drbulla
Goto Top

M0n0wall Syslog Server mit SliTaz

Syslogging mit Linux SliTaz auf Alix System

Hallo - hier wieder der Hobby-IT'ler!

Leider habe ich nahezu keine Kenntnisse in Linux. Ich schäme mich auch dafür, aber Kontakt mit Linux habe ich erst seit kurzem.

Da Linux einen Syslog Server immer mit sich bringt, habe ich mich für die Mini-PC Variante für schmales Geld entschieden, um das Syslog der m0n0wall abzuspeichern.
In der letzten m0n0wall Lösung habe ich dazu einen laufenden Windows Server mit 'ner Shareware eingerichtet, das ging in Minuten, ABER SliTaz dazu zu bewegen hingegen nicht.

Ich hab herausgefunden, dass dort syslogd drauf ist. Leider "Command Line" und ich mags halt gerne grafisch. Wie bekomme ich es jetzt hin, in SliTaz etwas grafisches unterzubringen? Es gibt sicherlich Software, aber welche "Variante" .tar.gz oder wie das alles heisst, wie geht 'n des?
Alleine eine feste IP in Linux einzustellen .. pff.

Ciao und danke für Hilfe
DrBulla

Content-ID: 145634

Url: https://administrator.de/contentid/145634

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

aqui
aqui 25.06.2010 um 16:57:47 Uhr
Goto Top
Im Grunde ist es ganz einfach !
Der Syslog Daemon ist immer aktiv unter Linux. Generell musst du nichts machen. Wenn du die Monowall auf die IP des Linux Servers einstellst solltest du die eingehende Logging Messages in der Datei /var/log/messages sehen.
Mit tail -f /var/log/messages kannst du dir in einem Fenster den Output der messages Datei anzeigen lassen ( ctrl c stoppt den Output wieder)

Es gibt aber ein paar Dinge zu beachten. Je nachdem ob eine lokale Firewall auf dem Linux aktiv ist kann es sein das der Port UDP 514 (syslog Port) gesperrt ist. Den musst du dann entsprechend freigeben.
Ob Syslog Messages der Monowall überhaupt ankommen kannst du mit dem Kommando tcpdump port syslog oder sudo tcpdump port syslog sehen je nachdem welche Linux Distro du verwendest. Falls er das Keyword "syslog" nicht versteht geht alternativ auch tcpdump 'port 514'
tcpdump zeigt dir die eigehenden Syslog Packete der Monowall direkt an.

Kommt dort was an siehst du auch die Messages. Auf die Dauer ist es aber nervig System Meldungen und anderes gemischt mit den Monowall Syslog Messages zu sehen und du kannst die Monowall Meldungen direkt in eine separate Datei schreiben.
Dazu editierst du mit dem vi, pico oder joe (oder deinem Linux Lieblingseditor) die Datei /etc/syslog.conf und fügst dort z.B. eine Zeile:
+172.16.1.254
*.* /var/log/m0n0wall.log
ein wenn die Monowall die IP 172.16.1.254 hat.
Alles in allem sieht dann die syslog.conf dann z.B. so aus:
# /etc/syslog.conf - Configuration file for syslogd(8)
#
# For info about the format of this file, see "man syslog.conf".  
#

#
#
# print most on tty10
kern.warn;*.err;authpriv.none   /dev/tty10
*.emerg                         *


#
# all email-messages in one file
#
mail.*                          -/var/log/mail

#
# all news-messages in one file
#
news.*                          -/var/log/news

#
# Warnings in one file
#
*.warn                          /var/log/warn

#
# save the rest in one file
#
*.*;mail.none;news.none         /var/log/messages

#*.*                            /var/log/allmessages
# M0n0wall in other file
+172.16.1.254
*.*                              /var/log/m0n0wall.log

