Syslog

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
pat4fly
Beiträge: 91
Registriert: 23 Feb 2007, 21:46

Syslog

Beitrag von pat4fly »

Hi zusammen,

ich suche gerade einen Mini-PC, der 24/7 läuft, und auf dem ich meine Syslogs speichern kann - gar nicht so einfach!

Da stellt sich mir die Frage, wieso das Lancom sowas nicht selber kann. Also: umwandeln der Syslog-Daten in ein Datenbankformat und Ausgabe als Datei (alle xxx MB wird die Datei "zugemacht" und verschickt, ich weiß, der Speicher ist nicht so gross).

Vorteil: das Ganze liesse sich auch auf einem NAS speichern, ohne daß dort ein syslog-client laufen muss. Oder vermailen. Eine Datei ist jedenfalls einfacher zu verarbeiten als ein Stream.

Ginge sowas?

Schöne Grüsse,
Pat
Router: LANCOM 1781 VAW / Public Spot-Option
L-54g und L-321agn als Zusatz-APs
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

also nichts ist einfacher, als auf einem Linux dem
Syslog-Server(!) zu sagen, daß er auch Syslog-Pakete
von außen annehmen soll - ein schlichtes '-r' erlaubt
das...
Da stellt sich mir die Frage, wieso das Lancom sowas nicht selber kann. Also: umwandeln der Syslog-Daten in ein Datenbankformat und Ausgabe als Datei (alle xxx MB wird die Datei "zugemacht" und verschickt, ich weiß, der Speicher ist nicht so gross).
Zum einen hieße das, daß die Meldungen erst verzögert
bei dem Server ankommen würden (wenn so ein Block
voll ist), zum anderen habe ich nicht die mindeste Lust,
mich auf Diskussionen einzulassen, was das denn für
ein Format sein soll...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
pat4fly
Beiträge: 91
Registriert: 23 Feb 2007, 21:46

Beitrag von pat4fly »

alf29 hat geschrieben:Moin,

also nichts ist einfacher, als auf einem Linux dem
Syslog-Server(!) zu sagen, daß er auch Syslog-Pakete
von außen annehmen soll
Schon klar, das klappt ja auch auf meinem PC. Nur will ich den nicht rund um die Uhr laufen lassen.

Ich dachte in meinem kleinen Hirn eher an so ne Art Kiwi Syslog, auf dem Lancom installiert. :-)

Es gab hier ja auch schon mehrere Requests, die Logs auf USB Sticks zu speichern. Ich denke mal, das Ziel ist immer dasselbe: nicht einen extra Log-Server 24/7 laufen lassen zu müssen.

Und, ob das Ganze realtime oder verzögert (durchs Datei-Schreiben) ist, kann jeder selbst entscheiden. Vielleicht könnte das Syslog Feature ja auch unterscheiden, z.B.: Warnmeldungen etc gehen realtime an eine IP, Packet Infos in die Datei.

Nur so ins Blaue gedacht...

Schöne Grüsse!
Pat
Router: LANCOM 1781 VAW / Public Spot-Option
L-54g und L-321agn als Zusatz-APs
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Es gab hier ja auch schon mehrere Requests, die Logs auf USB Sticks zu speichern.
Dazu wäre es erstmal eine Voraussetzung, Support
für FAT-Filesysteme im LCOS zu haben - und wann der
kommt, weiß ich beim besten Willen nicht...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Syslog

Beitrag von tom63 »

hallo alf,

hatte gerade den selben wunsch - logfiles auf dem usb stick ablegen.

wenn lcos kein fat kann - kann es dann nicht den stick selber im eigen schema formatieren?

auf jeden fall waeren langfristige logs auch OHNE syslog server sehr sinnvoll.

netter gruss
tom

p.s. der wunsch ist eh 7 jahre alt - geht es denn schon und ich hab nicht gefunden wie?
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Syslog

Beitrag von MariusP »

Hi,
wenn lcos kein fat kann - kann es dann nicht den stick selber im eigen schema formatieren?
Und womit möchtest du das hypothetische LCOS-FS lesen?

Die meisten Kunden werden wohl einen Log-Server einfach als Dienst auf einem ihrer bestehenden Server mitlaufen lassen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Syslog

Beitrag von tom63 »

ganz einfach mit dem lancom selbst - der sie dann z.b. ueber das webinterface anzeigen kann, als komprimierten download anbietet oder oder oder ...

p.s. dieses argument mit 'die meisten kunden' ist immer ein bisserl das totschlag-argument gegen alles. kann mich noch gut erinnern dass das damals auf dem nokia developer forum auch oft kam. lustigerweise waren viele der vorschlaege dann nur 2 jahre spaeter im iphone umgesetzt und der gigant nokia nur wenige jahre spaeter komplett platt. offenbar war dann die 'randgruppe' doch ein wenig groesser als vermutet :)
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Syslog

Beitrag von MariusP »

Hi,
Ich wollte dir lediglich mitteilen für wie ich wahrscheinlich ich eine zeitnahe Umsetzung halte.

