Monitoring von UniFi

Es gibt 34 Antworten in diesem Thema, welches 21.298 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

  • Wenn Ihr unzufrieden seit mit dem eigentlich nicht vorhandenen Monitoring bzw. Logfileauswertung von Unifi guckt Euch mal Splunk an :smiling_face: http://www.splunk.com Ich setze gerade einen auf um meine kpl. Netzt zu monitoren und alles im Auge zu behalten. Da wir in der Firma die Enterpriseversion nutzen lag es nahe zuhause mal die Freeversion (limitiert auf icvh glaube 5 Gigabyte Logfiles / Tag) zu testen. Das Tool ist einfach nur brutal :smiling_face: Wir Monitoren damit 240 Rechenzentren, ca. 55000 Server , mehr als 100000 Switche, mehr als 400000 PCs und Switche auf alle möglichen Bedrohungen etc. Das Teil kann so gut wie alles Monitoren , ich glaub selbst meine Kaffeemaschine :smiling_face:

  • Graylog, Check MK, Nagios, Bloonix, Zabbix, Syslog, ach es gibt doch so viele meist kommt es nur drauf an was beim server unter dem blech ist damit es flüssig läuft.


    Und zu viel ist auch nicht gerade gut zu überwachen. Warum PCs vom Anwender? Oder Drucker?

  • Hab Splunk gerade mal im Docker auf meiner Synology installiert. Puhhh kompliziert und komplex wenn ich mir das näher anschaue. Gerade mal nen Ubiquiti Addon inzugefügt, aber dann hörts auf. Glaube das macht im privaten Umfeld auch weniger sinn. Auch wenn ich sowas interessant finde.

  • Wenn Ihr unzufrieden seit mit dem eigentlich nicht vorhandenen Monitoring bzw. Logfileauswertung von Unifi guckt Euch mal Splunk an :smiling_face: http://www.splunk.com Ich setze gerade einen auf um meine kpl. Netzt zu monitoren und alles im Auge zu behalten. Da wir in der Firma die Enterpriseversion nutzen lag es nahe zuhause mal die Freeversion (limitiert auf icvh glaube 5 Gigabyte Logfiles / Tag) zu testen. Das Tool ist einfach nur brutal :smiling_face: Wir Monitoren damit 240 Rechenzentren, ca. 55000 Server , mehr als 100000 Switche, mehr als 400000 PCs und Switche auf alle möglichen Bedrohungen etc. Das Teil kann so gut wie alles Monitoren , ich glaub selbst meine Kaffeemaschine :smiling_face:

    Auf Basis welcher Daten-Quellen macht es denn Sinn bzw. kann man denn ein vernünftiges Monitoring aufbauen?
    Wo gibt es denn dazu Schnittstellen? USG? Controller?

  • Graylog, Check MK, Nagios, Bloonix, Zabbix, Syslog, ach es gibt doch so viele meist kommt es nur drauf an was beim server unter dem blech ist damit es flüssig läuft.


    Und zu viel ist auch nicht gerade gut zu überwachen. Warum PCs vom Anwender? Oder Drucker?

    Die Tools die Du da nennst haben wir teilweise auch für "kleinere" Bereiche im Einsatz. Keines dieser Tools oder von mir auch alle zusammen kommt auch nur annähernd an Splunk ran. Alle die ECHTZEITANALYSE für Bedrohungen ist unglaublich. Das ist auch der Grund warum wir alles Pcs mit Überwachen. Hier sitzen ca. 150 Mitarbeiter in unserem Cyberiskteam und analysieren 24x7x365 alles an ankommt. Hintergrund ist das wir 2016 Opfer von Emotet wurden, wir konnten zwar mithilfe unserer Leuten binnen 24 Stunden alles wieder richten, aber ab da haben wir richtig geklotzt was Sicherheit angeht. Wir sammeln weltweit im Spoke-Hub Prinzip alles Daten ein und in der Zentrale werden die Daten dann in Echtzeit analysiert und Bedrohungen eingeschätzt. Mordsaufwand .-) aber seit dem nichts mehr passiert. Ist echt schon kacke wenn plötzlich in der Produktion die Roboterarme nach unten fahren und nix mehr machen.....

