Log - syslog und CPU Last
Hi all,
kurze Verständnisfrage :
Man sagt doch, das ein log (beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.
Aber genau das ist doch eigentlich das was man mit einem Syslogserver ggfs auswerten will. - Alle Zugriffe zum Beispiel.
Verstehe da grad nicht den Zusammenhang wie das funktionieren soll / kann. Oder kann der Syslog Server was bekommen, was so gar nicht mit log wie bei ACL deklariert ist?
Danke für Aufklärung diesbezüglich...
greets
Cyb
kurze Verständnisfrage :
Man sagt doch, das ein log (beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.
Aber genau das ist doch eigentlich das was man mit einem Syslogserver ggfs auswerten will. - Alle Zugriffe zum Beispiel.
Verstehe da grad nicht den Zusammenhang wie das funktionieren soll / kann. Oder kann der Syslog Server was bekommen, was so gar nicht mit log wie bei ACL deklariert ist?
Danke für Aufklärung diesbezüglich...
greets
Cyb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390511
Url: https://administrator.de/forum/log-syslog-und-cpu-last-390511.html
Ausgedruckt am: 25.12.2024 um 20:12 Uhr
11 Kommentare
Neuester Kommentar
Das hängt auch davon ab wieviele Regeln du hast und ggf. wie die sortiert sind. Nehmen wir an du hast nen simplen Port-Filter und deine Syslog-Regel ist an Position 100.000 -> dann muss das Ding natürlich erst mal durch ne ganze Menge Regeln laufen bis dann endlich das Allow kommt.... Wenn du dann noch einige 100.000 Ports hast die ständig irgendwelche (sinnlosen) Infos schicken dann geht das natürlich auf die CPU... Deshalb macht man sich ja vorher Gedanken WAS man sehen möchte und was man ignoriert (z.B. interessiert dich ggf. nicht ob jetzt ein Client den Accesspoint gewechselt hat weil du weisst das die eh durch die Räume läufen...)
(beispielsweise hinter ACL entry) ziemlich die CPU beanspruchen kann.
Da hast du wohl was gründlich missverstanden !Es beansprucht die CPU des Routers oder Switches, da der Paket Flow statt über die HW Asiscs so immer über die CPU muss.
NICHT aber den Syslog Server selber. Den jucken so ein paar eingehende Messages natürlich nicht !
Man macht es weniger mit dem Router selber sondern eher mit Flow Analyzern wie sFlow oder NetFlow mit Snort z.B. oder anderen Intrusion Detection Systemen.
Da nachteil es am Router zu machen ist die Gefährdung des Systems damit. Durch die erhöhte CPU Last wird er angreifbarer.
Die Grenze ist aber immer fliessend. Für den heimgebrauch kann man das durchaus tolerieren, wenn das 10-20 Messages die Stunde kommen.
In der Sekunde sähe das anderes aus... Deshalb ist es immer relevant welche Art von ACLs man mit Syslogs überwacht, sprich obs eher ne Blacklist mit wenig Messages oder ne Whitelist ist wo das durchaus mal mehr sein kann.
Eine goleden regel gibts da so nicht...
Da nachteil es am Router zu machen ist die Gefährdung des Systems damit. Durch die erhöhte CPU Last wird er angreifbarer.
Die Grenze ist aber immer fliessend. Für den heimgebrauch kann man das durchaus tolerieren, wenn das 10-20 Messages die Stunde kommen.
In der Sekunde sähe das anderes aus... Deshalb ist es immer relevant welche Art von ACLs man mit Syslogs überwacht, sprich obs eher ne Blacklist mit wenig Messages oder ne Whitelist ist wo das durchaus mal mehr sein kann.
Eine goleden regel gibts da so nicht...
Die lassen NetFlow oder sFlow mitlaufen und bekommen die Übeltäter damit zu sehen. Sogar noch viel deatilierter, da sie genau sehen welche Source und Destination IP und WAS, sprich Ports usw.
Diese beiden Flow Verfahren sind erheblich skalierbarer und liefern noch viel mehr Informationen, da sie auch Dateninhalte analysieren. Bzw. die Analyse selber macht eine Kollektor Software.
Diese beiden Flow Verfahren sind erheblich skalierbarer und liefern noch viel mehr Informationen, da sie auch Dateninhalte analysieren. Bzw. die Analyse selber macht eine Kollektor Software.
Und das netflow ist switching
Nein ein Switching ist das nicht. Ein Sampling Verfahren für IP Flows.https://de.wikipedia.org/wiki/Netflow
Enebso wie sFlow:
https://sflow.org
Also bei eventueller Implementierung müsste ich das aktivieren auf den Geräten und dann z.b. virt. Maschine haben die als Collector dient?
Richtig !Und kostenlose Auswertetools mit GUI gibt es dann auch?
Massenweise. Man kann es direkt an Snort koppeln usw.Guckst du hier:
https://inmon.com/products/sFlowTrend.php
https://sflow.org/products/collectors.php
Außerdem kann man es das Standard PCap Format wandeln um es dann auszuwerten:
https://inmon.com/technology/sflowTools.php
Netzwerk Management Server mit Raspberry Pi
Es gibt zig Optionen.