13
Event Log Forwarder für Windows - Logs kommen bei QNAP nicht an
Hallo, wir haben auf unseren Windows 2016 Server der SolarWinds Event Log Forwarder for Windows installiert.
Wie folgt eingerichtet:
Auf der QNAP haben wir folgendes eingerichtet:
Wo liegt das Problem? Die Logs kommen bei der QNAP nicht an.
Vielen Dank!
Wie folgt eingerichtet:
Auf der QNAP haben wir folgendes eingerichtet:
Wo liegt das Problem? Die Logs kommen bei der QNAP nicht an.
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 567985
Url: https://administrator.de/contentid/567985
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
Hast du mal mit einem Wireshark Sniffer überprüft ob der Server überhaupt Syslog Pakete mit der QNAP IP Adresse versendet ?
Gut möglich das die lokale Windows Firewall das blockt !
P.S.: Peinlichkeiten in Überschriften korrigiert jederzeit der "Bearbeiten" Button unten unter "Mehr".
Gut möglich das die lokale Windows Firewall das blockt !
P.S.: Peinlichkeiten in Überschriften korrigiert jederzeit der "Bearbeiten" Button unten unter "Mehr".
Was müsste ich denn in der Firewall alles freigeben?
Na das was du da eingestellt hast: ausgehend udp 514
Du kannst ja auch mal auf TCP umstellen und schauen, ob das Test-Event auch mit erfolgreich quittiert wird. Udp ist so wie eine Flaschenpost, Du weisst nie, ob sie wirklich ankommt. Dann würdest Du auch in Wireshark sehen, ob die Verbindung steht.
Grüße
lcer
Du kannst ja auch mal auf TCP umstellen und schauen, ob das Test-Event auch mit erfolgreich quittiert wird. Udp ist so wie eine Flaschenpost, Du weisst nie, ob sie wirklich ankommt. Dann würdest Du auch in Wireshark sehen, ob die Verbindung steht.
Grüße
lcer
Port ist freigegeben. Ausgehend TCP 514.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
Zitat von @SabSchap:
Port ist freigegeben. Ausgehend TCP 514.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
Und was sagt wireshark?Port ist freigegeben. Ausgehend TCP 514.
Test Event per TCP funktioniert auch.
Dennoch kommt nichts beim QNAP an.
Grüße
lcer
Port ist freigegeben. Ausgehend TCP 514.
TCP ist ja Blödsinn. Das wäre dann kein Wunder das es nicht klappt, denn Syslog nutzt generell immer UDP als Transport Protokoll !!https://de.wikipedia.org/wiki/Syslog
Kein Wunder also das das dann in die Hose geht wenn man TCP in der Firewall einstellt !
Hallo aqui
Grüße
lcer
Zitat von @aqui:
https://de.wikipedia.org/wiki/Syslog
Kein Wunder also das das dann in die Hose geht wenn man TCP in der Firewall einstellt !
Wenn man aber tcp als Transportprotokoll bei Sender und Empfänger einstellt ( und das einstellbar ist, wie oben in den Screenshots gezeigt) dann sollte es auch gehen. Und man hat verhindert, das irgendwelche UDP Pakete im Nirvana verschwinden. Als Test ist durchaus legitim. Im Produktiven Betrieb kann man sich streiten.Port ist freigegeben. Ausgehend TCP 514.
TCP ist ja Blödsinn. Das wäre dann kein Wunder das es nicht klappt, denn Syslog nutzt generell immer UDP als Transport Protokoll !!https://de.wikipedia.org/wiki/Syslog
Kein Wunder also das das dann in die Hose geht wenn man TCP in der Firewall einstellt !
Grüße
lcer
Bei einem QNAP NAS ist das aber eher zu bezweifeln, denn in der regel arbeitet im QNAP ein Linux Betriebssystem das den OS eigenen Syslog Daemon nutzt und der macht immer UDP.
Ein identisches Syslog Setup hier auf einem älteren TS-439 QNAP loggt fehlerlos alle Syslogs von Cisco Routern und Switches und einigen pfSense Firewalls mit. Alle nutzen durchgehend UDP.
