9
Syslog Management - aber wie?
Hallo zusammen,
wir sind gerade im Unternehmen dabei uns ein zentrales System für die die Eventlogs(WIN,LX,MFA) zu beschaffen.
Jetzt stehe bin ich am suchen welcher Anbieter denn der beste ist.
Da ich neu in diesem Bereich bin, hat mich die schiere Anzahl an Anbietern und Programmen schon ein wenig überrascht.
Grundsätzlich benöten wir nur einen zentralen Ort + Grafischer Aufbereitung und Auswertung unserer Eventlogs.
SIEM wird nicht benötigt.
Vielleicht findet sich ja hier jemand mit Erfahrungen in diesem Bereich und kann mir einen Tipp geben.
Gruß
McNewbie
wir sind gerade im Unternehmen dabei uns ein zentrales System für die die Eventlogs(WIN,LX,MFA) zu beschaffen.
Jetzt stehe bin ich am suchen welcher Anbieter denn der beste ist.
Da ich neu in diesem Bereich bin, hat mich die schiere Anzahl an Anbietern und Programmen schon ein wenig überrascht.
Grundsätzlich benöten wir nur einen zentralen Ort + Grafischer Aufbereitung und Auswertung unserer Eventlogs.
SIEM wird nicht benötigt.
Vielleicht findet sich ja hier jemand mit Erfahrungen in diesem Bereich und kann mir einen Tipp geben.
Gruß
McNewbie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6477242247
Url: https://administrator.de/contentid/6477242247
Printed on: July 27, 2024 at 16:07 o'clock
9 Comments
Latest comment
Hi,
Wir fahren gut mit der kostenlosen Version von Graylog, die von den Servern via nxlog gefüttert wird.
Wir fahren gut mit der kostenlosen Version von Graylog, die von den Servern via nxlog gefüttert wird.
Moin,
hast Du Dir schon RSyslog angesehen?
Gruß
Looser
hast Du Dir schon RSyslog angesehen?
Gruß
Looser
Hallo,
das hatte ich mal testweise mit Elastic Stack gemacht. Also Syslog per ryslolog über Logstash an Elasticsearch, andere Systeme per Filebeat, Auswertung über Kibana. Da kann man ganz viel basteln/finetunen.
Probleme waren:
Man hat tatsächlich schöne Daten und Grafiken bekommen. Das war als Debugtool ganz hilfreich. ABER: Es ist erst mal keine Überwachung der Logs. Also keine automatisierte Reaktion auf Auffälligkeiten. Und das finde ich heute eigentlich wichtiger. Ein Datengrab nützt niemandem. Ich habe das System dann wieder außer Betrieb genommen und verwende nun einen normalen LinuxServer, auf dem syslogs zentral gespeichert werden (rsyslog sortiert das) und ein Windows-System, das die Windows-Eventlogs sammelt. Da komme ich auch an die logs ran, ist vielleicht nicht so bunt, aber es ist ja nur für den Debugfall bzw. zum nachträglichen rekonstruieren von Problemen.
Geld ausgeben würde ich nur für eine Lösung, die die Daten auch analysiert und darauf reagiert. Überprüfe doch nochmal ob die Anforderungen, die Ihr formuliert habt, auch zum wirklichen Problem passen.
Grüße
lcer
Edit:
das hatte ich mal testweise mit Elastic Stack gemacht. Also Syslog per ryslolog über Logstash an Elasticsearch, andere Systeme per Filebeat, Auswertung über Kibana. Da kann man ganz viel basteln/finetunen.
Probleme waren:
- man benötigt viel Zeit um die Config/bzw. Skripte für die Daten passend zu machen. Man kann z.B. in Logstash viel präprozessieren und nutzlose Daten von vornherein eleminieren. Aber das kostet Arbeitszeit.
- Die Upgrades waren fehleranfällig.
- ELK ist nicht unbedingt ressourcenschonend.
Man hat tatsächlich schöne Daten und Grafiken bekommen. Das war als Debugtool ganz hilfreich. ABER: Es ist erst mal keine Überwachung der Logs. Also keine automatisierte Reaktion auf Auffälligkeiten. Und das finde ich heute eigentlich wichtiger. Ein Datengrab nützt niemandem. Ich habe das System dann wieder außer Betrieb genommen und verwende nun einen normalen LinuxServer, auf dem syslogs zentral gespeichert werden (rsyslog sortiert das) und ein Windows-System, das die Windows-Eventlogs sammelt. Da komme ich auch an die logs ran, ist vielleicht nicht so bunt, aber es ist ja nur für den Debugfall bzw. zum nachträglichen rekonstruieren von Problemen.
