Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Log - syslog und CPU Last

Mitglied: Cyberurmel

Cyberurmel (Level 1) - Jetzt verbinden

24.10.2018 um 16:27 Uhr, 720 Aufrufe, 11 Kommentare, 1 Danke

Hi all,

kurze Verständnisfrage :

Man sagt doch, das ein log (beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.

Aber genau das ist doch eigentlich das was man mit einem Syslogserver ggfs auswerten will. - Alle Zugriffe zum Beispiel.

Verstehe da grad nicht den Zusammenhang wie das funktionieren soll / kann. Oder kann der Syslog Server was bekommen, was so gar nicht mit log wie bei ACL deklariert ist?

Danke für Aufklärung diesbezüglich...

greets
Cyb
Mitglied: brammer
LÖSUNG 24.10.2018 um 17:30 Uhr
Hallo,

Das hängt davon ab wie viel Meldungen pro zeiteinheit kommen.
Wenn du alle 60 Sek. die Temperatur der CPU bloggst ist das was anderes als wenn du jede Sekunde 200 Ereignisse loggst.

Brammer
Bitte warten ..
Mitglied: maretz
LÖSUNG 24.10.2018 um 18:03 Uhr
Das hängt auch davon ab wieviele Regeln du hast und ggf. wie die sortiert sind. Nehmen wir an du hast nen simplen Port-Filter und deine Syslog-Regel ist an Position 100.000 -> dann muss das Ding natürlich erst mal durch ne ganze Menge Regeln laufen bis dann endlich das Allow kommt.... Wenn du dann noch einige 100.000 Ports hast die ständig irgendwelche (sinnlosen) Infos schicken dann geht das natürlich auf die CPU... Deshalb macht man sich ja vorher Gedanken WAS man sehen möchte und was man ignoriert (z.B. interessiert dich ggf. nicht ob jetzt ein Client den Accesspoint gewechselt hat weil du weisst das die eh durch die Räume läufen...)
Bitte warten ..
Mitglied: Gentooist
24.10.2018 um 22:20 Uhr
Also wenn ein Syslog-Server unter Linux&Co. auf Festplatte langsam ist, könnte das daran liegen, dass er noch so konfiguriert ist, nach jeder neuen Zeilen fsync() aufzurufen. Das erzwingt nämlich sofort einen Schreibzugriff, und das kann die Performance je nach Situation runterziehen.
Bitte warten ..
Mitglied: Cyberurmel
25.10.2018 um 17:11 Uhr
Hi,

danke erstmal,

Also Firmennetzwerk ACL - kann ja schon umfangreich sein. Am besten wäre natürlich im Syslog (Archiv) nachvollziehen zu können, wer wo wann versucht hat wohin zu kommen. Dazu müsste ich aber doch dann alle relevanten ACL auf log stellen .
Das wiederum könnte die CPU (falls größeres Netz / User) doch beeinträchtigen oder?
Im speziellen mal ACLs log , weniger if up downs
Bitte warten ..
Mitglied: aqui
26.10.2018 um 11:48 Uhr
(beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.
Da hast du wohl was gründlich missverstanden !
Es beansprucht die CPU des Routers oder Switches, da der Paket Flow statt über die HW Asiscs so immer über die CPU muss.
NICHT aber den Syslog Server selber. Den jucken so ein paar eingehende Messages natürlich nicht !
Bitte warten ..
Mitglied: Cyberurmel
01.11.2018 um 13:16 Uhr
Hi Aqui,

das hatte ich schon richtig verstanden, aber genau darum ging es ja im Endeffekt - wieviel kann man dem Router an logs zumuten?
Bzw. wie machen das große Firmen die intern alles wichtige loggen und speichern. Der Weg nach dem Router also Syslog Server/Data Center Store mal aussen vor?
Oder wird das nicht gemacht im allgemeinen?



Danke schon mal allen

greets
Cyb
Bitte warten ..
Mitglied: aqui
LÖSUNG 02.11.2018 um 15:51 Uhr
Man macht es weniger mit dem Router selber sondern eher mit Flow Analyzern wie sFlow oder NetFlow mit Snort z.B. oder anderen Intrusion Detection Systemen.
Da nachteil es am Router zu machen ist die Gefährdung des Systems damit. Durch die erhöhte CPU Last wird er angreifbarer.
Die Grenze ist aber immer fliessend. Für den heimgebrauch kann man das durchaus tolerieren, wenn das 10-20 Messages die Stunde kommen.
In der Sekunde sähe das anderes aus... Deshalb ist es immer relevant welche Art von ACLs man mit Syslogs überwacht, sprich obs eher ne Blacklist mit wenig Messages oder ne Whitelist ist wo das durchaus mal mehr sein kann.
Eine goleden regel gibts da so nicht...
Bitte warten ..
Mitglied: Cyberurmel
06.11.2018 um 16:15 Uhr
Alles klar ..danke.

