18
Sophos UTM 9.5 Firewall Log-File durchsuchen
Hallo zusammen,
weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann?
Es gibt ja die Möglichkeit über Search Log Files einen term einzugeben, z.B. die IP. Nun möchte ich aber auch noch den Port mit dazu filtern.
Habt ihr irgendeinen Tipp für mich, wie ich hier besser Suchen kann?
Vielen Dank im Vorraus"
weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann?
Es gibt ja die Möglichkeit über Search Log Files einen term einzugeben, z.B. die IP. Nun möchte ich aber auch noch den Port mit dazu filtern.
Habt ihr irgendeinen Tipp für mich, wie ich hier besser Suchen kann?
Vielen Dank im Vorraus"
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392920
Url: https://administrator.de/contentid/392920
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
hatte damit noch nie Probleme, wenn deine Netze so viele False-positives Ausspucken, dass dir das nicht reicht, dann solltest du erstmal woanders ansetzen.
Viele Grüße,
Christian
hatte damit noch nie Probleme, wenn deine Netze so viele False-positives Ausspucken, dass dir das nicht reicht, dann solltest du erstmal woanders ansetzen.
Viele Grüße,
Christian
Nun ja, ich kann damit ganz gut umgehen und die Sophos ist aktuell nur der Mailproxy bei uns und funktioniert da auch tadellos. Meinem Kollegen stört es extrem, dass er nicht wie bei z.B. Checkpoint ordentlich filtern kann. Es muss doch irgendwie die Möglichkeit geben, dass ich mir die IP und den Port filtern lassen kann oder?
Wenn es nur der Mail Proxy ist, wofür dann Ports?
Deine Kollegen sollten vielleicht die Schulungen besuchen
Deine Kollegen sollten vielleicht die Schulungen besuchen
Ich möchte die Sophos zukünftig als Hauptinstanz verwenden. Es ist nur ein Kollege und dieser ist eben den Luxus von Checkpoint gewöhnt. Du hast aber völlig recht, unbedingt benötigen tut man nicht. Schwieriges Thema... Was sagst du zur XG Variante ? Dort würde uns ein sehe brauchbares logging damals vorgestellt.
Moin,
über die WebGUI geht das nicht. Entweder IP oder Port. Zumindest ist mir keine Möglichkeit bekannt. Finde das Logging bei Sophos UTM generell bescheiden.
Über die Shell soll das wohl funktionieren.
Gruß
über die WebGUI geht das nicht. Entweder IP oder Port. Zumindest ist mir keine Möglichkeit bekannt. Finde das Logging bei Sophos UTM generell bescheiden.
Über die Shell soll das wohl funktionieren.
Gruß
Okay, danke für die Aussage mit der WebGui. Da kann ich dort wenigstens meine Suche beenden . Wie sieht es denn dann mit einem Syslog Server aus ? Gibt es da etwas brauchbares ?
Viele Grüße !
Viele Grüße !
Hey,
wir lassen die Sophos per syslog in ein Splunk Free loggen, da die Auswertemöglichkeiten der UTM wirklich nicht mehr zeitgemäß sind.
Gruss
wir lassen die Sophos per syslog in ein Splunk Free loggen, da die Auswertemöglichkeiten der UTM wirklich nicht mehr zeitgemäß sind.
Gruss
Hallo Rudbert, kann mit deiner Lösung gefiltert werden ? Z.B. ip und Port ?
Viele Grüße
Viele Grüße
Hey,
ja Splunk ist ein eigenes mächtiges Log-Auswertetool; mit ein wenig Nacharbeit können die Sophos-Logs komplett nach allen Datenfelder ausgewertet werden.
Gruß
ja Splunk ist ein eigenes mächtiges Log-Auswertetool; mit ein wenig Nacharbeit können die Sophos-Logs komplett nach allen Datenfelder ausgewertet werden.
Gruß
Moin, das klingt ja schon mal super. Splunk ist ja soweit ich das sehe, sogar kostenlos bis 500mb. Wie hoch ist der Aufwand splunk dafür einzurichten ?
Besten Dank und viele Grüße
Besten Dank und viele Grüße
Hey,
1) Splunk installieren - Normales Windows-Programm mit Dienst im Hintergrund
2) Data Input anlegen - UDP/Syslog
3) Splunk-Server als Syslog-Server in der UTM hinterlegen - Protokolle > Protokolleinstellungen > Remote-Syslog
4) Dataset in Splunk anlegen zum Felder auswerten der Sophos-spezifischen Logfiles, oder direkt über die Suche auswerten - siehe Splunk Doku
Alles in allem vielleicht 1-2 Stunden Aufwand - Splunk ist sehr gut dokumentiert, und wie du schon gesehen hast 500MB/Tag kostenlos!
Eine kostenfreie Alternative für höhere Log-Volumina wäre noch Graylog aus dem OpenSource-Bereich.
Gruß
1) Splunk installieren - Normales Windows-Programm mit Dienst im Hintergrund
2) Data Input anlegen - UDP/Syslog
3) Splunk-Server als Syslog-Server in der UTM hinterlegen - Protokolle > Protokolleinstellungen > Remote-Syslog
4) Dataset in Splunk anlegen zum Felder auswerten der Sophos-spezifischen Logfiles, oder direkt über die Suche auswerten - siehe Splunk Doku
Alles in allem vielleicht 1-2 Stunden Aufwand - Splunk ist sehr gut dokumentiert, und wie du schon gesehen hast 500MB/Tag kostenlos!
Eine kostenfreie Alternative für höhere Log-Volumina wäre noch Graylog aus dem OpenSource-Bereich.
Gruß
Hallo Rudbert,
die Software übertrifft sogar meine Erwartung.
Vielen Dank! Genau sowas habe ich gebraucht, denn das tool ist noch möchtiger als die Track logger von Checkpoint.
Also vielen Dank nochmal! Mal sehen, was mein Kollege dazu sagt
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
die Software übertrifft sogar meine Erwartung.
Vielen Dank! Genau sowas habe ich gebraucht, denn das tool ist noch möchtiger als die Track logger von Checkpoint.
Also vielen Dank nochmal! Mal sehen, was mein Kollege dazu sagt
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Wie schon erwähnt, nicht über die WebGUI, aber...
du kannst per SSH direkt auf den Sophos schauen bzw es von dort abholen und das Logfile mit mehreren terms durchsuchen.
https://community.sophos.com/products/unified-threat-management/f/manage ...
Es ist im Beispiel eine ODER Verknüpfung. Du kannst auch UND verknüpfen usw.
du kannst per SSH direkt auf den Sophos schauen bzw es von dort abholen und das Logfile mit mehreren terms durchsuchen.
https://community.sophos.com/products/unified-threat-management/f/manage ...
Es ist im Beispiel eine ODER Verknüpfung. Du kannst auch UND verknüpfen usw.
Zitat von @Leo-le:
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Hey, leider nicht habe nur eine Standard-Suche nach Firewall-Logs definiert - reicht für uns aus!
Gruß
Okay, das Tool ist übrigens der absolute Toptipp gewesen. Ich filtere damit aktuell FW-Logs, VPN und Web-Protection Logs. Splunk wertet die Sophos UTM um 100% auf und mein Kollege strahlt. Besten Dank nochmal!"
1
Reicht die Splunk Free Version dafür?
Ja, nehme ich auch!
Danke Dir...
