gunterregge
14.02.2014
view6896
view17
0
Goto Top

Welchen Syslog Server?

FrageSicherheitIT-Sicherheitstipps
Hallo Zusammen,

welchen Syslog Server könnt ihr empfehlen.
Kiwi und PRT habe ich hier schon öfters gelesen, jedoch sind diese ab einer bestimmten Größe ja kostenpflichtig. Gesucht wird daher ein guter Syslog Server auf Freeware Basis.

Gruß
gunter
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 229781

Url: https://administrator.de/contentid/229781

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
Rudbert
Rudbert 14.02.2014 um 10:31:06 Uhr
Goto Top
Hi,

rsyslog auf Linux - flexibel (z.B. logging in DB) und kostenlos.

mfg
108012
108012 14.02.2014 um 11:18:15 Uhr
Goto Top
Hallo,

syslog-ng könnte auch etwas für Dich sein,
aber so wie es sich ließt suchst Du wohl eher
etwas für Windows PCs bzw. Server.

Darf man denn auch einmal erfahren für was
Du das denn genau benötigst, denn eines sei
gleich vorweg gesagt Router und Switche
können eine erhebliche Last auf das Netzwerk
geben und der Syslog Host sollte der Protokollflut
auch gewachsen sein.

Bei PRTG hast Du bis zu 30 Sensoren kostenlos.
Ein LAN Port eines PCs, Svers, Routers, oder eines Switches
zählen immer als ein Sensor, von daher wenn es Dir denn reicht
sollte das doch funktionieren.

Gruß
Dobby♬
GunterRegge
GunterRegge 14.02.2014 um 11:22:41 Uhr
Goto Top
Super, danke euch schon einmal für die beiden Vorschläge und auch die ausführliche Erklärung.

D.o.b.b.y
30 Sensoren reichen nicht, daher ist PRTG leider nicht geeignet.

Die Überwachung soll sicher für alle Server (Windows 2008, Windows 2012, Linux, Ubuntu Server) sein. Eventuell auch für die Switches. Das dies Last erzeugen kann ist mir klar. Denke jedoch das wir hier sehr gut Performancemässig aufgestellt sind. Sollte man aber merken, dass dies aber doch zu Lasten der Performance geht, muss man es reduzieren.

Gruß
Gunter
108012
108012 14.02.2014 um 11:41:14 Uhr
Goto Top
Hallo,

30 Sensoren reichen nicht, daher ist PRTG leider nicht geeignet.
Also ist das nichts privates, das konnte man weiter oben eben nicht
herauslesen.

Die Überwachung soll sicher für alle Server (Windows 2008, Windows 2012, Linux, Ubuntu Server) > sein. Eventuell auch für die Switches.
Und bitte auch Router und Firewalls mit einbeziehen.
Aber dann sollte man auch schon einen echten Server auf seinem eigenen "Blech"
haben denn sonst wird es schnell dünne!

Das dies Last erzeugen kann ist mir klar.
Den meisten Leuten ist es meist eben nur nicht klar,
wie viel Last das ist, das Netzwerk wird das wohl sein wird
also ein eigener Server auf eigenes Hardware sollte es schon
sein denke ich, was aber auch immer stark auf die gesamte
Anzahl der zu protokollierenden Geräte und vor allen Dingen
welche Geräte das denn nun genau sind.

Denke jedoch das wir hier sehr gut Performancemässig aufgestellt sind.
Daher sollte es schon ein eigener Server sein und nicht auch einem einfach
mit drauf laufen.

Sollte man aber merken, dass dies aber doch zu Lasten der Performance geht,
muss man es reduzieren.
Muss man nicht unbedingt nur alles in eine VM stopfen und nachher säuft einem
der VM Host deswegen ab ist auch nicht so pralle.

- Das beste ist immer auf allen Geräten die gleiche Zeit zu haben (NTP Server)
um dann nachher bei einem Vorfall nicht erst wieder alles umrechnen zu
müssen.

- Ein eigener Syslogserver auf einem echten Server der sein eigenes
Blech hat sollte dann schon vorhanden sein, eventuell dann ein Linux
mit syslog-ng, das ist zwar auch kein Alllheilmittel, aber tut in den meisten
Fällen seinen Dienst

- Setzt Ihr Snort oder eine anderes IDS/IPS System ein sollte man allerdings
nicht auf Syslog-ng setzen!

Gruß
Dobby♬
GunterRegge
GunterRegge 14.02.2014 um 12:34:05 Uhr
Goto Top
Danke dir Dobby.

Für reine Testzwecke wollte ich es auf eine Maschine setzen die als VM läuft, hier aber erst nur ein Paar Logs einsammelt. Erst wenn dies erfolgreich ist wird alles auf einem dedizierten Server laufen.
Am Ende könnten es 200 Geräte werden welche die Logs liefern (und Sorry, die Firewall hatte ich davor vergessen)

Vermutlich wird es jetzt ein Syslog-NG werden.

Nein, sowas wie Snort setzen wir nicht ein.

Gruß
Gunter
108012
108012 14.02.2014 um 12:46:30 Uhr
Goto Top
Hallo,

Vermutlich wird es jetzt ein Syslog-NG werden.
Man kann sich die Protokolldateien (logfiles) dann auch
in verschiedene Ordner speichern lassen und wenn man
dann einmal nach den Lofiles eines bestimmten Gerätes
suchen muss muss man nicht erst einen Tag lang alles
durchwühlen um daran zukommen.