Wenn du dich so gut auskennst bitte ich dich um eine Einschätzung wieviel Entwicklerzeit die Umsetzung eines solchen Features brauchen würde.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: Syslog

Beitrag von LoUiS »

Man kann auf jedem 0815 Linux seine Syslog Messages abladen, das kann also auch ein NAS oder sonst was kleines an Rechner sein.
Das LANCOM selbst kann Syslog Messages im Webinterface bis zu einer gewissen Anzahl anzeigen. Die genaue Grenze ist mir nicht bekannt, aber auf meinem 1781EF+ sind es aktuell ueber 13000 Eintraege. Diese reichen bis zum April 2015 zurueck. Kannst ja die Eintraege aus dem Webinterface kopieren und z.B. in Excel importieren.


Ciao
LoUiS

P.S.: Ausserdem, wuenschen kannst Du dir natuerlich alles. Wir sammeln das und setzen um was machbar und sinnvoll ist.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Syslog

Beitrag von tom63 »

hi louis,

ja - eh klar - hier im hauptbuero koennt ich es auf einem der macmini server die immer laufen ablegen. in den aussenbueros laeuft halt nix 24/7 - und nur fuer diesen zweck faend ich es echt energieverschwendung. deshalb die frage - weil es fuer uns hier prima ware. alternativ frage ich mich ob nicht auch automatisch komprimiertes abspeichern im lancom moeglich waere da logfiles dieser art sicher nur noch ein hunderstel der original-groesse an speicherplatz brauchen wuerden ...

anyway - muss ich halt bei den zu loggenden events ein bisserl mehr knausern. ich hatte einfach das lancom script (https://www2.lancom.de/kb.nsf/1276/1C0A ... enDocument) ausgefuehrt dass das logging einrichtet. hier scheinen einige dinge dabei zu sein die nicht wirklich sicherheitsrelevant sind. weisst du vielleicht andere scripts die nur die grundsaetzlichsten alarme und warnungen einstellen - ohne dass ich mich jetzt stundenlang mit den details der schier unendlichen moeglichkeiten des lancom syslogs zu beschaeftigen?

netter gruss
tom

p.s. genau so war es gemeint

p.p.s. natuerlich hab ich auch gesehen dass ich bei den vom script eingetragenen events aenderungen vornehmen kann und alles im level debug und notice rauswerfen kann. aber vielleicht gibts ja was fertiges (das einer mit mehr durchblick als ich) fuer die standard sicherheitsrelevanten ereignisse zusammengestellt hat ...
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Syslog

Beitrag von Jirka »

Hallo,
LoUiS hat geschrieben:Die genaue Grenze ist mir nicht bekannt, aber auf meinem 1781EF+ sind es aktuell ueber 13000 Einträge.
23.000 sind es. (Bei den neueren Geräten.)
tom63 hat geschrieben:ja - eh klar - hier im Hauptbüro könnt ich es auf einem der macmini server, die immer laufen, ablegen. In den Außenbüros läuft halt nix 24/7 - und nur für diesen Zweck fänd ich es echt Energieverschwendung.
Du stellst Dich aber auch an... Wozu gibt es VPN-Verbindungen?! Bei mir landen alle Syslogs in den jeweiligen Zentralen... (oder bei mir)
tom63 hat geschrieben:Weißt du vielleicht andere Scripts die nur die grundsätzlichsten Alarme und Warnungen einstellen - ohne dass ich mich jetzt stundenlang mit den Details der schier unendlichen Möglichkeiten des Lancom Syslogs zu beschäftigen?
Ich habe zwar jede Menge Scripts, aber die sind nur, um mir vielleicht 30 Sekunden Tipparbeit zu ersparen...
Aber wo ist das Problem? Du kannst doch nach Quellen (8 insgesamt) und Prios (5 insgesamt) alles passend einstellen. Da bist Du in 2 Min. mit durch. Wenn Du wenig Syslog-Meldungen haben willst, dann fällt Information raus, Debug sowieso. Dann bleiben noch die Prios Alarm, Fehler und Warnung. Da kannst Du dann je nach Quelle individuell entscheiden. Wenn Du kein Accounting möchtest oder brauchst, dann lass es einfach weg. Dann schaust Du Dir noch die anderen Quellen an und schon bist Du fertig. Dafür brauch man kein Script, oder nur, wenn man das regelmäßig machen muss und sich die Tipparbeit sparen will.

