Hi zusammen,
ich suche gerade einen Mini-PC, der 24/7 läuft, und auf dem ich meine Syslogs speichern kann - gar nicht so einfach!
Da stellt sich mir die Frage, wieso das Lancom sowas nicht selber kann. Also: umwandeln der Syslog-Daten in ein Datenbankformat und Ausgabe als Datei (alle xxx MB wird die Datei "zugemacht" und verschickt, ich weiß, der Speicher ist nicht so gross).
Vorteil: das Ganze liesse sich auch auf einem NAS speichern, ohne daß dort ein syslog-client laufen muss. Oder vermailen. Eine Datei ist jedenfalls einfacher zu verarbeiten als ein Stream.
Ginge sowas?
Schöne Grüsse,
Pat
Syslog
Moderator: Lancom-Systems Moderatoren
Moin,
also nichts ist einfacher, als auf einem Linux dem
Syslog-Server(!) zu sagen, daß er auch Syslog-Pakete
von außen annehmen soll - ein schlichtes '-r' erlaubt
das...
bei dem Server ankommen würden (wenn so ein Block
voll ist), zum anderen habe ich nicht die mindeste Lust,
mich auf Diskussionen einzulassen, was das denn für
ein Format sein soll...
Gruß Alfred
also nichts ist einfacher, als auf einem Linux dem
Syslog-Server(!) zu sagen, daß er auch Syslog-Pakete
von außen annehmen soll - ein schlichtes '-r' erlaubt
das...
Zum einen hieße das, daß die Meldungen erst verzögertDa stellt sich mir die Frage, wieso das Lancom sowas nicht selber kann. Also: umwandeln der Syslog-Daten in ein Datenbankformat und Ausgabe als Datei (alle xxx MB wird die Datei "zugemacht" und verschickt, ich weiß, der Speicher ist nicht so gross).
bei dem Server ankommen würden (wenn so ein Block
voll ist), zum anderen habe ich nicht die mindeste Lust,
mich auf Diskussionen einzulassen, was das denn für
ein Format sein soll...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Schon klar, das klappt ja auch auf meinem PC. Nur will ich den nicht rund um die Uhr laufen lassen.alf29 hat geschrieben:Moin,
also nichts ist einfacher, als auf einem Linux dem
Syslog-Server(!) zu sagen, daß er auch Syslog-Pakete
von außen annehmen soll
Ich dachte in meinem kleinen Hirn eher an so ne Art Kiwi Syslog, auf dem Lancom installiert.
Es gab hier ja auch schon mehrere Requests, die Logs auf USB Sticks zu speichern. Ich denke mal, das Ziel ist immer dasselbe: nicht einen extra Log-Server 24/7 laufen lassen zu müssen.
Und, ob das Ganze realtime oder verzögert (durchs Datei-Schreiben) ist, kann jeder selbst entscheiden. Vielleicht könnte das Syslog Feature ja auch unterscheiden, z.B.: Warnmeldungen etc gehen realtime an eine IP, Packet Infos in die Datei.
Nur so ins Blaue gedacht...
Schöne Grüsse!
Pat
Router: LANCOM 1781 VAW / Public Spot-Option
L-54g und L-321agn als Zusatz-APs
L-54g und L-321agn als Zusatz-APs
Moin,
für FAT-Filesysteme im LCOS zu haben - und wann der
kommt, weiß ich beim besten Willen nicht...
Gruß Alfred
Dazu wäre es erstmal eine Voraussetzung, SupportEs gab hier ja auch schon mehrere Requests, die Logs auf USB Sticks zu speichern.
für FAT-Filesysteme im LCOS zu haben - und wann der
kommt, weiß ich beim besten Willen nicht...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Syslog
hallo alf,
hatte gerade den selben wunsch - logfiles auf dem usb stick ablegen.
wenn lcos kein fat kann - kann es dann nicht den stick selber im eigen schema formatieren?
auf jeden fall waeren langfristige logs auch OHNE syslog server sehr sinnvoll.
netter gruss
tom
p.s. der wunsch ist eh 7 jahre alt - geht es denn schon und ich hab nicht gefunden wie?
hatte gerade den selben wunsch - logfiles auf dem usb stick ablegen.
wenn lcos kein fat kann - kann es dann nicht den stick selber im eigen schema formatieren?
auf jeden fall waeren langfristige logs auch OHNE syslog server sehr sinnvoll.
netter gruss
tom
p.s. der wunsch ist eh 7 jahre alt - geht es denn schon und ich hab nicht gefunden wie?
Re: Syslog
Hi,
Die meisten Kunden werden wohl einen Log-Server einfach als Dienst auf einem ihrer bestehenden Server mitlaufen lassen.
Gruß
Und womit möchtest du das hypothetische LCOS-FS lesen?wenn lcos kein fat kann - kann es dann nicht den stick selber im eigen schema formatieren?
