiwi.
Paramètres du serveur
Si vous souhaitez ajuster les paramètres dans Kiwi, cliquez sur l’élément de menu Fichier\Configuration. J’aime activer la résolution DNS afin que Kiwi affiche le nom d’hôte du système qui a généré l’événement au lieu de l’adresse IP. Pour ce faire, cliquez sur la résolution DNS sur le côté gauche, puis activez la case à cocher intitulée « Résoudre l’IP ».
Paramètres du serveur Kiwi.
Dépannage
Vous trouverez ci-dessous les problèmes les plus courants qui empêchent les messages syslog d’apparaître dans la console Kiwi.
Vérifiez l’adresse IP
Si vous ne voyez aucun message dans la console, vérifiez que vous avez entré la bonne adresse IP dans les paramètres du journal pfSense. Étant donné que les messages syslog sont envoyés via UDP, pfSense n’a aucun moyen de savoir si les messages ont été reçus par la destination.
Augmenter le niveau de journalisation
Si vous ne voyez toujours rien, essayez de définir le niveau d’événement de journalisation sur « Tout ». Si la boîte pfSense transmet du trafic, vous devriez voir plusieurs messages syslog du pare-feu.
Désactiver le pare-feu Windows
Par défaut, le pare-feu Windows bloquera les messages syslog. Pour éviter cela, vous pouvez soit désactiver le pare-feu, soit créer une règle pour autoriser le trafic UDP sur le port 514.
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.
© 2011 Sam Kear