Viele Grüße,
Jirka
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Syslog

Beitrag von tom63 »

hallo jirka,

wie immer von dir - eine antwort die wirklich hilft :) dankeschoen

genau das mit dem uebers vpn hab ich mir vorher auch ueberlegt. nur bin ich mir als laie unsicher ob ich dann nicht grad das wichtige verpass - wenn das vpn dabei unterbrochen wurde. vielleicht aber unnoetige bedenken ...

hast eigentlich voellig recht - 8 quellen und die level einstellen ist wenn ich jetzt so drueber nachdenk echt kein hexenwerk. was mich eben ein bissl irritiert hat ist dass das lancom-script bei system sogar debug als level setzt und dann wieder info nicht. an anderen stellen wieder alles moegliche - aber die ernsten level wie alert und warning nicht. die logik dahinter kapier ich nicht.

wenn ichs dir nachmachen wuerde waere aber ein macmini server mit osx 10.10 mein favorit. was wuerdest du denn da als syslog server nehmen und mit welchem tool die logs ansehen/auswerten bzw. email warnungen versenden?

netter gruss ausm muenchner umland
tom

p.s. du hattest mal nach den kontaktdaten gefragt - da ging das pn und mail nicht - habs jetzt grad nochmal geschickt
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Syslog

Beitrag von Jirka »

Hi,
tom63 hat geschrieben:unsicher, ob ich dann nicht grad das Wichtige verpass - wenn das VPN dabei unterbrochen wurde. Vielleicht aber unnötige Bedenken...
nun ja, die Bedenken sind schon richtig. Steht die VPN-Verbindung nicht, kommen auch keine Syslogs. D. h. also auch, dass die allerersten Meldungen, bevor die VPN-Verbindung aufgebaut wird, grundsätzlich nicht übermittelt werden. Aber das stellt im Normalfall nur einen geringen Informationsverlust dar, und ist dann ja - für eine gewisse Zeit - noch im Gerät verfügbar. Wenn die VPN-Verbindung nicht aufgebaut werden kann, was ja eigentlich sehr selten der Fall ist, dann bekommt man ja üblicherweise Fehler-E-Mails. Wenn die Zentrale über zwei WAN-Verbindungen verfügt, geht man mit der VPN natürlich als Backup auch über die 2. WAN-Verbindung. Kann eine VPN doch mal nicht aufgebaut werden, weil z. B. eine Providerstörung auf der Gegenseite (Außenstelle) vorliegt, dann kann man den Syslog-Output reduzieren, indem man die VPN einfach als Dynamic-VPN von der Gegenseite aufbauen lässt. So hat man bei längeren Störungen nicht so unendlich viele, immer wieder gleiche Fehlermeldungen, dass die VPN nicht aufgebaut werden konnte.
tom63 hat geschrieben:Die Logik dahinter kapier ich nicht.
Keine Ahnung, was man sich dabei gedacht hat. Fakt ist aber auch, dass es aus manchen Quellen gewisse Prios gar nicht gibt, und dass manche Meldungen in der nächstniedrigeren Prio noch mal genauso ausgegeben werden. Aber das siehst Du dann schon. Quelle und Prio sind ja immer angegeben.
tom63 hat geschrieben:Was würdest du denn da als Syslog-Server nehmen und mit welchem Tool die Logs ansehen/auswerten bzw. E-Mail-Warnungen versenden?
Ich habe keine Apple-Server zu laufen. Unter Windows nehme ich seit Jahren den Kiwi Syslog Server (mit dem kann man, z. B. über ein Webinterface auch betrachten, aber meist ist auch der Kiwi Log Viewer sinnvoll, Warnungen verschickt der Syslog Server auch). Den kombiniere ich mit PRTG und den Meldungen vom LANCOM selber. Mit dem Kiwi Syslog Server kann man professionell bestimmte Syslog-Meldungen (z. B. CDRs) in bestimmte Dateien speichern. Da ist also jede Menge möglich.
tom63 hat geschrieben:p.s. du hattest mal nach den kontaktdaten gefragt - da ging das pn und mail nicht - habs jetzt grad nochmal geschickt
Jo, da wollte ich Dir den VPN-Client perfekt installieren, bzw. Alternativen aufzeigen. Das hat sich ja aber nun schon erledigt, ne? Diese Woche ist bei mir auch schon voll. :wink:

Viele Grüße,
Jirka
Antworten