Lösungsempfehlung: Logs sammeln und analysieren

Du suchst ein Programm für einen bestimmten Zweck?
Antworten
nindac
Beiträge: 4
Registriert: 24.12.2021 16:28:54

Lösungsempfehlung: Logs sammeln und analysieren

Beitrag von nindac » 05.01.2022 09:20:47

Hallo zusammen,

ich bin auf der Suche nach einer Lösung, die meine Logs zentral sammelt und analysiert. Hintergrund: Mein Netzwerk zu Hause wächst immer mehr und es werden immer mehr Informationen an unterschiedlichen Stellen generiert. Daher wäre es schön, wenn ich alle Infos an einer Stelle hätte. Zusätzlich hätte ich bei bestimmten "Events" gerne eine Mailbenachrichtigung (z.B. wenn sich jemand per VPN anmeldet, die Logs würden dann von der FW kommen o. wenn sich eine unbekannte MAC-Adresse am WLAN anmelden möchte, kommt dann vom AccessPoint). Ich würde ja ein einfach ein paar Lösungen ausprobieren, aber wenn ich danach Suche bekomme ich Ergebnisse ohne Ende die teilweise sehr alt oder dann doch kommerziell sind (Prometheus, Grafana, Graylog, Loigtash, Icinga, Fluentd, Octopussy, etc.). Daher wollte ich hier mal fragen ob mir jemand einen Tipp geben kann. Wichtig wäre mir, dass es eine OpenSource Lösung ist und eine Webgui wäre schön, muss aber nicht sein.

Folgende Idee hatte ich bis jetzt.
- rsyslog + Loganalyser wie z.B. Logwatch, Logcheck oder evtl sogar fail4ban?
- Oder evtl. Prometheus und Grafana? Oder ist das schon zu übertrieben?

Hilfe! :)

Die Anfroderungen sind wirklich nur.
- Logs zentral sammeln von FW, AccessPoint, etc.
- SNMP brauche ich nicht
- WebGUI wäre schön, muss aber nicht sein
- E-Mail-Benachrichtigung bei bestimmten Aktionen im Logfile


Danke und Gruß,
nindac

Benutzeravatar
unitra
Beiträge: 638
Registriert: 15.06.2002 21:09:38
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.128.129.130

Re: Lösungsempfehlung: Logs sammeln und analysieren

Beitrag von unitra » 05.01.2022 13:43:56

Rsyslog + loganalyzer ist die gute Idee, das ist gut genug. Zu graphana und prometheus, die machen das Gleiche nur mit deutlich mehr Abhängigkeiten zu anderen Paketen, für den Zweck, komplexer zu installieren, zu konfigurieren und zu betreiben, und verbrauchen deutlich mehr Ressourcen CPU/RAM, für den gleichen Zweck.


Ganz großer Pluspunkt der für rsyslog spricht ist die Dokumentation und das wiki. Rsyslog ist einfach sehr gut dokumentiert, für Anweder sowie für Entwickler. Das muß man erwähnen. Es gibt so viele große Softwareprodukte die so viel können, aber derart schlecht dokumentiert sind, dass es Zeitverschwendung ist sich damit auseindaner zu setzen. Und es wird nicht besser im Verlauf der Zeit, nicht immer, das mit der Dokumentation.

Hier der Link zum syslog RFC https://datatracker.ietf.org/doc/html/rfc5424. Der Autor dieses RFC's ist auch der Autor von rsyslog und loganalyzer Rainer Gerhards. Der RFC5424 ist der RFC für alle Syslog (Debiansyslog-ng, Debianrsyslog usw. ) Server, daran muss sich jede ernst zu nehmende Syslogsoftware messen lassen. Es sei denn, der Programmmierer kocht sein eigenes Syslogmessagessüppchen.

Die WebGUI ist der Loganalyzer. E-mail Benachrichtigungen können mit einem Skript geschrieben werden, sobald die Logs an einer zentralen Stelle gesammelt werden, dann parsen mit grep, jede Stunde und die gewünschten Resultate per Email verschicken.

Viel Erfolg bei der Umsetzung.
nindac hat geschrieben: ↑ zum Beitrag ↑
05.01.2022 09:20:47
...
Folgende Idee hatte ich bis jetzt.
- rsyslog + Loganalyser wie z.B. Logwatch, Logcheck oder evtl sogar fail4ban?
- Oder evtl. Prometheus und Grafana? Oder ist das schon zu übertrieben?

Hilfe! :)

Die Anfroderungen sind wirklich nur.
- Logs zentral sammeln von FW, AccessPoint, etc.
- SNMP brauche ich nicht
- WebGUI wäre schön, muss aber nicht sein
- E-Mail-Benachrichtigung bei bestimmten Aktionen im Logfile


Danke und Gruß,
nindac

nindac
Beiträge: 4
Registriert: 24.12.2021 16:28:54

Re: Lösungsempfehlung: Logs sammeln und analysieren

Beitrag von nindac » 05.01.2022 14:09:36

Sehr gut. Danke! Dann werde mich mich die Tage mal an das Thema heranwagen. :THX:

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Lösungsempfehlung: Logs sammeln und analysieren

Beitrag von schorsch_76 » 27.01.2023 08:35:57

Ähm .... Debianloganalyzer [1] finde ich nur noch in oldstable.
news
[2022-12-29] Removed 4.1.5+dfsg-2.1 from unstable (Debian FTP Masters)
[2021-09-09] loganalyzer REMOVED from testing (Debian testing watch)
[2021-08-17] loganalyzer 4.1.5+dfsg-2.1 MIGRATED to testing (Debian testing watch)
[1] https://packages.debian.org/search?keywords=loganalyzer
[2] https://tracker.debian.org/pkg/loganalyzer

EDIT: Es gibt einen Fork der mit PHP 8 laufen soll
[3] https://github.com/rsyslog/loganalyzer/commits/master
PHP8 Compatibility: Fix issues to enable PHP8 support

s_fischer
Beiträge: 106
Registriert: 03.11.2002 16:17:17

Re: Lösungsempfehlung: Logs sammeln und analysieren

Beitrag von s_fischer » 28.01.2023 14:13:19

Da werfe ich mal checkmk mit in den Ring. https://checkmk.com/de
Ich bin gerade dabei mich in das System einzuarbeiten. Bei mir wird der "Zoo" auch immer mehr und ich bin über einige YT Videos darauf gestoßen.

Grüße Sven

Antworten