  • Splunk ist ein nettes Tool, wie haben das weltweit auch im Einsatz, die Lizenzkosten sind aber brutal, weil die sich jedes GByte Logfile bezahlen lassen, es macht auch für Analysen von Logs sehr viel sind.


    Wenn ich eine ordentliche Monitoringlösung für zuhause ( oder Firma ) möchte, würde ich eher Richtugn Grafana, Zabbix oder CheckMK schauen.

    Leider schafft ( oder es ist Absicht ) Unifi ja kein SNMP bei ihren Geräte. Ich hatte ja schon die Hoffung, da SNMP in der neuen Controller-Version aktivierbar ist, das nun was kommt - sieht aber noch schlecht aus.

  • Splunk ist ein nettes Tool, wie haben das weltweit auch im Einsatz, die Lizenzkosten sind aber brutal, weil die sich jedes GByte Logfile bezahlen lassen, es macht auch für Analysen von Logs sehr viel sind.


    Wenn ich eine ordentliche Monitoringlösung für zuhause ( oder Firma ) möchte, würde ich eher Richtugn Grafana, Zabbix oder CheckMK schauen.

    Leider schafft ( oder es ist Absicht ) Unifi ja kein SNMP bei ihren Geräte. Ich hatte ja schon die Hoffung, da SNMP in der neuen Controller-Version aktivierbar ist, das nun was kommt - sieht aber noch schlecht aus.

    ??? Ich frage alle meine Unifi Geräte schon immer via PRTG ab fürs Monitoring. Geht einwandfrei. SNMP hab ich im Controller an...

    • Offizieller Beitrag

    Wir bauen in der Firma gerade einen ElasticSearch-Custer mit Kibana (FrontEnd) und LogStash (zur Anreicherung von LogFiles) auf. Webseite

    Das Tool ist kostenlos für so viele Logs, wie nur irgend nötig. Erst mit Premium-Diensten wie Authentifizierung via Verzeichnis, Zugriffsbeschränkung auf die einzelnen Indexe und MachineLearning musst Du etwas bezahlen.

    Mit den kostenlosen "AddOns" meticbeat, filebeat und heartbeat-elastic auf den zu überwachenden Clients kannst Du auch bald Check_MK einpacken - das bezahlen wir (dienstlich) übrigens schon, seit dem es zu kaufen ist: sehr lange.

    Für das USG gibt es mittlerweile einen eigenen Beat-"Agenten", um die Firewall-Logs richtig hübsch grafisch auszuwerten. Das will ich auch haben / machen.

    So sehen meine UniFi-Komponenten im Check_MK (1.6.0p16 @ Ubuntu 18.04.5 LTS) aus:

    USG-Pro-4:

    USW-24P-250:

    USW-8 (schade, dass die Port-Namen hier nicht auch übernommen werden):

    UAP-AC-Pro-Gen2:

  • ??? Ich frage alle meine Unifi Geräte schon immer via PRTG ab fürs Monitoring. Geht einwandfrei. SNMP hab ich im Controller an...

    Die DreamMachine kanns aber nicht

  • Ich habe jetzt testweise mal bei mir Checkmk installiert.

    Switch und AP's lassen sich so überwachen. Seltsamerweise habe ich aber ein Firewall Problem.

    Habe verschiedene Netze und diese mit RFC1918 getrennt.

    Hab dann eine Regel erstellt die mir UDP Port 161 auf RFC 1918 zulässt. Geht aber leider nicht. Nur wenn ich die Block Regel 1918 deaktiviere funktioniert alles.

    Müssen hier weitere Ports freigeschalten werden?