# Cisco devices
local7.*                        /var/log/cisco.log

Dann laufen alle deine Monowall Meldungen automatisch in die Datei /var/log/m0n0wall.log die du vorher in dem Verzeichnis mit touch /var/log/m0n0wall.log log anlegen solltest ! ggf. auch noch schreibbar machen mit chmod 640 /var/log/m0n0wall.log
Fertisch !
Mit tail -f /var/log/m0n0wall.log solltest du dann eingehende Syslog Messages der Monowall sehen !
Besuchte URLs der Gast WLANs siehst du mit den Firewall Regeln indem du aktivierst aktivieren ob, wenn eine Regel zutrifft, geloggt werden soll...
Einfach in der Standard Regel im LAN Bereich den Haken bei Log rein und du siehst auf welche IPs der User zugreift.
Die Captive Portal logins kommen ebenfalls dort rein. Kannst du auch in der syslog.conf ggf. auch noch wieder in andere Datenen aufsplitten wenn du willst.
Zudem gibt es zuhauf grafische Syslog Tools mit denen du die Syslogs grafisch durchsuchen und filtern kannst !
DrBulla
DrBulla 25.06.2010 um 18:01:39 Uhr
Goto Top
Ui, vielen Dank!
Montag probiere ich das aus, versuche das der Reihe nach zu "finden" und umzusetzen.
Ich würde jetzt am liebsten schon sagen, du bist ein Schatz face-smile
Das aber erst Montag ;)

Gracias!
aqui
aqui 25.06.2010 um 18:04:42 Uhr
Goto Top
Sorry, die Formatierung der syslog.conf Datei ist etwas durcheinander geraten. Nun stimmts wieder face-wink
mrtux
mrtux 26.06.2010 um 23:50:46 Uhr
Goto Top
Hi !

Eine grafische Auswertung für (Sys-)Logfiles: PHPLogCon, wurde allerdings umbenannt in LogAnalyzer. Entwickelt wurde es von Rainer Gerhards dem Entwickler von Rsyslog. Es basiert auf PHP und kann sowohl textbasierte als auch datenbankbasierte (Sys)Logs aufbereiten, grafisch auswerten/darstellen, hat Suchfunktionen und eine Benutzerverwaltung...

Und das "Gegenstück" soll natürlich auch noch erwähnt werden: Logzilla aka PHP-syslog-ng

Du benötigst aber mindestens einen funktionsfähigen Webserver (Apache, Lighttpd, Cherokee usw.) mit PHP. Wenn Du die SysLogs in eine Datenbank loggst, dann natürlich auch noch MySQL (o.ä.). Der Cherokee eignet sich gut für "Einsteiger" (im Sinne von draufklicken und gut äähm hoffentlich...), da er ein WebGUI-basiertes Setuptool mitbringt....

mrtux
DrBulla
DrBulla 27.06.2010 um 12:25:58 Uhr
Goto Top
Also müsste ich SliTaz auch noch zum Webserver machen?

Nee, ich glaube der Aufwand lohnt nicht. Es ist immerhin "nur" die Vorratsdatenspeicherung, und für den Fall, dass ein Zugriff auf die Daten notwendig wird, lässt sich die Log Datei prima nach Datum Durchsuchen und gut is.

Loganalyzer schau ich mir aber trotzdem an!

drbulla
DrBulla
DrBulla 28.06.2010 um 22:23:51 Uhr
Goto Top
Tja, zu früh gelobt face-smile

Es gibt die Datei syslog.conf in /etc nicht.
Alle anderen .conf Dateien sahen nicht ansatzweise ähnlich aus.
Auch kommuniziert m0n0wall nicht mit dem laufen syslogd, welches in /var/log/messages durchaus mitloggt.

Ich habe noch nicht einmal SliTaz dazu gebracht, eine andere IP statisch anzunehmen .-(
Evtl. hab ich mich mit einem Linux-System übernommen, da gar keine Grundkenntnisse vorhanden sind.

Gibt es "noch idiotensicherere" Beschreibungen?


