Hallo zusammen,
ich bin auf der Suche nach einer Lösung, die meine Logs zentral sammelt und analysiert. Hintergrund: Mein Netzwerk zu Hause wächst immer mehr und es werden immer mehr Informationen an unterschiedlichen Stellen generiert. Daher wäre es schön, wenn ich alle Infos an einer Stelle hätte. Zusätzlich hätte ich bei bestimmten "Events" gerne eine Mailbenachrichtigung (z.B. wenn sich jemand per VPN anmeldet, die Logs würden dann von der FW kommen o. wenn sich eine unbekannte MAC-Adresse am WLAN anmelden möchte, kommt dann vom AccessPoint). Ich würde ja ein einfach ein paar Lösungen ausprobieren, aber wenn ich danach Suche bekomme ich Ergebnisse ohne Ende die teilweise sehr alt oder dann doch kommerziell sind (Prometheus, Grafana, Graylog, Loigtash, Icinga, Fluentd, Octopussy, etc.). Daher wollte ich hier mal fragen ob mir jemand einen Tipp geben kann. Wichtig wäre mir, dass es eine OpenSource Lösung ist und eine Webgui wäre schön, muss aber nicht sein.
Folgende Idee hatte ich bis jetzt.
- rsyslog + Loganalyser wie z.B. Logwatch, Logcheck oder evtl sogar fail4ban?
- Oder evtl. Prometheus und Grafana? Oder ist das schon zu übertrieben?
Hilfe!
Die Anfroderungen sind wirklich nur.
- Logs zentral sammeln von FW, AccessPoint, etc.
- SNMP brauche ich nicht
- WebGUI wäre schön, muss aber nicht sein
- E-Mail-Benachrichtigung bei bestimmten Aktionen im Logfile
Danke und Gruß,
nindac
Lösungsempfehlung: Logs sammeln und analysieren
- unitra
- Beiträge: 638
- Registriert: 15.06.2002 21:09:38
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.128.129.130
Re: Lösungsempfehlung: Logs sammeln und analysieren
Rsyslog + loganalyzer ist die gute Idee, das ist gut genug. Zu graphana und prometheus, die machen das Gleiche nur mit deutlich mehr Abhängigkeiten zu anderen Paketen, für den Zweck, komplexer zu installieren, zu konfigurieren und zu betreiben, und verbrauchen deutlich mehr Ressourcen CPU/RAM, für den gleichen Zweck.
Ganz großer Pluspunkt der für rsyslog spricht ist die Dokumentation und das wiki. Rsyslog ist einfach sehr gut dokumentiert, für Anweder sowie für Entwickler. Das muß man erwähnen. Es gibt so viele große Softwareprodukte die so viel können, aber derart schlecht dokumentiert sind, dass es Zeitverschwendung ist sich damit auseindaner zu setzen. Und es wird nicht besser im Verlauf der Zeit, nicht immer, das mit der Dokumentation.
Hier der Link zum syslog RFC https://datatracker.ietf.org/doc/html/rfc5424. Der Autor dieses RFC's ist auch der Autor von rsyslog und loganalyzer Rainer Gerhards. Der RFC5424 ist der RFC für alle Syslog (syslog-ng, rsyslog usw. ) Server, daran muss sich jede ernst zu nehmende Syslogsoftware messen lassen. Es sei denn, der Programmmierer kocht sein eigenes Syslogmessagessüppchen.
Die WebGUI ist der Loganalyzer. E-mail Benachrichtigungen können mit einem Skript geschrieben werden, sobald die Logs an einer zentralen Stelle gesammelt werden, dann parsen mit grep, jede Stunde und die gewünschten Resultate per Email verschicken.
Viel Erfolg bei der Umsetzung.
Ganz großer Pluspunkt der für rsyslog spricht ist die Dokumentation und das wiki. Rsyslog ist einfach sehr gut dokumentiert, für Anweder sowie für Entwickler. Das muß man erwähnen. Es gibt so viele große Softwareprodukte die so viel können, aber derart schlecht dokumentiert sind, dass es Zeitverschwendung ist sich damit auseindaner zu setzen. Und es wird nicht besser im Verlauf der Zeit, nicht immer, das mit der Dokumentation.
Hier der Link zum syslog RFC https://datatracker.ietf.org/doc/html/rfc5424. Der Autor dieses RFC's ist auch der Autor von rsyslog und loganalyzer Rainer Gerhards. Der RFC5424 ist der RFC für alle Syslog (syslog-ng, rsyslog usw. ) Server, daran muss sich jede ernst zu nehmende Syslogsoftware messen lassen. Es sei denn, der Programmmierer kocht sein eigenes Syslogmessagessüppchen.
Die WebGUI ist der Loganalyzer. E-mail Benachrichtigungen können mit einem Skript geschrieben werden, sobald die Logs an einer zentralen Stelle gesammelt werden, dann parsen mit grep, jede Stunde und die gewünschten Resultate per Email verschicken.
Viel Erfolg bei der Umsetzung.
nindac hat geschrieben:05.01.2022 09:20:47...
Folgende Idee hatte ich bis jetzt.
- rsyslog + Loganalyser wie z.B. Logwatch, Logcheck oder evtl sogar fail4ban?
- Oder evtl. Prometheus und Grafana? Oder ist das schon zu übertrieben?
Hilfe!
Die Anfroderungen sind wirklich nur.
- Logs zentral sammeln von FW, AccessPoint, etc.
- SNMP brauche ich nicht
- WebGUI wäre schön, muss aber nicht sein
- E-Mail-Benachrichtigung bei bestimmten Aktionen im Logfile
Danke und Gruß,
nindac
Re: Lösungsempfehlung: Logs sammeln und analysieren
Sehr gut. Danke! Dann werde mich mich die Tage mal an das Thema heranwagen.
- schorsch_76
- Beiträge: 2544
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Lösungsempfehlung: Logs sammeln und analysieren
Ähm .... loganalyzer [1] finde ich nur noch in oldstable.
[2] https://tracker.debian.org/pkg/loganalyzer
EDIT: Es gibt einen Fork der mit PHP 8 laufen soll
[3] https://github.com/rsyslog/loganalyzer/commits/master
[1] https://packages.debian.org/search?keywords=loganalyzernews
[2022-12-29] Removed 4.1.5+dfsg-2.1 from unstable (Debian FTP Masters)
[2021-09-09] loganalyzer REMOVED from testing (Debian testing watch)
[2021-08-17] loganalyzer 4.1.5+dfsg-2.1 MIGRATED to testing (Debian testing watch)
[2] https://tracker.debian.org/pkg/loganalyzer
EDIT: Es gibt einen Fork der mit PHP 8 laufen soll
[3] https://github.com/rsyslog/loganalyzer/commits/master
PHP8 Compatibility: Fix issues to enable PHP8 support
Re: Lösungsempfehlung: Logs sammeln und analysieren
Da werfe ich mal checkmk mit in den Ring. https://checkmk.com/de
Ich bin gerade dabei mich in das System einzuarbeiten. Bei mir wird der "Zoo" auch immer mehr und ich bin über einige YT Videos darauf gestoßen.
Grüße Sven
Ich bin gerade dabei mich in das System einzuarbeiten. Bei mir wird der "Zoo" auch immer mehr und ich bin über einige YT Videos darauf gestoßen.
Grüße Sven