Theo cấu hình mặc định, pfSense thực hiện ghi log với số lượng bản ghi giới hạn nhằm giúp quản trị viên theo dõi trạng thái hiện tại của hệ thống tại thời điểm hiện tại. Trong trường hợp doanh nghiệp cần thực hiện ghi log trong thời gian dài và cần thu thập nhiều thông tin
hơn, thì giải pháp được khuyến cáo sử dụng là “Remote syslog” nhằm tăng dung lượng lưu trữ log đến một hệ thống bên ngoài.
Để thực hiện theo dõi trạng thái của máy chủ pfSense, quản trị viên có thể thực hiện bằng 2 cách:
• Cách 1: Truy cập bằng giao diện web Status > System logs > Chọn tab tương ứng cần theo dõi như hình bên dưới:
Hình 117: Theo dõi DHCP log bằng giao diện web
Hình 118: tường lửa > Summary view
• Cách 2: theo dõi bằng Secure Shell, các tập tin log được lưu trữ tại đường dẫn /var/log/.
Hình 119: Theo dõi DHCP log bằng Secure Shell
2.12.1. Remote syslog
Để đảm bảo tính sẵn sàng khi có nhu cầu theo dõi các sự kiện được ghi log trong thời gian dài, phương pháp Remote syslog là giải pháp tối ưu để phục vụ mục đích này.
Để thực hiện phân tích log từ xa, bạn cần một chương trình syslog server để tiếp nhận các dữ kiện từ pfSense gởi đến. Trong phần này, chúng tôi sử dụng máy chủ Splunk hoạt động tại địa chỉ 10.0.0.32 có nhiệm vụ nhận các bản ghi log được gởi từ pfSense.
Hình 120: Cấu hình Splunk nhận các bản ghi log thông qua giao thức UDP
Tại giao diện web pfSense Status > System logs > chọn thẻ Settings và cấu hình IP máy chủ Syslog Server, chọn các danh mục dịch vụ cần theo dõi.
Hình 121: Giao diện cấu hình Remote Syslog
Hình 122: Biểu đồ phân tích Syslog
2.12.2. Đồ thị RRD
System (trạng thái máy chủ pfSense), Traffic (lưu lượng qua các card mạng, IPSec và Outbound), Packets, Quality…
Hình 123: Biểu đồ trạng thái máy chủ pfSense