Vizualizarea de la distanță a jurnalelor de sistem pfSense utilizând Kiwi Syslog Server

Autor: Laura McKinney

Data Creației: 2 Aprilie 2021

Data Actualizării: 13 Mai 2024

Vizualizarea de la distanță a jurnalelor de sistem pfSense utilizând Kiwi Syslog Server - Calculatoare

Conţinut

Ce este Kiwi Syslog Server?
Instalarea Kiwi Syslog Server
Capturi de ecran de instalare
Configurarea Syslog în pfSense
Vizualizarea jurnalelor cu Kiwi
Setări server
Depanare
Verificați adresa IP
Măriți nivelul de înregistrare
Dezactivați Paravanul de protecție Windows

Sam lucrează ca analist de rețea pentru o firmă de tranzacționare algoritmică. A obținut diploma de licență în tehnologia informației de la UMKC.

Urmăriți jurnalele de sistem ale fișierului dvs. firewall pfSense este important pentru a vă asigura că rămâne fără probleme. Puteți vizualiza cu ușurință jurnalele utilizând interfața web, dar metoda mea preferată de monitorizare a jurnalelor este prin syslog de la distanță.

Syslog este un protocol de înregistrare standard care permite transmiterea mesajelor de jurnal prin rețea către o destinație la distanță în timp real. Acest lucru vă permite să monitorizați un sistem pfSense din orice locație, ceea ce face mult mai ușor să identificați potențialele probleme înainte ca acestea să apară. Vizualizarea jurnalului la distanță este, de asemenea, foarte utilă dacă depanați o problemă cu o regulă de firewall.

Unul dintre lucrurile care îmi plac cel mai mult la monitorizarea pfSense cu syslog este că pot monitoriza mai multe routere pfSense de pe o singură consolă.

În acest articol, vă voi arăta cum să configurați pfSense pentru a trimite jurnalele de la distanță la un server Kiw syslog.

Ce este Kiwi Syslog Server?

Kiwi syslog server este un pachet software creat de SolarWinds care primește și procesează mesaje syslog trimise de pe dispozitive prin rețea. Kiwi este disponibil într-o versiune gratuită și licențiată. Versiunea gratuită nu expiră niciodată și poate fi utilizată la nesfârșit, dar nu are la fel de multe funcții ca și versiunea cu plată.

Îmi place Kiwi, deoarece este foarte ușor de configurat și are destul de multe caracteristici pentru un program gratuit.

Kiwi rulează numai pe mașini Windows, dar există și multe servere syslog disponibile pentru Linux.

Instalarea Kiwi Syslog Server

Pentru a începe cu Kiwi, va trebui să descărcați pachetul de instalare de pe site-ul SolarWinds. După ce descărcarea este terminată, rulați programul de instalare în fișierul zip.

Acord de licențiere: Mai întâi va trebui să acceptați acordul de licență pentru a începe procesul de instalare.
Mod de instalare: Dacă intenționați să rulați Kiwi ca server permanent, instalați-l ca serviciu. În caz contrar, alegeți a doua opțiune și instalați-o ca aplicație.
Acces web: Versiunea gratuită nu include accesul la web, deci puteți deselecta această opțiune.
Componente: Alegeți comenzile rapide ale programului pe care doriți să le creeze programul de instalare.
Instalați locația: Locația implicită este de obicei o alegere bună. Fișierele syslog nu pot crește ca ore suplimentare, dar de obicei nu sunt foarte mari.

După terminarea programului de instalare, ar trebui să aveți o comandă rapidă către consola Kiwi syslog server.

Capturi de ecran de instalare

Acceptați acordul de licență pentru a continua.

Configurarea Syslog în pfSense

Pentru a configura pfSense să trimită un mesaj syslog, faceți clic pe elementul jurnalelor de sistem din meniul de stare, apoi faceți clic pe fila setări.

Activați syslog: Bifați caseta etichetată „Activați syslog'ing” pentru a activa syslog.
Specificați serverele syslog: Introduceți adresa IP a sistemului care rulează Kiwi syslog server. PfSense 2.0 acceptă până la 3 destinații de jurnal la distanță.
Selectați jurnalul de evenimente: Pentru monitorul de bază, recomand selectarea evenimentelor de sistem. Dacă doriți să depanați o anumită problemă, puteți activa și alte evenimente.

După ce ați configurat setările, faceți clic pe butonul de salvare. Odată ce setările au fost salvate, pfSense va începe să trimită mesaje syslog la adresele IP pe care le-ați introdus.

Vizualizarea jurnalelor cu Kiwi

După ce deschideți Kiwi, ar trebui să începeți să vedeți mesaje syslog de la pfSense.

Toate mesajele syslog conțin o ștampilă de timp și o severitate. Mesajele jurnal sunt marcate cu timpul când părăsesc gazda pe care au fost create.

Câmpul de severitate poate fi utilizat pentru a crea alte evenimente de avertizare sau pentru a aplica diferite niveluri de evidențiere a mesajelor.

Setări server

Dacă doriți să reglați setările în Kiwi, faceți clic pe elementul meniu Fișier Configurare. Îmi place să activez rezoluția DNS, astfel încât Kiwi va afișa numele gazdei sistemului care a generat evenimentul în loc de adresa IP. Pentru a face acest lucru, faceți clic pe rezoluția DNS din partea stângă, apoi activați caseta de selectare etichetată „rezolvați IP”.

Depanare

Mai jos sunt cele mai frecvente probleme care împiedică apariția mesajelor syslog în consola Kiwi.

Verificați adresa IP

Dacă nu vedeți mesaje în consolă, verificați de două ori dacă ați introdus adresa IP corectă în setările jurnalului pfSense. Deoarece mesajele syslog sunt trimise prin UDP, pfSense nu are cum să afle dacă mesajele au fost primite de destinație.

Măriți nivelul de înregistrare

Dacă tot nu vedeți nimic, încercați să setați nivelul evenimentului de înregistrare la „Totul”. Dacă caseta pfSense transmite trafic, ar trebui să vedeți mai multe mesaje syslog de la firewall.

Dezactivați Paravanul de protecție Windows

În mod implicit, paravanul de protecție Windows va bloca mesajele syslog. Pentru a preveni acest lucru, puteți fie să dezactivați paravanul de protecție, fie să creați o regulă pentru a permite traficul UDP pe portul 514.

Acest articol este corect și fidel, după cunoștințele autorului. Conținutul are doar scop informativ sau de divertisment și nu înlocuiește consilierea personală sau sfatul profesional în probleme de afaceri, financiare, juridice sau tehnice.