Aber wie machen das z.B. große Firmen die ACLs haben wegen verschiedenen VLAN Zugriffen. Loggen die nicht ob jemand versucht da in ein anderes VLAN hinzukommen oder auf gesicherte Bereiche ?

greets
Cyb
Bitte warten ..
Mitglied: aqui
06.11.2018 um 17:11 Uhr
Die lassen NetFlow oder sFlow mitlaufen und bekommen die Übeltäter damit zu sehen. Sogar noch viel deatilierter, da sie genau sehen welche Source und Destination IP und WAS, sprich Ports usw.
Diese beiden Flow Verfahren sind erheblich skalierbarer und liefern noch viel mehr Informationen, da sie auch Dateninhalte analysieren. Bzw. die Analyse selber macht eine Kollektor Software.
Bitte warten ..
Mitglied: Cyberurmel
07.11.2018 um 14:37 Uhr
Hi Aqui,

hm ok. Soweit verstanden. Und das netflow ist switching und braucht deshalb fast keine cpu Last nehm ich an?
Das heißt , wir haben einen Syslog Server an den gehen die Syslog Meldungen im Netzwerk (ja auch die ACL Logs) aber das zu nutzen für alle ACL ist dann zuviel wegen CPU Last des Routers ..da sollte man dann auf netflow bzw. netflow setzen?

Also bei eventueller Implementierung müsste ich das aktivieren auf den Geräten und dann z.b. virt. Maschine haben die als Collector dient?
Und kostenlose Auswertetools mit GUI gibt es dann auch? Wo wäre der Nachteil gegenüber man hat es nicht?

Danke
Bitte warten ..
Mitglied: aqui
07.11.2018 um 18:08 Uhr
Und das netflow ist switching
Nein ein Switching ist das nicht. Ein Sampling Verfahren für IP Flows.
https://de.wikipedia.org/wiki/Netflow
Enebso wie sFlow:
https://sflow.org
Also bei eventueller Implementierung müsste ich das aktivieren auf den Geräten und dann z.b. virt. Maschine haben die als Collector dient?
Richtig !
Und kostenlose Auswertetools mit GUI gibt es dann auch?
Massenweise. Man kann es direkt an Snort koppeln usw.
Guckst du hier:
https://inmon.com/products/sFlowTrend.php
https://sflow.org/products/collectors.php
Außerdem kann man es das Standard PCap Format wandeln um es dann auszuwerten:
https://inmon.com/technology/sflowTools.php
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Es gibt zig Optionen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2012R2 - CPU Last sehr hoch

Frage von niklasschaeferWindows Server10 Kommentare

Hallo liebe Mitstreiter, wir stehen bei uns in der Firma aktuell vor einem Problem was wir aktuell nicht lösen ...

Apache Server

Httpd sorgt für 100 Prozent CPU Last

gelöst Frage von CitronellaApache Server7 Kommentare

Hallo allerseits, es besteht ein größeres Problem mit unsrem Apache: - Windows Server 2012 R2 - Apache 2.4 - ...

Exchange Server

Exchange Server 2016 99 Prozent CPU Last

Frage von Sv-SchneiderExchange Server2 Kommentare

Guten Abend, Ich habe folgendes Problem. Mein Exchange Server 2016 läuft konstant zwischen 95-99 % CPU Auslastung. Wenn ich ...

Batch & Shell

Skript zum Messen der CPU-Last für Windows

gelöst Frage von DerWoWussteBatch & Shell16 Kommentare

Moin Kollegen, ich suche nach einem Skript, welches ich alle 10 Minuten vom Taskplaner aus starten lassen will, um ...

Neue Wissensbeiträge
Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 1 TagOff Topic2 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 1 TagWindows 104 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 2 TagenE-Mail11 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 2 TagenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Heiß diskutierte Inhalte
Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V20 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...

Windows Server
Ungewollte IP Änderung am DC sorgt für Probleme
Frage von thomas-99Windows Server19 Kommentare

Hallo Zusammen, wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...