GUUG FFG 2005. Aufbau einer zentralen Log-Infrastruktur mit syslog-ng. Jens Link jenslink@quux.de



Ähnliche Dokumente
logrotate Archivierung von Logdateien - Kurzakte

Verwaltung von Logfiles mit logrotate

Kernel-Module. Teile des Kernels können als Module gebaut werden. diese können im laufenden Betrieb eingebunden werden (und auch wieder entfernt)

Konfiguration von Fabasoft Mindbreeze Enterprise für IBM Lotus

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Grundlagen PIX-Firewall

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Cisco PIX 501 firewall configuration (german) Wednesday, 01 January 2003

Einen syslog-server im Netz aufzusetzen, der per TCP/IP syslog-meldungen anderer Rechner im Netz annimmt und speichert (=remote logging)

English. Deutsch. niwis consulting gmbh ( manual NSEPEM Version 1.0

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

Umbenennen eines NetWorker 7.x Servers (UNIX/ Linux)

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Im Folgenden wird die Konfiguration der DIME Tools erläutert. Dazu zählen die Dienste TFTP Server, Time Server, Syslog Daemon und BootP Server.

Überwachung des Nagios-Servers. Stephan Schmidt 31. August 2007

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

ecaros2 Automatische Katalogaktualisierung

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Windows Server Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren /

ABACONNECT VERWENDUNG VON APACHE TCPMON UTILITY MIT ABACONNECT WEBSERVICES

Technical Information

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Psyprax GmbH. Netzwerk Installation unter XP. Wichtig für alle Netzwerkinstallationen: Psyprax GmbH

Powershell DSC Oliver Ryf

Command-Line. Line-Tools und Unix-Umgebungen Umgebungen unter Windows

ONET: FT-NIR-Netzwerke mit zentraler Administration & Datenspeicherung. ONET Server

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

SolarWinds Engineer s Toolset

Installationsanleitung dateiagent Pro

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Clients in einer Windows Domäne für WSUS konfigurieren

Anleitung zur CITRIX-Receiver Installation.

Installation mit Lizenz-Server verbinden

Dokumentation owncloud PH Wien

Windows Server 2012 RC2 konfigurieren

Rechnernetze. 6. Übung

Remote Logging mit rsyslog

Sophia Business Leitfaden zur Administration

OP-LOG

-konfiguration THE BAT! homepageheute.de ein Produkt der medialand GmbH, Schornsheimer Chaussee 9, Wörrstadt, Deutschland

Workbooster File Exchanger Command Line Tool

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

FLEX-LM OPT-File Möglichkeiten der Lizenzverwaltung

An integrated total solution for automatic job scheduling without user interaction

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

VMware vrealize Log Insight- Entwicklerhandbuch

When your browser turns against you Stealing local files

Anbindung des eibport an das Internet

Oracle APEX Installer

SSH Authentifizierung über Public Key

Bkvadmin2000 Peter Kirischitz

MySQL Installation. AnPr

Psyprax GmbH. Wichtig für alle Netzwerkinstallationen: Psyprax GmbH

NetSeal Pro. Installations- und Bedienungsanweisung. Printserver L1 USB. Höns-Electronic GmbH & Co KG Bremen

TSM-Client unter Windows einrichten

INHALT. 1 NSA-320 als Logging Version

Zentraler Druckserver mit CUPS

FL1 Hosting Technische Informationen

Vorgehensweise bei der Installation Bob50SQL für einen unabhängigen PC.

