Log-Server

[gt500 10]

Hi Leute,

 

Hat jemand von euch bereits mit Log-Servern zu tun gehabt und diese installiert

und eingerichtet???

Kann mir jemand vielleicht dazu Tipps geben oder Links nennen wo man dies

mal nachlesen könnte???

 

Wäre echt wichtig und nett, wenn jemand helfen könnte!!!

 

Danke im voraus ;)

 

MfG

 

GT500

[il_principe 11]

hi,

 

bitte um etwas genauere infos.

was willst du loggen, denkst du an einen syslog server, oä?

 

lg

il_principe

[gt500 10]

Hey, danke für die schnelle Antwort.

 

Syslog-Server hört sich ganz gut an. Alle Logs die die Firewall zulässt,

sollen seperat geloggt werden.

 

Ich hoffe das diese Infos helfen!!! :)

[s21it21 10]

um welche firewall handelt es sich den?

die syslogfunktion muss die firewall/betriebsystem schon untertützen.

 

alternativ wäre theoretisch auch noch snmp möglich, wobei ich das auf einer firewall nicht aufdrehen würde.

 

lg

martin

[gt500 10]

Die Firewallsysteme sind unterschiedlich. Hatte mir gedacht das man so einen

Syslog-Server unabhängig davon gestalten könnte. :(

 

Eine Firewall wäre da z.B. Fortynet oder Checkpoint

[s21it21 10]

hallo,

 

also wenn du eine checkpoint hast, dann werden sowieso alle log-einträge zentral auf einen management-server transportiert.

du hast dort alle logeinträge zentralverwaltbar/auswertbar/einsehbar.

 

wenn du checkpoint auf linux/unix laufen hast, dann geht auch syslog. ich weiss aber nicht genau welche meldungen die firewall via syslog rausschickt. snmp geht auch, aber da kleistert dich die checkpoint voll (würde ich darum nicht verwenden).

 

in welchem format willst du denn die logs haben, oder gehts e nur um die reine zentrale verwaltung dieser?

 

lg

martin

 

PS: bei checkpoint kannst mich gerne ausgiebig fragen!

[gt500 10]

Wenn ich den Kollegen auf der Arbeit richtig verstanden hab soll der Syslog-Server

alles was die Firewall erlaubt zentral speichern. Gibt es da nicht ne Möglichkeit nen Server

aufzusetzen und diesen für Log-Speicherung allg. einzurichten???

 

Suche bereits im Netz aber ist schwer was zu finden. Habe momentan ne Möglichkeit

per RedHat oder Suse gefunden über "syslog-ng".

[s21it21 10]

hallo,

 

was willst du nun speichern?

 

du willst alle log-daten zentral verwalten, richtig?

 

lg

martin

[gt500 10]

Richtig, alle log-daten zentral auf so einem syslog-server speichern.

Hast du ne Idee??? :D

[GerhardG 10]

syslogd oder syslog-ng wären ne einfache lösung.

[gt500 10]

Hallo GerhardG

 

Hast du eventuell einen Link zum Nachlesen für deine Idee??? ;)

[s21it21 10]

hallo,

 

syslog ist auf jeden fall eine lösung (besser ist syslog-ng, da hast du mehr möglichkeiten).

 

es kommt eben drauf an welche firewall du einsetzen willst,

 

bei linux-fws geht das sicher, bei checkpoint,soweit ich weiss, ncht wirklich (bzw. ist da der bedarf nicht so da, weil die logs sowieso zentral abgelegt werden).

 

bei der cisco-pix gehts auch via syslog.

 

lg

 

martin

[s21it21 10]

hello,

 

guckst du dort:

 

http://www.reintechnisch.de/Inhalt/computer/admin/syslog-ng.html

 

http://www.campin.net/syslog-ng/faq.html

 

interessant wäre noch was du mit den logdaten willst?

in scripts für automatische auswertungen verwenden, oder nur zum nachschauen (bei bedarf)?

bei checkpoint ist es eben so, dass die logs zentral abgelegt werden und mit einem gui kannst du dann schöne auswertungen/abfragen/visualisierungen machen, entweder in echtzeit oder rückwirkend...

 

 

lg

 

martin

[gt500 10]

Danke für die umfangreiche antwort. :)

Was mit den log-dateien gemacht werden soll müsste ich erst hinterfragen.

habe gerade noch mit nem anderen arbeitskollegen gesprochen. er meinte

das man einfach den syslog-d nehmen sollte, das reicht hatte er gesagt!?!

Was meint ihr???

[s21it21 10]

hallo,

 

wie gesagt, es kommt darauf an, was du mit den log-daten haben willst bzw. gibt es jemanden der zb. diverse scripts für auswertungen machen wird, etc.

 

dienen die logs wirklich nur zum anschauen oder nur zum wegkopieren?

wenn ihr vor einer entscheidung für ein firewallsystem seid, dann würde ich die logging möglichkeit aber nicht als oberste priorität sehen...aber das ist wahrscheinlich eine andere geschichte...

 

bei syslog-dateien ist eben so, dass du alle logs, die das system schickt, in einem/mehrern files hast, ungefiltert, einfach komplett.

 

alle auswertungen/anpassungen musst du dir selbst basteln (wenn es der syslogserver nicht anbietet)....ich habe bis jetzt eher die erfahrunge gemacht, dass man in solche syslog-files kaum reinschaut, weil es einfach zu viel ist.....bei der pix, zb. ist es so, dass man entweder zu wenig sieht, oder viel zu viel sieht (pers. meinung)...und die diversen abfragen muss man sich eben mit diversen grep/filter-befehlen selbst zusammenschnippseln....

 

 

lg

 

martin