5
Zentrales Firewall und Windows Log Management
Hallo zusammen,
ich benötige eure Hilfe bei einem Thema, dem ich mich aktuell annehmen soll.
Wir möchten unsere Windows Eventlogs sowie Logs von Firewalls etc. zentral sammeln und analysieren können.
Wir haben insgesamt ca. 120 Server (Großteil VMs) und dann noch die restlichen NW Komponenten.
Hier im Forum gabs bis jetzt zwar ein paar Diskussionen zu dem Thema, so wirklich hilfreiches habe ich jetzt aber nichts gefunden.
Es gibt hier natürlich einige Lösungen, welche habt Ihr im Einsatz oder welche könntet Ihr empfehlen?
Gerne auch irgendwelche links zum Thema mit Anleitungen, falls ihr etwas haben solltet.
Danke
Gruß
Nils
ich benötige eure Hilfe bei einem Thema, dem ich mich aktuell annehmen soll.
Wir möchten unsere Windows Eventlogs sowie Logs von Firewalls etc. zentral sammeln und analysieren können.
Wir haben insgesamt ca. 120 Server (Großteil VMs) und dann noch die restlichen NW Komponenten.
Hier im Forum gabs bis jetzt zwar ein paar Diskussionen zu dem Thema, so wirklich hilfreiches habe ich jetzt aber nichts gefunden.
Es gibt hier natürlich einige Lösungen, welche habt Ihr im Einsatz oder welche könntet Ihr empfehlen?
Gerne auch irgendwelche links zum Thema mit Anleitungen, falls ihr etwas haben solltet.
Danke
Gruß
Nils
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6836572363
Url: https://administrator.de/contentid/6836572363
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
die Frage dabei ist, was Du unter
Wenn Du hauptsächlich archivieren willst, dann kann man die Syslog-Dinge per rsyslog auf einen zentralen Server senden und die Windows-Logs per Eventlog-Forwarding. Das archivieren macht man dann per Skript (cron/logrotate oder Powershell).
Willst Du aber, dass das System selbstständig warnt, wenn etwas Auffälliges passiert, bist Du bei ganz anderen Größenordnungen.
Meiner Meinung nach lohnt ein System, das alles schön graphisch aufbereitet, aber nur im Nachhinein befragt wird, die Mühe des Einrichtens nicht.
Grüße
lcer
die Frage dabei ist, was Du unter
zentral sammeln und analysieren können.
verstehst.Wenn Du hauptsächlich archivieren willst, dann kann man die Syslog-Dinge per rsyslog auf einen zentralen Server senden und die Windows-Logs per Eventlog-Forwarding. Das archivieren macht man dann per Skript (cron/logrotate oder Powershell).
Willst Du aber, dass das System selbstständig warnt, wenn etwas Auffälliges passiert, bist Du bei ganz anderen Größenordnungen.
Meiner Meinung nach lohnt ein System, das alles schön graphisch aufbereitet, aber nur im Nachhinein befragt wird, die Mühe des Einrichtens nicht.
Grüße
lcer
1
+1 für rsyslog
Moin,
https://administrator.de/latest/?search=graylog
Da arbeiten wir uns gerade ein.
Denn gerade das proaktive Alarmieren ist ja wichtig....
https://www.graylog.org/features/alerting/
https://administrator.de/latest/?search=graylog
Da arbeiten wir uns gerade ein.
Denn gerade das proaktive Alarmieren ist ja wichtig....
https://www.graylog.org/features/alerting/
Schau mal nach SIEM
bzw. wir haben im Konzern Alien Vault
allerdings nicht ganz billig
bzw. wir haben im Konzern Alien Vault
allerdings nicht ganz billig
1
rsyslog
https://www.laub-home.de/wiki/Syslog_Server_unter_Debian_Linux_mit_Rsysl ...
Wenn man weiter gehen will, kann man die Logs dann auch mit fail2ban auswerten und Meldungen bzw. je nach Hardware auch Aktionen veranlassen. Sinngemäß hier dargestellt: https://tangentsoft.com/mikrotik/wiki?name=Using+fail2ban+with+Remote+sy ...
Viele Grüße, commodity
https://www.laub-home.de/wiki/Syslog_Server_unter_Debian_Linux_mit_Rsysl ...
Wenn man weiter gehen will, kann man die Logs dann auch mit fail2ban auswerten und Meldungen bzw. je nach Hardware auch Aktionen veranlassen. Sinngemäß hier dargestellt: https://tangentsoft.com/mikrotik/wiki?name=Using+fail2ban+with+Remote+sy ...
Viele Grüße, commodity