Internet-Information-Server

Das neue Volume-Flag S (Scannen erforderlich)

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Kurs für Linux Online Kurs Verwalter des Linux System

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

protokolliert alle Anmeldungen am Server direkt

Produktionsfähige Applikationen

System- und Netzwerkmanagement

Installation Microsoft Lync 2010 auf Linux

Betriebshandbuch. MyInTouch Import Tool

Einrichten der TSM-Backup-Software unter dem Betriebssystem Windows

Erfahrungsbericht Installation von OpenOffice.org2 auf Terminalservern mit Citrix Metaframe

Installation SQL- Server 2012 Single Node

PicApport-Server Guide (Deutsch)

Android VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN

a.sign Client Lotus Notes Konfiguration

Step by Step Webserver unter Windows Server von Christian Bartl

Virtual Private Network

Beschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x)

Laborübung - Verwalten von virtuellem Speicher in Windows 7

TimeSafe Installationsanleitung mit InfotechStart

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Avira Support Collector. Kurzanleitung

Löschen eines erkannten aber noch nicht konfigurierten Laufwerks

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

DNS-325/-320 und FXP

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Einrichten der TSM-Backup-Software unter dem Betriebssystem Windows

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Funktionsübersicht. Beschreibung der zentralen Funktionen von PLOX

check_mk - Nagios ganz einfach

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Transkript:

GUUG FFG 2005 Aufbau einer zentralen Log-Infrastruktur mit syslog-ng Jens Link jenslink@quux.de 1

Übersicht Motivation / Aufbau des Netzes syslog Protokoll syslog/syslog-ng Konfiguration der Server Konfiguration der Clients Verwaltung und Auswertung Todo 2

Motivation Zusammenfassung mehrere kleiner Insellösungen zu einem Netz Neue Server Neue und mehr Netzwerkhardware => Mehr Arbeit für die Admins => Bessere Möglichkeiten zur Fehlersuche 3

Aufbau des Netzwerks Windows Server (AD, File u. Print, Lotus Domino, SUS, Antivirus,...) Linux Server (Web, DNS, OTRS, Radius,...) Cisco Router und Switche diverse andere Hard-/Software 4

Syslog Protokoll Verwendet UDP (Port 514) Jede Nachricht besteht aus einer Zeile Text, diese setzt sich zusammen aus: Facility: Von welcher Komponente / Applikation kom mt die Meldung Level (severity): Wie wichtig ist die Meldung? Text 5

Syslog Protokoll: Syslog Facilities (1) kern kernel user application or user processes (this is the default if the application sending a message does not specify the facility) mail/ news/ UUCP/ cron electronic mail/ NNTP/ UUCP/ cron subsystems daem on system daem ons auth authentication and authorization related commands lpr line printer spooling subsystem mark inserts timestamp into log data at regular intervals Quelle: http:/ / www.precision- guesswork.com/ sage- guide/ syslog- overview.html 6

Syslog Protokoll Syslog Facilities (2) local0- local7 8 facilit ies for custom ized auditing syslog internal messages generated by syslog itself authpriv non- system authorization m essages * - - on most versions of UNIX, refers to all facilities except mark Quelle: http:/ / www.precision- guesswork.com/ sage- guide/ syslog- overview.html 7

Syslog Protokoll Syslog Levels emerg alert crit warning notice info debug system is or will be unusable if situation is not resolved immediate action required critical situations recoverable errors unusual situation that merits investigation; a significant event that is typically part of normal day-to-day operation informational messages verbose data for debugging Quelle: http://www.precision-guesswork.com/sage-guide/syslog-overview.html 8

Syslog: syslog.conf Welche Nachricht kommt in welches Logfile? auth,authpriv.* *.*;auth,authpriv.none #cron.* daemon.* kern.* news.crit news.err /var/log/auth.log -/var/log/syslog /var/log/cron.log -/var/log/daemon.log -/var/log/kern.log /var/log/news/news.crit /var/log/news/news.err 9

syslog-ng Besser Möglichkeiten zur Filterung Verschlüsselung über stunnel/ssh möglich Kann auch Nachrichten auch über TCP senden/empfangen 10

syslog-ng.conf: Source Wo kommen die Daten her? source src { file("/proc/kmsg") log_prefix("kernel: "); unix-stream("/dev/log"); internal(); udp(); tcp(); }; 11

syslog-ng.conf: Destination In welchen Dateien sollen die Daten später liegen? destination authlog { file("/var/log/auth.log"); }; destination syslog { file("/var/log/syslog"); }; destination cron { file("/var/log/cron.log"); }; destination daemon { file("/var/log/daemon.log"); }; destination kern { file("/var/log/kern.log"); }; destination lpr { file("/var/log/lpr.log"); }; destination user { file("/var/log/user.log"); }; destination console_all { file("/dev/tty8"); }; 12