Die meisten Kunden werden wohl einen Log-Server einfach als Dienst auf einem ihrer bestehenden Server mitlaufen lassen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Syslog
ganz einfach mit dem lancom selbst - der sie dann z.b. ueber das webinterface anzeigen kann, als komprimierten download anbietet oder oder oder ...
p.s. dieses argument mit 'die meisten kunden' ist immer ein bisserl das totschlag-argument gegen alles. kann mich noch gut erinnern dass das damals auf dem nokia developer forum auch oft kam. lustigerweise waren viele der vorschlaege dann nur 2 jahre spaeter im iphone umgesetzt und der gigant nokia nur wenige jahre spaeter komplett platt. offenbar war dann die 'randgruppe' doch ein wenig groesser als vermutet
p.s. dieses argument mit 'die meisten kunden' ist immer ein bisserl das totschlag-argument gegen alles. kann mich noch gut erinnern dass das damals auf dem nokia developer forum auch oft kam. lustigerweise waren viele der vorschlaege dann nur 2 jahre spaeter im iphone umgesetzt und der gigant nokia nur wenige jahre spaeter komplett platt. offenbar war dann die 'randgruppe' doch ein wenig groesser als vermutet
Re: Syslog
Hi,
Ich wollte dir lediglich mitteilen für wie ich wahrscheinlich ich eine zeitnahe Umsetzung halte.
Wenn du dich so gut auskennst bitte ich dich um eine Einschätzung wieviel Entwicklerzeit die Umsetzung eines solchen Features brauchen würde.
Gruß
Ich wollte dir lediglich mitteilen für wie ich wahrscheinlich ich eine zeitnahe Umsetzung halte.
Wenn du dich so gut auskennst bitte ich dich um eine Einschätzung wieviel Entwicklerzeit die Umsetzung eines solchen Features brauchen würde.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Syslog
Man kann auf jedem 0815 Linux seine Syslog Messages abladen, das kann also auch ein NAS oder sonst was kleines an Rechner sein.
Das LANCOM selbst kann Syslog Messages im Webinterface bis zu einer gewissen Anzahl anzeigen. Die genaue Grenze ist mir nicht bekannt, aber auf meinem 1781EF+ sind es aktuell ueber 13000 Eintraege. Diese reichen bis zum April 2015 zurueck. Kannst ja die Eintraege aus dem Webinterface kopieren und z.B. in Excel importieren.
Ciao
LoUiS
P.S.: Ausserdem, wuenschen kannst Du dir natuerlich alles. Wir sammeln das und setzen um was machbar und sinnvoll ist.
Das LANCOM selbst kann Syslog Messages im Webinterface bis zu einer gewissen Anzahl anzeigen. Die genaue Grenze ist mir nicht bekannt, aber auf meinem 1781EF+ sind es aktuell ueber 13000 Eintraege. Diese reichen bis zum April 2015 zurueck. Kannst ja die Eintraege aus dem Webinterface kopieren und z.B. in Excel importieren.
Ciao
LoUiS
P.S.: Ausserdem, wuenschen kannst Du dir natuerlich alles. Wir sammeln das und setzen um was machbar und sinnvoll ist.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Syslog
hi louis,
ja - eh klar - hier im hauptbuero koennt ich es auf einem der macmini server die immer laufen ablegen. in den aussenbueros laeuft halt nix 24/7 - und nur fuer diesen zweck faend ich es echt energieverschwendung. deshalb die frage - weil es fuer uns hier prima ware. alternativ frage ich mich ob nicht auch automatisch komprimiertes abspeichern im lancom moeglich waere da logfiles dieser art sicher nur noch ein hunderstel der original-groesse an speicherplatz brauchen wuerden ...
anyway - muss ich halt bei den zu loggenden events ein bisserl mehr knausern. ich hatte einfach das lancom script (https://www2.lancom.de/kb.nsf/1276/1C0A ... enDocument) ausgefuehrt dass das logging einrichtet. hier scheinen einige dinge dabei zu sein die nicht wirklich sicherheitsrelevant sind. weisst du vielleicht andere scripts die nur die grundsaetzlichsten alarme und warnungen einstellen - ohne dass ich mich jetzt stundenlang mit den details der schier unendlichen moeglichkeiten des lancom syslogs zu beschaeftigen?
netter gruss
tom
p.s. genau so war es gemeint
p.p.s. natuerlich hab ich auch gesehen dass ich bei den vom script eingetragenen events aenderungen vornehmen kann und alles im level debug und notice rauswerfen kann. aber vielleicht gibts ja was fertiges (das einer mit mehr durchblick als ich) fuer die standard sicherheitsrelevanten ereignisse zusammengestellt hat ...
