allgemeines zu syslog servern

[robort]

Hallo,

ich habe absolut keine Erfahrung mit dem Thema syslog server, trotzdem möchte ich einen haben

Zum Verständnis:
- nur für Switche (im 1. Schritt) später eventuell Router und Server.
- Zahlen: ca. 350 Switche, ca. 20 Router und andere Sondergeräte, ca. 150 Server

Jetzt weiß ich nicht wie ich an die Sache rangehen soll. Welche Dimensionen muss der Server haben um mit der Datenflut zurecht zukommen? Welches Level wäre sinnvoll (es soll ja nicht jeder müll geloggt werden)? Tools zum Auswerten?

Ich bin auch über Links zu Büchern oder I-Net seiten dankbar.

 

[Gulliver]

Die manpage auf deinem (syslog) system gibt dir alle Infos die du brauchst.

Am besten legst du dir zurecht WAS genau du loggen willst.
So kannst du in etwa errechnen was du an traffic hast und wie es mit deinen Verbindungen steht.

Wenn du nachrichten haendisch definieren kannst, kannste ja bequem loggen.

Ich habe als Beispiel als log gruppen ACCT und PPP in einem syslog system, welches NUR diese beiden messages von einer XMP auf nen syslogd schiebt.
Dabei mit folgender Methode, aus syslog.conf

!!prog causes the subsequent block to abort evaluation when a message
matches, ensuring that only a single set of actions is taken. !* can be
used to ensure that any ensuing blocks are further evaluated (i.e. can-
celling the effect of a !prog or !!prog).

...
!!ACCT
*.* /var/log/accounting
!!PPP
*.* /var/log/accounting
!*
...

..die syslog syntax ist wirklich aetzend..

Andere geraete laufen ins normale messages file.

Fuer Auswertungen empfehlen sich immer eigene scripte, vor allem wenn man es mit einer solchen Anzahl von geraeten zu tun hat.

In diesem Falle sed, awk, perl und shell scripting

 

[robort]

Erstmal danke für die Antwort

Original von Gulliver
Die manpage auf deinem (syslog) system gibt dir alle Infos die du brauchst.

bis jetzt hab ich noch keins ausgewählt. Gibt es da Systeme die du mir empfehlen würdest?

 

[Gulliver]

bis jetzt hab ich noch keins ausgewählt. Gibt es da Systeme die du mir empfehlen würdest?

Ich verwende auf nahezu allen Systemen OpenBSD, mit einer PF konfiguration die
den syslog zugriff nur auf bestimmte Maschinen beschraenkt.

Das gleiche funktioniert natuerlich auch mit Linux und netfilter.

 

[robort]

Original von Gulliver
Ich verwende auf nahezu allen Systemen OpenBSD, mit einer PF konfiguration die
den syslog zugriff nur auf bestimmte Maschinen beschraenkt.

Also nutzt du den im OpenBSD integrierten syslog server!?

Danke erstmal

P.S.: bin noch offen für andere anregungen

 

[Gulliver]

Also nutzt du den im OpenBSD integrierten syslog server!?

Ja

Es gibt natuerlich noch alternativen- die findest du schnell mit google

 

[robort]

Ich hab richtig auf den hinweis zu Google gewartet nur wenn man nicht so richtig weiß wonach man suchen soll kommt man mit der Informationsflut schwer zurecht. Und es dauert ewig bis man sich brauchbare Informationen zusammengesucht hat (vor allem wenn man auf so noobige Themen trifft, wie das was ich hier erstellt habe )

gruß robort

 

[bitmuncher]

Ich nutze anstatt dem klassischen Syslog für sowas unter Linux prinzipiell den Syslog-NG, für den es unter http://www.wikidorf.de/reintechnisch/Inhalt/SyslogNGEinfuehrung eine recht gute Einführung gibt. Eine deutschsprachige Referenz gibt es unter http://home.datacomm.ch/prutishauser/texte/syslog-ng-de.txt