Vielleicht sollte der TO wirklich mal den Wireshark anschmeissen und mal wirklich nachsehen. Das würde wenigstens hier absolute Klarheit für alle Beteiligten schaffen !
Ein identisches Syslog Setup hier auf einem älteren TS-439 QNAP loggt fehlerlos alle Syslogs von Cisco Routern und Switches und einigen pfSense Firewalls mit. Alle nutzen durchgehend UDP.
Vielleicht sollte der TO wirklich mal den Wireshark anschmeissen und mal wirklich nachsehen. Das würde wenigstens hier absolute Klarheit für alle Beteiligten schaffen !
Hallo aqui,
auf meinem QNAP sieht das so aus:
da läuft ein rsyslog, und man udp oder tcp einstellen.
ja, das wäre gut.
Grüße
lcer
Zitat von @aqui:
Bei einem QNAP NAS ist das aber eher zu bezweifeln, denn in der regel arbeitet im QNAP ein Linux Betriebssystem das den OS eigenen Syslog Daemon nutzt und der macht immer UDP.
Bei einem QNAP NAS ist das aber eher zu bezweifeln, denn in der regel arbeitet im QNAP ein Linux Betriebssystem das den OS eigenen Syslog Daemon nutzt und der macht immer UDP.
auf meinem QNAP sieht das so aus:
[/etc] # cat rsyslog.conf
$ModLoad imtcp.so
$InputTCPServerRun 514
$ModLoad imudp.so
$UDPServerRun 514
$template SyslogProtocolStructDataFormat,"<%PRI%>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %syslogtag%%msg:::drop-last-lf%\n"
$outchannel root_rotation, /share/MD0_DATA/syslog/messages, 52428800, /etc/init.d/log_rotation.sh /share/MD0_DATA/syslog/messages
:hostname, isequal, "localhost" ~
*.* $root_rotation;SyslogProtocolStructDataFormat
[/etc] # cat rsyslog.confda läuft ein rsyslog, und man udp oder tcp einstellen.
Vielleicht sollte der TO wirklich mal den Wireshark anschmeissen und mal wirklich nachsehen. Das würde wenigstens hier absolute Klarheit für alle Beteiligten schaffen !
ja, das wäre gut.
Grüße
lcer
Also ich habe jetzt im Event Log Forwarder auf UDP Port 514 umgestellt und die Windows Firewall zum Test deaktiviert.
Es kommt trotzdem nichts auf der QNAP an.
Wireshark möchte ich ungern nuzen. Wir sind Datenschützer.
Es kommt trotzdem nichts auf der QNAP an.
Wireshark möchte ich ungern nuzen. Wir sind Datenschützer.
Hallo,
Wie willst Du Daten schützen, wenn Du bei Fehlfunktionen nicht die erforderlichen Diagnosetools verwendest?
Grüße
lcer
Wie willst Du Daten schützen, wenn Du bei Fehlfunktionen nicht die erforderlichen Diagnosetools verwendest?
Grüße
lcer
Ich habe gerade einen Portscanner drüber laufen lassen. Weder auf dem Server noch auf der QNAP wird der UDP Port 514 angezeigt.
Hallo,
Wenn Du Wireshark auf dem PC nicht haben willst, kannst Du auch auf einem geeigneten Switch eine Portspiegelung einrichten und einen anderen PC mit Wireshark zur Datenauswertung nutzen.
Grüße
lcer
Zitat von @SabSchap:
Ich habe gerade einen Portscanner drüber laufen lassen. Weder auf dem Server noch auf der QNAP wird der UDP Port 514 angezeigt.
Ein Portscanner ist hier das falsche Tool! Du musst schauen ob die Pakete tatsächlich rausgehen. Nimm Wireshark.Ich habe gerade einen Portscanner drüber laufen lassen. Weder auf dem Server noch auf der QNAP wird der UDP Port 514 angezeigt.
Wenn Du Wireshark auf dem PC nicht haben willst, kannst Du auch auf einem geeigneten Switch eine Portspiegelung einrichten und einen anderen PC mit Wireshark zur Datenauswertung nutzen.
Grüße
lcer