ja - eh klar - hier im hauptbuero koennt ich es auf einem der macmini server die immer laufen ablegen. in den aussenbueros laeuft halt nix 24/7 - und nur fuer diesen zweck faend ich es echt energieverschwendung. deshalb die frage - weil es fuer uns hier prima ware. alternativ frage ich mich ob nicht auch automatisch komprimiertes abspeichern im lancom moeglich waere da logfiles dieser art sicher nur noch ein hunderstel der original-groesse an speicherplatz brauchen wuerden ...
anyway - muss ich halt bei den zu loggenden events ein bisserl mehr knausern. ich hatte einfach das lancom script (https://www2.lancom.de/kb.nsf/1276/1C0A ... enDocument) ausgefuehrt dass das logging einrichtet. hier scheinen einige dinge dabei zu sein die nicht wirklich sicherheitsrelevant sind. weisst du vielleicht andere scripts die nur die grundsaetzlichsten alarme und warnungen einstellen - ohne dass ich mich jetzt stundenlang mit den details der schier unendlichen moeglichkeiten des lancom syslogs zu beschaeftigen?
netter gruss
tom
p.s. genau so war es gemeint
p.p.s. natuerlich hab ich auch gesehen dass ich bei den vom script eingetragenen events aenderungen vornehmen kann und alles im level debug und notice rauswerfen kann. aber vielleicht gibts ja was fertiges (das einer mit mehr durchblick als ich) fuer die standard sicherheitsrelevanten ereignisse zusammengestellt hat ...
Re: Syslog
Hallo,
Aber wo ist das Problem? Du kannst doch nach Quellen (8 insgesamt) und Prios (5 insgesamt) alles passend einstellen. Da bist Du in 2 Min. mit durch. Wenn Du wenig Syslog-Meldungen haben willst, dann fällt Information raus, Debug sowieso. Dann bleiben noch die Prios Alarm, Fehler und Warnung. Da kannst Du dann je nach Quelle individuell entscheiden. Wenn Du kein Accounting möchtest oder brauchst, dann lass es einfach weg. Dann schaust Du Dir noch die anderen Quellen an und schon bist Du fertig. Dafür brauch man kein Script, oder nur, wenn man das regelmäßig machen muss und sich die Tipparbeit sparen will.
Viele Grüße,
Jirka
23.000 sind es. (Bei den neueren Geräten.)LoUiS hat geschrieben:Die genaue Grenze ist mir nicht bekannt, aber auf meinem 1781EF+ sind es aktuell ueber 13000 Einträge.
Du stellst Dich aber auch an... Wozu gibt es VPN-Verbindungen?! Bei mir landen alle Syslogs in den jeweiligen Zentralen... (oder bei mir)tom63 hat geschrieben:ja - eh klar - hier im Hauptbüro könnt ich es auf einem der macmini server, die immer laufen, ablegen. In den Außenbüros läuft halt nix 24/7 - und nur für diesen Zweck fänd ich es echt Energieverschwendung.
Ich habe zwar jede Menge Scripts, aber die sind nur, um mir vielleicht 30 Sekunden Tipparbeit zu ersparen...tom63 hat geschrieben:Weißt du vielleicht andere Scripts die nur die grundsätzlichsten Alarme und Warnungen einstellen - ohne dass ich mich jetzt stundenlang mit den Details der schier unendlichen Möglichkeiten des Lancom Syslogs zu beschäftigen?
Aber wo ist das Problem? Du kannst doch nach Quellen (8 insgesamt) und Prios (5 insgesamt) alles passend einstellen. Da bist Du in 2 Min. mit durch. Wenn Du wenig Syslog-Meldungen haben willst, dann fällt Information raus, Debug sowieso. Dann bleiben noch die Prios Alarm, Fehler und Warnung. Da kannst Du dann je nach Quelle individuell entscheiden. Wenn Du kein Accounting möchtest oder brauchst, dann lass es einfach weg. Dann schaust Du Dir noch die anderen Quellen an und schon bist Du fertig. Dafür brauch man kein Script, oder nur, wenn man das regelmäßig machen muss und sich die Tipparbeit sparen will.