EDIT:
SliTaz hat wohl keine syslog.conf (irgendwie eine abgespeckte variante), hab was von BusyBox gelesen ...
Also syslog-ng installieren mmh?
DrBulla
DrBulla 29.06.2010 um 14:50:51 Uhr
Goto Top
Immerhin:

Mit: tcpdump port syslog kommt was rein.
14:45 IP 192.168.20.1.syslog > 192.168.20.20.syslog: SYSLOG local7.info, length 143 | bzw. SYSLOG local0.warning, length: 126

In die messages kommt aber nichts an. Wohin geht das ganze dann?
aqui
aqui 04.07.2010 um 13:01:00 Uhr
Goto Top
Das mag sein das das nur ein interner Syslog ist, der keine Syslog Verbindungen von außen annimmt. Busybox ist sowas wie ne eierlegende Wollmilchsau für Minimainboards oder DSL Router und scheint die /etc/syslog.conf zu ignorieren:
http://www.linuxquestions.org/questions/linux-general-1/syslogd-in-busy ...
(Google Suche "busybox syslog" )
Vermutlich musst du also eine externe Syslog Lösung installieren.
DrBulla
DrBulla 04.07.2010 um 22:00:40 Uhr
Goto Top
So wird es sein. Syslogd schreibt sogar, dass diese Version die syslogd.conf ignoriert.
Ist denn nur diese Datei dafür verantwortlich, welche Meldungen geloggt werden?

In Linux hab ich schon öfter gesehen, ein sogenannter Paket-Installer. Dort findet man für die Distribution passenden Zusatzprogramme. Da ist nur ein Syslog-php dabei. Wenn ich nyslog-ng runterladen will, fragt er nach der passenden Distribution. Ey, ab da bin ich völligst überfordert. Unter Ubuntu hab ich schon das "apt-get install" kennengelernt. Das ist unter SliTaz schon wieder anders. Ich hab sogar schon wieder vergessen, wie der Befehl ging, aber es war im Prinzip dasselbe. Und wenn ich das richtig erkannt habe, werden dort auch nur die aus dem Paket-Installer händisch installiert.

Ein anderes Programm verlangte von mir tausend Dinge, die ich noch zusätzlich installiert haben müsste. Eine andere Variante war das runterladen der tar.gz ... da ging das los mit make und ./configure und so weiter.
Nee, beim besten Willen, da muss wohl eine Zyxel her - kostet 15 Euro mehr und ist nur für's Sysloggin gebaut worden. Oder ich brate Ubuntu mit auf die Speicherdisk und starte dies. Ich hoffe die Systemleistung ist gut genut, obwohl xubuntu doch für "low" Systeme geschrieben worden ist, oder?

Hättest du für deinen Vorschlag, aqui, eine externe Lösung zu installieren noch einen konkreten Vorschlag?
DrBulla
DrBulla 17.07.2010 um 12:39:28 Uhr
Goto Top
Würde diesen Beitrag gerne als "gelöst" markieren - obwohl der Beitrag als "wenig Anspruchsvoll" bewertet wurde, habe ich noch keine "befriedigende" Lösung.
DrBulla
DrBulla 01.08.2010 um 23:11:44 Uhr
Goto Top
Habe mich selber um eine Lösung gekümmert.

2 Varianten waren möglich.

1. Variante:
Ich brauche gar kein Syslog - mit "tcpdump" werden ja bereits die Datenpakete empfangen, und diese lassen sich mit "tcpdump -x?" sogar im Klartext anzeigen. Danach ist es ein leichtes ein Programm zu schreiben, welches die Meldung brav wegspeichert.

2. Variante (für die ich mich entschieden habe)
SliTaz in die Tonne - dafür Ubuntu 10.04 Server druff, fertig. Der Rsyslog Dämon erfüllt ohne großen Aufwand meine Bedürfnisse und die Server - Version läuft recht gescheit auf dem Alix Board!