pfSense, un pare-feu et routeur open-source très puissant, intègre nativement des capacités de journalisation.
Par défaut, pfSense conserve les logs localement.
Mais pour améliorer la supervision, répondre aux exigences de conformité, ou centraliser la gestion des journaux, il est recommandé de les envoyer vers un serveur syslog distant comme LogCentral.
Pourquoi centraliser vos logs dans LogCentral ?
Supervision simplifiée : regroupez les journaux de plusieurs équipements au même endroit.
Conformité : stockez vos logs de façon sécurisée, en Europe, pour respecter les obligations légales.
Résilience : vos logs restent accessibles même en cas de panne matérielle du routeur pfSense.
Analyse avancée : exploitation facilitée grâce à l’interface LogCentral et à vos outils SIEM existants.
Étapes de configuration
Étape 1 : Créer votre emplacement dans LogCentral
Dans votre organisation, créez un nouvel emplacement correspondant à votre site où se trouve le pare-feu pfSense.
Ajoutez l’adresse IP publique de votre routeur dans la liste des IP autorisées.
Activez l'emplacement.
LogCentral vous fournit une adresse IPv4/IPv6 ainsi qu’un port dédié : ce sont les informations à renseigner dans pfSense.
Étape 2 : Accéder à l’interface pfSense
Connectez-vous à pfSense avec vos identifiants administrateur.
Vérifiez dans Status > System Logs que les journaux locaux s’affichent correctement.
Étape 3 : Configurer l’envoi vers LogCentral
Allez dans Status > System Logs > Settings.
Dans la section Remote Logging Options :
Enable Remote Logging : activez cette case.
Remote Log Servers : entrez l’adresse IP (ou hostname) et le port fournis par LogCentral (ex.
203.0.113.45:5514).Remote Syslog Contents : choisissez les catégories de logs à envoyer (Firewall, DHCP, VPN…). Sélectionnez uniquement ce qui est nécessaire pour limiter le bruit.
Remote Syslog Protocol : UDP (léger, par défaut) ou TCP (plus fiable).
Cliquez sur Save.
Étape 4 : Vérifier la réception des logs
Dans LogCentral, ouvrez l'emplacement concerné pour voir si des événements arrivent.
Générez volontairement un log côté pfSense (par exemple, accéder à un site bloqué ou redémarrer un service).
Confirmez que l’événement est visible dans l’interface LogCentral.
Étape 5 : Ajuster la configuration
Filtrer les logs : n’envoyez que les catégories nécessaires pour réduire le volume et les coûts.
Superviser la performance : un excès de logs peut ralentir pfSense ou saturer la bande passante. Ajustez le niveau de détail.
Politiques de rétention : LogCentral conserve vos logs 1 an par défaut.
Dépannage
Connectivité : testez depuis pfSense avec
pingoutelnetvers l’IP et le port de LogCentral.Pare-feu : assurez-vous qu’aucune règle ne bloque le trafic sortant vers LogCentral.
Logs d’erreur : consultez Status > System Logs > General pour diagnostiquer d’éventuels échecs.
Conclusion
En connectant pfSense à LogCentral, vous centralisez et sécurisez vos journaux réseau.
Chaque emplacement représente un site de votre organisation, avec des IP autorisées et un port unique.
Cette approche assure une conformité simplifiée, une supervision en temps réel et une traçabilité fiable, sans surcharge pour vos équipements réseau.