Viele Grüße,
Jirka
Re: Syslog
hallo jirka,
wie immer von dir - eine antwort die wirklich hilft dankeschoen
genau das mit dem uebers vpn hab ich mir vorher auch ueberlegt. nur bin ich mir als laie unsicher ob ich dann nicht grad das wichtige verpass - wenn das vpn dabei unterbrochen wurde. vielleicht aber unnoetige bedenken ...
hast eigentlich voellig recht - 8 quellen und die level einstellen ist wenn ich jetzt so drueber nachdenk echt kein hexenwerk. was mich eben ein bissl irritiert hat ist dass das lancom-script bei system sogar debug als level setzt und dann wieder info nicht. an anderen stellen wieder alles moegliche - aber die ernsten level wie alert und warning nicht. die logik dahinter kapier ich nicht.
wenn ichs dir nachmachen wuerde waere aber ein macmini server mit osx 10.10 mein favorit. was wuerdest du denn da als syslog server nehmen und mit welchem tool die logs ansehen/auswerten bzw. email warnungen versenden?
netter gruss ausm muenchner umland
tom
p.s. du hattest mal nach den kontaktdaten gefragt - da ging das pn und mail nicht - habs jetzt grad nochmal geschickt
wie immer von dir - eine antwort die wirklich hilft
dankeschoengenau das mit dem uebers vpn hab ich mir vorher auch ueberlegt. nur bin ich mir als laie unsicher ob ich dann nicht grad das wichtige verpass - wenn das vpn dabei unterbrochen wurde. vielleicht aber unnoetige bedenken ...
hast eigentlich voellig recht - 8 quellen und die level einstellen ist wenn ich jetzt so drueber nachdenk echt kein hexenwerk. was mich eben ein bissl irritiert hat ist dass das lancom-script bei system sogar debug als level setzt und dann wieder info nicht. an anderen stellen wieder alles moegliche - aber die ernsten level wie alert und warning nicht. die logik dahinter kapier ich nicht.
wenn ichs dir nachmachen wuerde waere aber ein macmini server mit osx 10.10 mein favorit. was wuerdest du denn da als syslog server nehmen und mit welchem tool die logs ansehen/auswerten bzw. email warnungen versenden?
netter gruss ausm muenchner umland
tom
p.s. du hattest mal nach den kontaktdaten gefragt - da ging das pn und mail nicht - habs jetzt grad nochmal geschickt
Re: Syslog
Hi,
Viele Grüße,
Jirka
nun ja, die Bedenken sind schon richtig. Steht die VPN-Verbindung nicht, kommen auch keine Syslogs. D. h. also auch, dass die allerersten Meldungen, bevor die VPN-Verbindung aufgebaut wird, grundsätzlich nicht übermittelt werden. Aber das stellt im Normalfall nur einen geringen Informationsverlust dar, und ist dann ja - für eine gewisse Zeit - noch im Gerät verfügbar. Wenn die VPN-Verbindung nicht aufgebaut werden kann, was ja eigentlich sehr selten der Fall ist, dann bekommt man ja üblicherweise Fehler-E-Mails. Wenn die Zentrale über zwei WAN-Verbindungen verfügt, geht man mit der VPN natürlich als Backup auch über die 2. WAN-Verbindung. Kann eine VPN doch mal nicht aufgebaut werden, weil z. B. eine Providerstörung auf der Gegenseite (Außenstelle) vorliegt, dann kann man den Syslog-Output reduzieren, indem man die VPN einfach als Dynamic-VPN von der Gegenseite aufbauen lässt. So hat man bei längeren Störungen nicht so unendlich viele, immer wieder gleiche Fehlermeldungen, dass die VPN nicht aufgebaut werden konnte.tom63 hat geschrieben:unsicher, ob ich dann nicht grad das Wichtige verpass - wenn das VPN dabei unterbrochen wurde. Vielleicht aber unnötige Bedenken...
Keine Ahnung, was man sich dabei gedacht hat. Fakt ist aber auch, dass es aus manchen Quellen gewisse Prios gar nicht gibt, und dass manche Meldungen in der nächstniedrigeren Prio noch mal genauso ausgegeben werden. Aber das siehst Du dann schon. Quelle und Prio sind ja immer angegeben.tom63 hat geschrieben:Die Logik dahinter kapier ich nicht.
Ich habe keine Apple-Server zu laufen. Unter Windows nehme ich seit Jahren den Kiwi Syslog Server (mit dem kann man, z. B. über ein Webinterface auch betrachten, aber meist ist auch der Kiwi Log Viewer sinnvoll, Warnungen verschickt der Syslog Server auch). Den kombiniere ich mit PRTG und den Meldungen vom LANCOM selber. Mit dem Kiwi Syslog Server kann man professionell bestimmte Syslog-Meldungen (z. B. CDRs) in bestimmte Dateien speichern. Da ist also jede Menge möglich.tom63 hat geschrieben:Was würdest du denn da als Syslog-Server nehmen und mit welchem Tool die Logs ansehen/auswerten bzw. E-Mail-Warnungen versenden?
Jo, da wollte ich Dir den VPN-Client perfekt installieren, bzw. Alternativen aufzeigen. Das hat sich ja aber nun schon erledigt, ne? Diese Woche ist bei mir auch schon voll.tom63 hat geschrieben:p.s. du hattest mal nach den kontaktdaten gefragt - da ging das pn und mail nicht - habs jetzt grad nochmal geschickt
Viele Grüße,
Jirka