nils02
Goto Top

Zentrales Firewall und Windows Log Management

Hallo zusammen,


ich benötige eure Hilfe bei einem Thema, dem ich mich aktuell annehmen soll.

Wir möchten unsere Windows Eventlogs sowie Logs von Firewalls etc. zentral sammeln und analysieren können.
Wir haben insgesamt ca. 120 Server (Großteil VMs) und dann noch die restlichen NW Komponenten.

Hier im Forum gabs bis jetzt zwar ein paar Diskussionen zu dem Thema, so wirklich hilfreiches habe ich jetzt aber nichts gefunden.

Es gibt hier natürlich einige Lösungen, welche habt Ihr im Einsatz oder welche könntet Ihr empfehlen?


Gerne auch irgendwelche links zum Thema mit Anleitungen, falls ihr etwas haben solltet.


Danke face-smile


Gruß
Nils

Content-ID: 6836572363

Url: https://administrator.de/forum/zentrales-firewall-und-windows-log-management-6836572363.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

lcer00
Lösung lcer00 19.04.2023 um 11:38:08 Uhr
Goto Top
Hallo,

die Frage dabei ist, was Du unter
zentral sammeln und analysieren können.
verstehst.

Wenn Du hauptsächlich archivieren willst, dann kann man die Syslog-Dinge per rsyslog auf einen zentralen Server senden und die Windows-Logs per Eventlog-Forwarding. Das archivieren macht man dann per Skript (cron/logrotate oder Powershell).

Willst Du aber, dass das System selbstständig warnt, wenn etwas Auffälliges passiert, bist Du bei ganz anderen Größenordnungen.

Meiner Meinung nach lohnt ein System, das alles schön graphisch aufbereitet, aber nur im Nachhinein befragt wird, die Mühe des Einrichtens nicht.

Grüße

lcer
Looser27
Looser27 19.04.2023 um 11:47:18 Uhr
Goto Top
+1 für rsyslog
em-pie
Lösung em-pie 19.04.2023 um 12:15:12 Uhr
Goto Top
Moin,

https://administrator.de/latest/?search=graylog

Da arbeiten wir uns gerade ein.
Denn gerade das proaktive Alarmieren ist ja wichtig....
https://www.graylog.org/features/alerting/
Mr-Gustav
Mr-Gustav 19.04.2023 aktualisiert um 15:40:23 Uhr
Goto Top
Schau mal nach SIEM
bzw. wir haben im Konzern Alien Vault
allerdings nicht ganz billig
commodity
commodity 19.04.2023 um 16:22:50 Uhr
Goto Top
rsyslog

https://www.laub-home.de/wiki/Syslog_Server_unter_Debian_Linux_mit_Rsysl ...

Wenn man weiter gehen will, kann man die Logs dann auch mit fail2ban auswerten und Meldungen bzw. je nach Hardware auch Aktionen veranlassen. Sinngemäß hier dargestellt: https://tangentsoft.com/mikrotik/wiki?name=Using+fail2ban+with+Remote+sy ...

Viele Grüße, commodity