    Netz AP und Switch --> 10.10.10.x

    Netz Monitoring --> 10.10.40.x


    Firewall Regeln bei LAN IN.

    Controller Version 6.2.26

    UDM Pro Firmware 1.9.3


    Danke und Gruss

    mAik

  • Hi,


    ich krame diesen Thread hier mal wieder raus. In unserem Unternehmen nutzen wir auch Splunk, persönlich habe ich mit dem Bereich allerdings keine Berührungspunkte. Dennoch möchte ich es gern bei mir zu Hause einsetzen und verstehen wie es funktioniert.


    Mein Problem ist nun, wo fange ich an. Ich habe hier einen Debian Server mit Docker und würde es gern als Container einrichten.


    Momentan nutze ich einen syslog-ng Docker Container und habe meine Unifi Network Application damit verbunden. Das funktioniert so weit auch super, allerdings fehlt mir die grafische Aufbereitung. Habe keine Lust mich da ständig durchzu’grep’en. Außerdem möchte ich gern verstehen, welche Auswirkungen Firmware Updates in meinem Netzwerk verursachen.


    Nachdem ich folgenden Beitrag im Firmware Release Thread UAP 6.0.14 gesehen habe, ist mir erneut bewusst geworden, dass ich das haben will:


    https://community.ui.com/releases/UAP-Firmware-6-0-14/1e6963e9-1ae5-427d-bfc1-5bb82d2457f2#comment/16cb8334-1a8a-4370-bb92-75a712097b8c


    In einem späteren Beitrag hat er dann nochmal geschrieben, dass er Splunk Enterprise (free version) einsetzt.


    Mittlerweile habe ich herausgefunden, dass es eine Community Version "Splunk Connect for Syslog (SC4S)" mit syslog-ng als Basis gibt.


    Wenn ich den folgenden Artikel nun richtig verstehe, ist das allerdings nur ein Connector, der dann die Daten per "Splunk HTTP event Collector (HEC)" an Splunk weiterleitet:


    Splunk Connect for Syslog


    Demnach brächte ich also zwei Docker Container:


    1. https://hub.docker.com/r/splunk/splunk
    2. https://hub.docker.com/r/splunk/scs


    Bei dem 1. Container handelt es sich um Splunk Enterprise. Bei der freien Version kann man anscheinend 5GB/Tag loggen. Das sollte für meine privaten Bedürfnisse ausreichen. Aber wie läuft das mit Docker bzw. Cloud? Werden meine Daten automatisch in die Cloud geschoben oder ist das Cloud Logging nur eine Alternative zu lokalem Logging? Will meine syslogs eigentlich nicht in die Cloud schieben.


    Bei dem 2. Container bin ich mit nicht sicher, ob das überhaupt der richtige ist.


    Andere Leute wiederum setzen statt SC4S lieber Cribl ein. Damit wird einem wohl eine ganze Menge Arbeit abgenommen, da man die syslog-ng Filter nicht mehr von Hand schreiben muss:


    Docker Hub


    Wenn ich es zum Laufen bekomme, erstelle ich dafür gern einen Wiki Beitrag. :winking_face:


    Ohne eure Unterstützung wird das aber gefühlt nichts. Wie habt ihr das eingerichtet?


    Viele Grüße Hoppel

    Einmal editiert, zuletzt von hoppel118 ()

  • Meinst du das Splunk das richtige Tool ist ?

    Wir nutzen in der Firma auch Splunk im grossen Umfang zum Auswerten von Firewall-Logs usw., aber für zuhause halte ich das überflüssig, da würde ich lieber auf ein Monitoring von Systemdaten wie Auslastung, CPU usw. setzen.


    Da sind wir aber wieder bei dem Punk, das die UDMPro keine funktionierende SMNP-Implementierung hat, somit fällt das ganze schon mal raus.


    Es gibt aber die Möglichkeit, über einen Node-Exporter Daten für Grafana auszuwerfen und dann dort anzuzeigen - ist ein Communityprojekt.

    Ich hab das mal damals angefangen und es auch zum laufen bekommen


    Da halte ich für einen sinnvollere Lösung, sich die Auslastung der Interface usw. grafisch über einen Zeitraum anzeigen zu lassen und ggf. Alarme damit zu generieren.

  • Das Monitoring der Auslastung, etc. könnte ich bereits über meine Hausautomatisierung umsetzen. Da ist das Unifi Zeugs schon per API angebunden. Da bei mir hier zu Hause aber so ziemlich alles überdimensioniert ist, ist die Auslastung eher uninteressant.


    Mir gehts wirklich darum meine syslogs zu konsolidieren und auswertbar zu machen. Ich will verstehen, wie sich die Logs in meinem Netzwerk verändern, wenn ich etwas umkonfiguriere oder Firmware Updates durchführe.


    Ich bin mir unsicher, ob Splunk die richtige Lösung ist, aber es geht in die richtige Richtung.


    Schau dir nochmal diesen Beitrag an:


    https://community.ui.com/releases/UAP-Firmware-6-0-14/1e6963e9-1ae5-427d-bfc1-5bb82d2457f2#comment/16cb8334-1a8a-4370-bb92-75a712097b8c


    So etwas will ich haben. Ich will verstehen, was genau in meinem Netzwerk passiert.

    Einmal editiert, zuletzt von hoppel118 ()

  • Ich bin mir unsicher, ob Splunk die richtige Lösung ist, aber es geht in die richtige Richtung.

    Ich kann mich mit Splunk nicht anfreunden, mir reicht, das wir den in der Firma haben, das würde ich mir zuhause mit Sicherheit nicht antun.

    Der Aufwand dafür steht in meinen Augen in keinen sinnvollen Verhältnis zum Nutzwert für mich im Privatumfeld.

    Die ganzen Logs bringen ja nichts, wenn man nicht ständig reinschaut und da habe ich ehrlich gesagt in der Freizeit keine Lust zu.


    Das ist aber leider ein Problem ( oder auch gewollt ) von Unifi, das Monitoring der System ist eher unterdurchschnittlich, was anderes ans das was an Grafen in der WebUI vorhanden ist , gibt es nicht.


    O.k. ich nutze keinen Unifi-Router ( UDMPro ) mehr, sondern OPNSense und da bin ich ziemlich verwöhnt.

    Die bietet nun mal erheblich mehr Monitoring-Möglichkeiten von Hause aus schon, ohne das man Zusatzsoftware installieren muss.Das was ich da über Grafana visualisiere, reicht mir als Überblick, ob nach einem Update etwas unrund läuft.

    Wenn das nicht reicht, kann ich per NetData auf einen gewaltige Anzahl von Echtzeitgrafen zugreifen und alleine die sind schon so aussagekräftig, das ich keine Logfiles mehr benötigt.

  • Evtl. hast du recht. Habe mich gerade nochmal zu Grafana begoogled und das Loki Syslog AIO Dashboard gefunden:


    Loki - Syslog AIO (All In One) dashboard for Grafana
    An example dashboard showing Loki ingested syslogs forwarded from syslog-ng. Part of my Loki Syslog All In One project.
    grafana.com


    Das sieht interessant aus. Dennoch möchte ich eine Möglichkeit erhalten, meine syslogs einfach auswerten zu können. Ich möchte also bspw. auf Basis von MAC- oder IP-Adressen die exakten Logs ermitteln können, um besser zu verstehen, was genau passiert ist.


    Ist das möglich oder kann man damit „nur“ Diagramme bauen?


    Gruß Hoppel

  • Ist das möglich oder kann man damit „nur“ Diagramme bauen?

    Kann ich nicht sagen.


    ich nutze Grafana bei mir nur für Standart-Daten wie CPU, Memory, Disk usw. was so Linux-System rauswerfen.


    Loki ist nett, aber ich habs mir noch nie genauer angesehen.