Syslog Intern/Extern -> Firewall

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Syslog Intern/Extern -> Firewall

Beitrag von COMCARGRU »

Hallo Zusammen,

eine Frage zum Verständnis: Habe da jetzt eine größere Umgebung, wo auf der Firewall Richtig Tango getanzt wird. Möchte also die Ereignisse auf einen Syslog-Server schicken.

In der Firewall selbst ist bei Aktionen nur der Haken Syslog zu setzen, aber dann haut er den ganzen Dreck auch auf den internen Syslog-Speicher des Lancom, weil ja im Syslog ein 127.0.0.1 Eintrag existiert (mit Router/Alert). Bei dem was da los ist, sind dann andere interessante Syslog-Meldungen schnell weg.

Wenn ich also die Firewall Events auf einem externen Syslog haben will, definiere ich diesen in der Tabelle mit Router + Alerts (und weiteren) und den Eintrag mit 127.0.0.1 der auf Router hört nehme ich raus? Sollte alles sein oder nicht?

Oder kann ich der Firewall Regel sagen explizit nur die Events an den externen Syslog zu senden. Das hätte ich dann nicht gefunden.


Danke
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Syslog Intern/Extern -> Firewall

Beitrag von Jirka »

Hallo COMCARGRU,
COMCARGRU hat geschrieben: 14 Nov 2018, 17:17Wenn ich also die Firewall Events auf einem externen Syslog haben will, definiere ich diesen in der Tabelle mit Router + Alerts (und weiteren) und den Eintrag mit 127.0.0.1 der auf Router hört nehme ich raus? Sollte alles sein oder nicht?
korrekt. Oder Du nimmst die Priorität/Severity für die 172.0.0.1 etwas runter, also Alarm raus. Den niedrigsten Level Information (von Debug abgesehen) sollte man (bei Quelle Router, wie oben geschrieben) aber auch aus haben, da kommt ja nur regelmäßig die kaum aussagekräftige IP-Router-Service-Tabelle. Übrig bleiben dann allerdings nur die Level Fehler und Warnung, bei denen die Quelle/Facility Router glaube ich nicht wirklich was ausgibt. Schade übrigens, denn warum die ewigen "connection refused"-Meldungen dem Level Alarm entsprechen weiß vermutlich niemand, hier wäre Warnung meiner Ansicht nach völlig ausreichend und wesentlich sinnvoller. Genauso wie man in der Firewall-Regel normal eigentlich angeben können sollte, mit welcher Priorität/Severity die Meldung erzeugt wird, schließlich ist nicht jede Firewall-Regel wenn sie greift ein Alarm und trotzdem will man möglicherweise wissen, ob sie mal gegriffen hat.

Viele Grüße,
Jirka
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: Syslog Intern/Extern -> Firewall

Beitrag von COMCARGRU »

Top!

Danke.....
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Antworten