[HaBo]

robort · 18.09.07, 11:36

Hallo,

ich habe absolut keine Erfahrung mit dem Thema syslog server, trotzdem möchte ich einen haben :)

Zum Verständnis:
- nur für Switche (im 1. Schritt) später eventuell Router und Server.
- Zahlen: ca. 350 Switche, ca. 20 Router und andere Sondergeräte, ca. 150 Server

Jetzt weiß ich nicht wie ich an die Sache rangehen soll. Welche Dimensionen muss der Server haben um mit der Datenflut zurecht zukommen? Welches Level wäre sinnvoll (es soll ja nicht jeder müll geloggt werden)? Tools zum Auswerten?

Ich bin auch über Links zu Büchern oder I-Net seiten dankbar.

18.09.07, 13:16

Die manpage auf deinem (syslog) system gibt dir alle Infos die du brauchst.

Am besten legst du dir zurecht WAS genau du loggen willst.
So kannst du in etwa errechnen was du an traffic hast und wie es mit deinen Verbindungen steht.

Wenn du nachrichten haendisch definieren kannst, kannste ja bequem loggen.

Ich habe als Beispiel als log gruppen ACCT und PPP in einem syslog system, welches NUR diese beiden messages von einer XMP auf nen syslogd schiebt.
Dabei mit folgender Methode, aus syslog.conf

Zitat:

!!prog causes the subsequent block to abort evaluation when a message
matches, ensuring that only a single set of actions is taken. !* can be
used to ensure that any ensuing blocks are further evaluated (i.e. can-
celling the effect of a !prog or !!prog).

...
!!ACCT
*.* /var/log/accounting
!!PPP
*.* /var/log/accounting
!*
...

..die syslog syntax ist wirklich aetzend..

Andere geraete laufen ins normale messages file.

Fuer Auswertungen empfehlen sich immer eigene scripte, vor allem wenn man es mit einer solchen Anzahl von geraeten zu tun hat.

In diesem Falle sed, awk, perl und shell scripting

Anzeige

- Anzeige -

robort · 18.09.07, 13:21

Erstmal danke für die Antwort

Zitat:

Original von Gulliver
Die manpage auf deinem (syslog) system gibt dir alle Infos die du brauchst.

bis jetzt hab ich noch keins ausgewählt. Gibt es da Systeme die du mir empfehlen würdest?

18.09.07, 13:24

Zitat:

bis jetzt hab ich noch keins ausgewählt. Gibt es da Systeme die du mir empfehlen würdest?

Ich verwende auf nahezu allen Systemen OpenBSD, mit einer PF konfiguration die
den syslog zugriff nur auf bestimmte Maschinen beschraenkt.

Das gleiche funktioniert natuerlich auch mit Linux und netfilter.

robort · 18.09.07, 14:14

Zitat:

Original von Gulliver
Ich verwende auf nahezu allen Systemen OpenBSD, mit einer PF konfiguration die
den syslog zugriff nur auf bestimmte Maschinen beschraenkt.

Also nutzt du den im OpenBSD integrierten syslog server!?

Danke erstmal

P.S.: bin noch offen für andere anregungen

18.09.07, 15:04

Zitat:

Also nutzt du den im OpenBSD integrierten syslog server!?

Ja

Es gibt natuerlich noch alternativen- die findest du schnell mit google

robort · 18.09.07, 15:12

Ich hab richtig auf den hinweis zu Google gewartet

nur wenn man nicht so richtig weiß wonach man suchen soll kommt man mit der Informationsflut schwer zurecht. Und es dauert ewig bis man sich brauchbare Informationen zusammengesucht hat (vor allem wenn man auf so noobige Themen trifft, wie das was ich hier erstellt habe :-) )

gruß robort

**bitmuncher** · 18.09.07, 16:10

Ich nutze anstatt dem klassischen Syslog für sowas unter Linux prinzipiell den Syslog-NG, für den es unter http://www.wikidorf.de/reintechnisch...gNGEinfuehrung eine recht gute Einführung gibt. Eine deutschsprachige Referenz gibt es unter http://home.datacomm.ch/prutishauser...slog-ng-de.txt

Anzeige

- Anzeige -

18.09.07, 11:36	#1 (permalink)
robort Registriert seit: 13.03.06 Likes: 0	allgemeines zu syslog servern Anzeige Hallo, ich habe absolut keine Erfahrung mit dem Thema syslog server, trotzdem möchte ich einen haben :) Zum Verständnis: - nur für Switche (im 1. Schritt) später eventuell Router und Server. - Zahlen: ca. 350 Switche, ca. 20 Router und andere Sondergeräte, ca. 150 Server Jetzt weiß ich nicht wie ich an die Sache rangehen soll. Welche Dimensionen muss der Server haben um mit der Datenflut zurecht zukommen? Welches Level wäre sinnvoll (es soll ja nicht jeder müll geloggt werden)? Tools zum Auswerten? Ich bin auch über Links zu Büchern oder I-Net seiten dankbar.

18.09.07, 16:10	#8 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Ich nutze anstatt dem klassischen Syslog für sowas unter Linux prinzipiell den Syslog-NG, für den es unter http://www.wikidorf.de/reintechnisch...gNGEinfuehrung eine recht gute Einführung gibt. Eine deutschsprachige Referenz gibt es unter http://home.datacomm.ch/prutishauser...slog-ng-de.txt __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HaboLinux allgemeines	oiermann	HaBo-Linux	105	20.11.07 10:02
Allgemeines Programmierproblem	Mana	Code Kitchen	9	31.08.06 14:01
Authentifizierung bei FTP servern	schmidtl_dd	(In)security allgemein	1	22.12.05 14:13
Sicherheitslecks in Linux-Servern	Sr01	News & Ankündigungen	1	20.02.04 20:58
Allgemeines LAN Party Problem	Tschinder	Virenschutz · Tools & Aggressive Software	10	29.08.03 23:01

18.09.07, 15:12	#7 (permalink)
robort Themenstarter Registriert seit: 13.03.06 Likes: 0	Ich hab richtig auf den hinweis zu Google gewartet nur wenn man nicht so richtig weiß wonach man suchen soll kommt man mit der Informationsflut schwer zurecht. Und es dauert ewig bis man sich brauchbare Informationen zusammengesucht hat (vor allem wenn man auf so noobige Themen trifft, wie das was ich hier erstellt habe :-) ) gruß robort

[HaBo]

allgemeines zu syslog servern