Am Ende könnten es 200 Geräte werden welche die Logs liefern
Binde dann bitte den Linuxserver mittels mehrerer Netzwerkarten an
mehrere Switche an, damit nicht der eine Switch an dem der
Syslogserver hängt zusammenklappt.

Es bleibt dann eben nur noch die Sache der Auswertung dieser Logfiles
und da bietet sich dann bei einem Linuxserver entweder Nagios oder Incinga
an, beide sind OpenSource und kostenlos einsetzbar ist eventuell ja auch einen
Blick wert wenn man denn schon einen Linuxserver aufsetzt.

Gruß
Dobby♬
GunterRegge
GunterRegge 14.02.2014 aktualisiert um 13:38:58 Uhr
Goto Top
Das mit den speichern der Logs an verschiedenen Orten habe ich schon gelesen, sehr praktisch.

Dein Hinweis mit den 2 Netzwerkkarten ist gut, danke dir.

Nagios läuft schon und sollte dann auch dafür eingesetzt werden.

Gruß
Gunter
aqui
aqui 14.02.2014 um 20:21:31 Uhr
Goto Top
Wie wärs mit einem Raspberry Pi als Syslog mit HTML Zugang ?!
Netzwerk Management Server mit Raspberry Pi
GunterRegge
GunterRegge 17.02.2014 um 09:27:43 Uhr
Goto Top
Hallo Aqui,

danke dir aber einen Server haben wir.

Gruß
Gunter
aqui
aqui 17.02.2014 aktualisiert um 10:13:51 Uhr
Goto Top
Dann musst du aber der Forumscommunity mal den Satz von oben logisch erklären:
"Gesucht wird daher ein guter Syslog Server auf Freeware Basis."
Der wäre ja dann mehr oder weniger vollkommen sinnfrei und damit auch der gesamte Thread hier ?!
Oder haben wir hier jetzt alles was nicht verstanden...?!
GunterRegge
GunterRegge 17.02.2014 um 10:16:12 Uhr
Goto Top
Dann entschuldige bitte, dass das Wort Software nicht dabei stand.
Denke jetzt ist es aber klar.

Gruß
Gunter
aqui
aqui 17.02.2014 um 10:33:28 Uhr
Goto Top
Dann müsstest du auch noch konsequenterweise sagen das es WINBLOWS Software sein muss...vermutlich ?!

Der ganze Thread ist doch Murks, denn mit "einen Server haben wir" meinst du ja vermutlich die HW, oder ?? Und das vermutlich mit einem Winblows OS ?!
Der Syslog Server ist ja eine komplette Server SW die auch den Syslog Dienst selber aktiviert.
Na ja egal....nur ziemlich missverständlich.
Wie gesagt mit einem Linux Server hättest du alles an Bord, da hätte man auch einen alten Rechner recyceln können oder eben den RasPi.

Bei den Winblows Lösungen gibt es noch den kostenlosen Server von Mikrotik:
http://www.mikrotik.com/archive.php
und einen von Draytek der aber eher schlicht ist:
http://www.draytek.com/download_de/Tools/SysLog/
GunterRegge
GunterRegge 17.02.2014 aktualisiert um 10:40:24 Uhr
Goto Top
Hall Aqui,

hier steht nirgends und das auch aus guten Grund das ich auf Windows festgelegt bin.
Daher waren hier, wie du auch nachlesen kannst, einige Vorschläge die auf Linux basierten.
Aber noch einmal...ich suche nur Software für einen Syslog Server, auf welchem OS das läuft ist egal...

Danke dir

Nachtrag: Aber danke dir auch für deine beiden Vorschläge, werde ich mir auch ansehen.
aqui
aqui 17.02.2014 um 10:44:49 Uhr
Goto Top
Und warum nimmst du dann nicht einen schlichten kleinen Linux Server und das webbasierte Loganalyzer Tool.
Das ist doch der Klassiker schlechthin und der kostet dich keinen Pfenning....
Nur einen alten Rechner (oder RasPi)
GunterRegge
GunterRegge 17.02.2014 um 10:55:41 Uhr
Goto Top
Weil wir dafür alte aber noch gute Server haben die sonst nicht mehr gebraucht werden
aqui
aqui 17.02.2014 um 11:06:23 Uhr
Goto Top
Und warum dann da nicht kostenfrei ein Debian rauf und dazu den Loganalyzer ?? Fertig ist der Lack...
Irgendwie drehen wir uns im Kreis hier... face-sad
heart1
GunterRegge
GunterRegge 17.02.2014 um 11:08:56 Uhr
Goto Top
Nein, absolut nicht.
Es steht hier nirgends das etwas gegen Linux steht. Jedoch möchte ich mir einfach verschiedene Möglichkeiten ansehen und dann für das, für uns am besten geeignete Entscheiden.
Und wie du weiter oben ja sicher gelesen hast wurden schon einige Linuxbasierende Tools genannt.
FrageSicherheitIT-Sicherheitstipps
Mehr von GunterReggeGunterReggeExchange Server 2007 mit SP2 patchenGunterRegge - 1 KommentarGunterReggeIOS7 und Exchange 2007 - Mails weiterleiten geht nicht immerGunterRegge - 2 KommentareGunterReggeRegelmässige Passwortänderung auf allen Geräten ohne Kontensperrung?GunterRegge - 5 KommentareGunterReggeExchange 2007 alle Kalender am Server freigebenGunterRegge - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare