cyberurmel
Goto Top

Log - syslog und CPU Last

Hi all,

kurze Verständnisfrage :

Man sagt doch, das ein log (beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.

Aber genau das ist doch eigentlich das was man mit einem Syslogserver ggfs auswerten will. - Alle Zugriffe zum Beispiel.

Verstehe da grad nicht den Zusammenhang wie das funktionieren soll / kann. Oder kann der Syslog Server was bekommen, was so gar nicht mit log wie bei ACL deklariert ist?

Danke für Aufklärung diesbezüglich...

greets
Cyb

Content-ID: 390511

Url: https://administrator.de/forum/log-syslog-und-cpu-last-390511.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

brammer
Lösung brammer 24.10.2018 um 17:30:57 Uhr
Goto Top
Hallo,

Das hängt davon ab wie viel Meldungen pro zeiteinheit kommen.
Wenn du alle 60 Sek. die Temperatur der CPU bloggst ist das was anderes als wenn du jede Sekunde 200 Ereignisse loggst.

Brammer
maretz
Lösung maretz 24.10.2018 um 18:03:20 Uhr
Goto Top
Das hängt auch davon ab wieviele Regeln du hast und ggf. wie die sortiert sind. Nehmen wir an du hast nen simplen Port-Filter und deine Syslog-Regel ist an Position 100.000 -> dann muss das Ding natürlich erst mal durch ne ganze Menge Regeln laufen bis dann endlich das Allow kommt.... Wenn du dann noch einige 100.000 Ports hast die ständig irgendwelche (sinnlosen) Infos schicken dann geht das natürlich auf die CPU... Deshalb macht man sich ja vorher Gedanken WAS man sehen möchte und was man ignoriert (z.B. interessiert dich ggf. nicht ob jetzt ein Client den Accesspoint gewechselt hat weil du weisst das die eh durch die Räume läufen...)
Gentooist
Gentooist 24.10.2018 um 22:20:43 Uhr
Goto Top
Also wenn ein Syslog-Server unter Linux&Co. auf Festplatte langsam ist, könnte das daran liegen, dass er noch so konfiguriert ist, nach jeder neuen Zeilen fsync() aufzurufen. Das erzwingt nämlich sofort einen Schreibzugriff, und das kann die Performance je nach Situation runterziehen.
Cyberurmel
Cyberurmel 25.10.2018 um 17:11:42 Uhr
Goto Top
Hi,

danke erstmal,

Also Firmennetzwerk ACL - kann ja schon umfangreich sein. Am besten wäre natürlich im Syslog (Archiv) nachvollziehen zu können, wer wo wann versucht hat wohin zu kommen. Dazu müsste ich aber doch dann alle relevanten ACL auf log stellen .
Das wiederum könnte die CPU (falls größeres Netz / User) doch beeinträchtigen oder?
Im speziellen mal ACLs log , weniger if up downs
aqui
aqui 26.10.2018 um 11:48:24 Uhr
Goto Top
(beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.
Da hast du wohl was gründlich missverstanden !
Es beansprucht die CPU des Routers oder Switches, da der Paket Flow statt über die HW Asiscs so immer über die CPU muss.
NICHT aber den Syslog Server selber. Den jucken so ein paar eingehende Messages natürlich nicht !
Cyberurmel
Cyberurmel 01.11.2018 um 13:16:25 Uhr
Goto Top
Hi Aqui,

das hatte ich schon richtig verstanden, aber genau darum ging es ja im Endeffekt - wieviel kann man dem Router an logs zumuten?
Bzw. wie machen das große Firmen die intern alles wichtige loggen und speichern. Der Weg nach dem Router also Syslog Server/Data Center Store mal aussen vor?
Oder wird das nicht gemacht im allgemeinen?


Danke schon mal allen

greets
Cyb
aqui
Lösung aqui 02.11.2018 um 15:51:36 Uhr
Goto Top
Man macht es weniger mit dem Router selber sondern eher mit Flow Analyzern wie sFlow oder NetFlow mit Snort z.B. oder anderen Intrusion Detection Systemen.
Da nachteil es am Router zu machen ist die Gefährdung des Systems damit. Durch die erhöhte CPU Last wird er angreifbarer.
Die Grenze ist aber immer fliessend. Für den heimgebrauch kann man das durchaus tolerieren, wenn das 10-20 Messages die Stunde kommen.
In der Sekunde sähe das anderes aus... Deshalb ist es immer relevant welche Art von ACLs man mit Syslogs überwacht, sprich obs eher ne Blacklist mit wenig Messages oder ne Whitelist ist wo das durchaus mal mehr sein kann.
Eine goleden regel gibts da so nicht...
Cyberurmel
Cyberurmel 06.11.2018 um 16:15:13 Uhr
Goto Top
Alles klar ..danke.

Aber wie machen das z.B. große Firmen die ACLs haben wegen verschiedenen VLAN Zugriffen. Loggen die nicht ob jemand versucht da in ein anderes VLAN hinzukommen oder auf gesicherte Bereiche ?

greets
Cyb
aqui
aqui 06.11.2018 um 17:11:06 Uhr
Goto Top
Die lassen NetFlow oder sFlow mitlaufen und bekommen die Übeltäter damit zu sehen. Sogar noch viel deatilierter, da sie genau sehen welche Source und Destination IP und WAS, sprich Ports usw.
Diese beiden Flow Verfahren sind erheblich skalierbarer und liefern noch viel mehr Informationen, da sie auch Dateninhalte analysieren. Bzw. die Analyse selber macht eine Kollektor Software.
Cyberurmel
Cyberurmel 07.11.2018 um 14:37:30 Uhr
Goto Top
Hi Aqui,

hm ok. Soweit verstanden. Und das netflow ist switching und braucht deshalb fast keine cpu Last nehm ich an?
Das heißt , wir haben einen Syslog Server an den gehen die Syslog Meldungen im Netzwerk (ja auch die ACL Logs) aber das zu nutzen für alle ACL ist dann zuviel wegen CPU Last des Routers ..da sollte man dann auf netflow bzw. netflow setzen?

Also bei eventueller Implementierung müsste ich das aktivieren auf den Geräten und dann z.b. virt. Maschine haben die als Collector dient?
Und kostenlose Auswertetools mit GUI gibt es dann auch? Wo wäre der Nachteil gegenüber man hat es nicht?

Danke
aqui
aqui 07.11.2018 um 18:08:02 Uhr
Goto Top
Und das netflow ist switching
Nein ein Switching ist das nicht. Ein Sampling Verfahren für IP Flows.
https://de.wikipedia.org/wiki/Netflow
Enebso wie sFlow:
https://sflow.org
Also bei eventueller Implementierung müsste ich das aktivieren auf den Geräten und dann z.b. virt. Maschine haben die als Collector dient?
Richtig !
Und kostenlose Auswertetools mit GUI gibt es dann auch?
Massenweise. Man kann es direkt an Snort koppeln usw.
Guckst du hier:
https://inmon.com/products/sFlowTrend.php
https://sflow.org/products/collectors.php
Außerdem kann man es das Standard PCap Format wandeln um es dann auszuwerten:
https://inmon.com/technology/sflowTools.php
Netzwerk Management Server mit Raspberry Pi
Es gibt zig Optionen.