Geld ausgeben würde ich nur für eine Lösung, die die Daten auch analysiert und darauf reagiert. Überprüfe doch nochmal ob die Anforderungen, die Ihr formuliert habt, auch zum wirklichen Problem passen.
Grüße
lcer
Edit:
hast Du Dir schon RSyslog angesehen?
Minimaler Syslogserver mit rsyslog
1
Wir nutzen Graylog seit 2 Jahren problemlos und stellen die Dashboards via Grafana grafisch dar
Moin,
+1 für Graylog
Läuft bei uns auf nem Debian, dazu noch der Elastic Search Stack.
Anleitungen findet man hinreichend im WWW
Du musst aber am Debian noch ne Portweiterleitung einrichten. Im Graylog kannst du den Port 514 nicht nutzen, da es ein geschützter Bereich ist. Nicht alle Systeme kann man auf anderen Ports senden lassen (Ciscos WLC z.B.)
+1 für Graylog
Läuft bei uns auf nem Debian, dazu noch der Elastic Search Stack.
Anleitungen findet man hinreichend im WWW
Du musst aber am Debian noch ne Portweiterleitung einrichten. Im Graylog kannst du den Port 514 nicht nutzen, da es ein geschützter Bereich ist. Nicht alle Systeme kann man auf anderen Ports senden lassen (Ciscos WLC z.B.)
Hallo,
wir nutzen den ELK-Stack von logz.io.
Stefan
wir nutzen den ELK-Stack von logz.io.
Stefan
Erst Einmal Dankeschön für Eure Antworten.
Ich habe mich jetzt auch für Graylog Entschieden.
Soweit so gut! Der "Graylog" läuft auf einer RHEL 8 Maschine. OpenSearch und MongodDB läuft auch!
Jetzt wollte ich mit dem Graylog Sidecar die ersten Meldungen an meinen Graylog schicken, das Sidecar erkentn er auch, diese wir auch als "running" angezeigt.
Aber es kommt nichts an.....Ich habe leider keinen funktionierenden Input.
Muss ich dem Graylog noch sagen, dass er über ein Sidecar Logs bekommt, ich bin davon ausgegangen , dass dies automatisch passiert?
Ich habe mich jetzt auch für Graylog Entschieden.
Soweit so gut! Der "Graylog" läuft auf einer RHEL 8 Maschine. OpenSearch und MongodDB läuft auch!
Jetzt wollte ich mit dem Graylog Sidecar die ersten Meldungen an meinen Graylog schicken, das Sidecar erkentn er auch, diese wir auch als "running" angezeigt.
Aber es kommt nichts an.....Ich habe leider keinen funktionierenden Input.
Muss ich dem Graylog noch sagen, dass er über ein Sidecar Logs bekommt, ich bin davon ausgegangen , dass dies automatisch passiert?
Ich habe Sidecar noch nicht verwendet, aber so wie ich das verstehe ist das nur ein Konfigurationsmanagement für die eigentlichen Log-Sender? (z.B. nxlog)
Auf jeden Fall musst du einen Input erstellen, an dem dein graylog logs annimmt.
https://go2docs.graylog.org/5-0/getting_in_log_data/getting_in_log_data. ...
Auf jeden Fall musst du einen Input erstellen, an dem dein graylog logs annimmt.
https://go2docs.graylog.org/5-0/getting_in_log_data/getting_in_log_data. ...
Ja, so habe ich das auch verstanden.
Im Grunde benötigt die Sidecar.exe bei der installation schon die benötigten Infos(API;API Token).
Den habe ich auch korrekt übergeben. in Graylog steht auch das mein Sidecar sendet. Aber es kommt iwie nichts an....
Im Grunde benötigt die Sidecar.exe bei der installation schon die benötigten Infos(API;API Token).
Den habe ich auch korrekt übergeben. in Graylog steht auch das mein Sidecar sendet. Aber es kommt iwie nichts an....