sabschap
Goto Top

Event Log Forwarder für Windows - Logs kommen bei QNAP nicht an

Hallo, wir haben auf unseren Windows 2016 Server der SolarWinds Event Log Forwarder for Windows installiert.
Wie folgt eingerichtet:

event-log-forwareder-subscription
define-priority
syslog-server
event-test

Auf der QNAP haben wir folgendes eingerichtet:

qnap-server-syslog


Wo liegt das Problem? Die Logs kommen bei der QNAP nicht an.

Vielen Dank!

Content-ID: 567985

Url: https://administrator.de/contentid/567985

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

aqui
aqui 27.04.2020 aktualisiert um 10:10:07 Uhr
Goto Top
Hast du mal mit einem Wireshark Sniffer überprüft ob der Server überhaupt Syslog Pakete mit der QNAP IP Adresse versendet ?
Gut möglich das die lokale Windows Firewall das blockt !

P.S.: Peinlichkeiten in Überschriften korrigiert jederzeit der "Bearbeiten" Button unten unter "Mehr". face-wink
SabSchap
SabSchap 27.04.2020 um 10:38:21 Uhr
Goto Top
Was müsste ich denn in der Firewall alles freigeben?
lcer00
lcer00 27.04.2020 um 11:31:58 Uhr
Goto Top
Zitat von @SabSchap:

Was müsste ich denn in der Firewall alles freigeben?
Na das was du da eingestellt hast: ausgehend udp 514

Du kannst ja auch mal auf TCP umstellen und schauen, ob das Test-Event auch mit erfolgreich quittiert wird. Udp ist so wie eine Flaschenpost, Du weisst nie, ob sie wirklich ankommt. Dann würdest Du auch in Wireshark sehen, ob die Verbindung steht.

Grüße

lcer
SabSchap
SabSchap 27.04.2020 um 12:45:10 Uhr
Goto Top
Port ist freigegeben. Ausgehend TCP 514.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
lcer00
lcer00 27.04.2020 um 14:44:09 Uhr
Goto Top
Zitat von @SabSchap:

Port ist freigegeben. Ausgehend TCP 514.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
Und was sagt wireshark?

Grüße

lcer
aqui
aqui 27.04.2020 um 15:38:41 Uhr
Goto Top
Port ist freigegeben. Ausgehend TCP 514.
TCP ist ja Blödsinn. Das wäre dann kein Wunder das es nicht klappt, denn Syslog nutzt generell immer UDP als Transport Protokoll !!
https://de.wikipedia.org/wiki/Syslog
Kein Wunder also das das dann in die Hose geht wenn man TCP in der Firewall einstellt !
lcer00
lcer00 27.04.2020 um 16:52:03 Uhr
Goto Top
Hallo aqui
Zitat von @aqui:

Port ist freigegeben. Ausgehend TCP 514.
TCP ist ja Blödsinn. Das wäre dann kein Wunder das es nicht klappt, denn Syslog nutzt generell immer UDP als Transport Protokoll !!
https://de.wikipedia.org/wiki/Syslog
Kein Wunder also das das dann in die Hose geht wenn man TCP in der Firewall einstellt !
Wenn man aber tcp als Transportprotokoll bei Sender und Empfänger einstellt ( und das einstellbar ist, wie oben in den Screenshots gezeigt) dann sollte es auch gehen. Und man hat verhindert, das irgendwelche UDP Pakete im Nirvana verschwinden. Als Test ist durchaus legitim. Im Produktiven Betrieb kann man sich streiten.

Grüße

lcer
aqui
aqui 27.04.2020 um 17:54:12 Uhr
Goto Top
Bei einem QNAP NAS ist das aber eher zu bezweifeln, denn in der regel arbeitet im QNAP ein Linux Betriebssystem das den OS eigenen Syslog Daemon nutzt und der macht immer UDP.
Ein identisches Syslog Setup hier auf einem älteren TS-439 QNAP loggt fehlerlos alle Syslogs von Cisco Routern und Switches und einigen pfSense Firewalls mit. Alle nutzen durchgehend UDP.
Vielleicht sollte der TO wirklich mal den Wireshark anschmeissen und mal wirklich nachsehen. Das würde wenigstens hier absolute Klarheit für alle Beteiligten schaffen !
lcer00
lcer00 27.04.2020 um 18:46:58 Uhr
Goto Top
Hallo aqui,
Zitat von @aqui:

Bei einem QNAP NAS ist das aber eher zu bezweifeln, denn in der regel arbeitet im QNAP ein Linux Betriebssystem das den OS eigenen Syslog Daemon nutzt und der macht immer UDP.

auf meinem QNAP sieht das so aus:
[/etc] # cat rsyslog.conf
$ModLoad imtcp.so
$InputTCPServerRun 514
$ModLoad imudp.so
$UDPServerRun 514

$template SyslogProtocolStructDataFormat,"<%PRI%>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %syslogtag%%msg:::drop-last-lf%\n"  
$outchannel root_rotation, /share/MD0_DATA/syslog/messages, 52428800, /etc/init.d/log_rotation.sh /share/MD0_DATA/syslog/messages

:hostname, isequal, "localhost" ~  
*.* $root_rotation;SyslogProtocolStructDataFormat
[/etc] # cat rsyslog.conf

da läuft ein rsyslog, und man udp oder tcp einstellen.

Vielleicht sollte der TO wirklich mal den Wireshark anschmeissen und mal wirklich nachsehen. Das würde wenigstens hier absolute Klarheit für alle Beteiligten schaffen !

ja, das wäre gut.

Grüße

lcer
SabSchap
SabSchap 28.04.2020 um 11:06:49 Uhr
Goto Top
Also ich habe jetzt im Event Log Forwarder auf UDP Port 514 umgestellt und die Windows Firewall zum Test deaktiviert.
Es kommt trotzdem nichts auf der QNAP an.
Wireshark möchte ich ungern nuzen. Wir sind Datenschützer.
lcer00
lcer00 28.04.2020 aktualisiert um 11:35:29 Uhr
Goto Top
Hallo,

Zitat von @SabSchap:
Wireshark möchte ich ungern nuzen. Wir sind Datenschützer.
Wie willst Du Daten schützen, wenn Du bei Fehlfunktionen nicht die erforderlichen Diagnosetools verwendest?

Grüße

lcer
SabSchap
SabSchap 28.04.2020 um 11:54:02 Uhr
Goto Top
Ich habe gerade einen Portscanner drüber laufen lassen. Weder auf dem Server noch auf der QNAP wird der UDP Port 514 angezeigt.
lcer00
lcer00 28.04.2020 um 11:57:39 Uhr
Goto Top
Hallo,
Zitat von @SabSchap:

Ich habe gerade einen Portscanner drüber laufen lassen. Weder auf dem Server noch auf der QNAP wird der UDP Port 514 angezeigt.
Ein Portscanner ist hier das falsche Tool! Du musst schauen ob die Pakete tatsächlich rausgehen. Nimm Wireshark.

Wenn Du Wireshark auf dem PC nicht haben willst, kannst Du auch auf einem geeigneten Switch eine Portspiegelung einrichten und einen anderen PC mit Wireshark zur Datenauswertung nutzen.


Grüße

lcer