syslog-ng.conf: Filter Wie sollen die die Meldungen verteilt werden: filter f_authpriv { facility(auth, authpriv); }; filter f_syslog { not facility(auth, authpriv) and not facility (mail); }; filter f_ssh_login_attempt { program("sshd.*") and match("failure ) }; 13

syslog-ng.conf: Log Wo sollen die Daten hin? log { source(src); filter(f_authpriv); destination(authlog); }; log { source(src); filter(f_syslog); destination(syslog); }; log { source(src); filter(f_cron); destination(cron); }; log { source(src); filter(f_daemon); destination(daemon); }; 14

Client Konfiguration: Linux destination loghost { tcp("192.168.1.100" port(514)); }; log { source(src); destination(loghost); }; 15

Client Konfiguration: Cisco IOS switch#(config)logging 192.168.1.100 switch#(config)logging 192.168.10.100 Evtl. Anppassen des Log-Levels durch: switch#(config)logging trap level 16

Client Konfiguration: Windows Windows unterstützt keine Möglichkeit direkt auf einen syslog-server zu schreiben Es gibt aber diverse Zusatztools um das Ziel zu erreichen 17

Client Konfiguration: Windows, ntsyslog 1. Versuch: ntsyslog (http://ntsyslog.sourceforge.net/) Sehr klein Nur wenige Features Funktionierte allerdings nicht, da einige Berechtigungen auf die Windows-Registry fehlten 18

Client Konfiguration: Windows, SNARE(1) 2. Versuch: Snare Ebenfalls recht klein Mehr Funktionen Vorsicht: Snare kann bei der Installation die Logging Einstellungen under Windows ändern 19

Client Konfiguration: Windows, SNARE(2) Installation über GUI Vorsicht bei der Abfrage, ob SNARE die Logging einstellungen unter Windows ändern soll 20

Client Konfiguration: Windows, SNARE(3) http://www.intersectalliance.com/projects/snarewindows/index.html#screenshots 21

Client Konfiguration: Andere Clients Diverse andere Komponenten/Applikationen, wie z.b. Printserver, bieten die Möglichkeit Daten auf einem Syslog-Server zu speichern. Diese werden u.u. später in das zentrale Logging intergriert. Andere Komponenten/Applicationen bieten diese Möglichkeit leider nicht, Beispiele hierfür: Lotus Domino MS SUS ArcServ 22

Verwaltung und Auswertung (1) Die Daten werden in einzelnen Dateien gespeichert Auswertung über Standardtools bzw. eigene Scripte Logs des Apache werden noch nicht über syslog verwaltet 23

Verwaltung und Auswertung (1) Verwaltung der Logfiles durch logrotate: # rotate log files weekly weekly # keep 4 weeks worth of backlogs rotate 4 # create new (empty) log files after rotating old ones create # uncomment this if you want your log files compressed include /etc/logrotate.d 24

Verwaltung und Auswertung (2) /var/log/apache/*.log { weekly missingok rotate 5 compress delaycompress notifempty create 640 root adm sharedscripts postrotate if [ -f /var/run/apache.pid ]; then \ if [ -x /usr/sbin/invoke-rc.d ]; then \ invoke-rc.d apache reload > /dev/null; \ else \ /etc/init.d/apache reload > /dev/null; \ fi; \ fi; endscript } 25

ToDo Auswertung und Alarmierung verfeinern Evtl. Datenspeicherung in einer Datenbank 26

Resourcen Snare: http://www.intersectalliance.com/projects/index.html Syslog-ng:http://www.balabit.com/products/syslog_ng http://www.loganalysis.org/ ftp://ftp.rfc-editor.org/in-notes/rfc3164.txt http://www.sans.org/rr/whitepapers/logging http://www.campin.net/syslog-ng/faq.html Michael D. Bauer Building Secure Serves with Linux O'Reilly 27

Fragen? 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback