welchen Syslog Viewer nutzt Ihr?

Deine Frage hat mich inspiriert einen WIKI Eintrag zu tätigen bezüglich syslog. Um deine Frage jedoch zu beantworten, ich bin eher der shell typ und arbeite mit rsyslog!

Zitat von Nukite

Habt Ihr einen Tipp für einen einfach zu installierenden SYSLOG Server der ein entsprechendes Dashboard liefert?

Bei der LANCOM zum Beispiel gibt es im Dashboard keine Ansicht, der anzeigt, welcher Client eine geblockte Webseite aufgerufen hat. (Proxyserver ist aktiviert)

Danke Euch

Guten Abend,

ich nutze das Protokollcenter meines NAS auch nur zum Sammeln der Nachrichten. Zur Aufbereitung der Informationen kann Dir meiner Meinung nach das Protokullcenter nicht richtig helfen. Dazu braucht es dann schon ein Dashboard wie bei Grafana oder Kibana oder Splunk. Reines syslog wird das nicht leisten können. Dafür ist es meines Wissens nach nicht gedacht gewesen.

Zitat von Nukite

Habt Ihr einen Tipp für einen einfach zu installierenden SYSLOG Server der ein entsprechendes Dashboard liefert?

Ich benutze Graylog auf einem Ubuntu Server, der als LXC auf einem Proxmox Server läuft und bin damit sehr zufrieden.

Die Installation war nicht sehr schwierig, ich bin nach dieser Anleitung https://go2docs.graylog.org/5-…/ubuntu_installation.html vorgegangen.

Die Installation besteht aus folgenden Schritten:

• MongoDB installieren
• OpenSearch (das habe ich genommen) oder Elasticsearch installieren
• Graylog installieren und konfigurieren

Aber ob die Installation einfach ist, muss wohl jeder für sich selbst entscheiden, in der Anleitung ist eigentlich alles beschrieben, wenn man sich daran hält, sollte man es zum laufen bekommen.

Zitat von Nukite

Hab grad gesehen, dass es mit PRTG auch möglich sein soll und bis zu 100 Sensoren wäre es kostenfrei.

Hhhm, Du kannst es ja mal probieren (die 100 Sensoren sind aber schnell alle ).

Grundsätzlich kann PRTG aber auch nur einsammeln, was die Hosts selbst z.B. per SMNP oder WMI (Windows) preisgeben wollen, es sei denn man installiert auf dem Host einen Sensor mit erweiterten und auf das jeweilige OS, bzw. die Hardware abgestimmten Funktionsumfang. Hier ist dann aber bei der Community Variante von PRTG die Auswahl ein wenig beschränkt.

Schwierig wird es dann jedoch bei gehärteten OS, wie z.B. bei Firewallroutern, diese lassen oft die Installation eines Sensors nicht zu. Allerdings liefern höherpreisige Appliance neben den üblichen Daten per SMNP (CPU, Speicher, Laufwerke, Netzwerkauslastung, etc.) auch tiefergehende Einsichten per Netflow (ursprünglich von Cisco stammend), welche PRTG auch in der Community Variante auswerten kann, aber dann gezwungener Maßen so darstellt:

Ob Deine Lancom das Netflow-Protokoll beherrscht und ob die Darstellung von PRTG Dir genügt, musst Du halt ausprobieren Ich bin jedenfalls von PRTG wieder weg und verwende z.Z. Checkmk:

Das ist zwar etwas schwieriger zu händeln, jedoch ressourcenschonender, läuft in einer kleinen Linux-VM und lässt sich sehr schön und leicht mit Grafana verheiraten. Aber auch Checkmk kann Netflow auswerten, allerdings nur gegen extra Geld, deshalb lasse ich das sein.

Geht es um Stats oder Logs?

Zitat von Nukite

es geht um Logs.. In erster Linie, dass Regelverstöße - zum Beispiel geblockte Webseitenaufrufe - dargestellt werden können und zwar inklusive der Verursacher-IP.

Im Dashboard der LANCOM gibt's zwar eines, das zeigt aber nur die geblockten Webseiten oder IPs an - ohne den Verursacher.

Ein ganz klein wenig OFFTOPIC, ABER: Denk' dran, wenn Du das in einem betrieblichen Umfeld machen solltest, dass Du Dich da unter Umständen auf sehr dünnem Eis bewegst und unbedingt eine Freigabe von oben (GF) dafür einholen solltest. Auch müssen die "überwachten Surfer" darüber informiert werden - wie detailiert auch immer.