syslog-server

L

leen

Member
hey zusammen

arbeite neu mit freebsd und sollte jetzt für das logen einer firewall die syslog.conf datei oder besser den syslog-server configurieren...

ich hab ne anleitung auf english im net gefunden, aber weit komme ich mit der nicht. kennt jemand von euch ne deutsche anleitung? oder kann mit ein paar tipps geben?

arbeite nur mit console, keine grafische oberfläche vorhanden.

danke.

grüsse tom
 
wenn ich das richtig verstanden habe, willst du die logs der firewall auf dem syslogserver speichern und musst dafür die syslog.conf auf dem server anpassen.

in der syslog.conf auf dem server

+hostname_der_firwall ## dns-auflösung sollte passen ;)
security.* /var/log/dein_log_file_fuer_die_firewall

der syslogd auf dem server muss mit der option "-a ip_der_firewall" gestartet werden"

edit : so kann es natürlich auch heissen:
+hostname_der_firwall ## dns-auflösung sollte passen ;)
!ipfw
*.* /var/log/dein_log_file_fuer_die_firewall


gruesse k33n
 
Ja genau das will ich machen, die logs der firewall speichern auf dem syslogserver.

i kenne mich mit der programmierung wia console wenig aus. kannst du mir erklären wo ich das ganza einfügen/abändern muss und in welchem file...?

danke
 
+hostname_der_firwall ## dns-auflösung sollte passen
security.* /var/log/dein_log_file_fuer_die_firewall

muss in die datei /etc/syslog.conf (editiren mit einem editor deiner wahl z.B. vim / joe)
-------------------------------

syslogd_flags="-a ip_der_firewall/32"

muss in die rc.conf vom syslogserver

-------------------------------

!ipfw
*.* @syslogd.server.my

muss in die syslog.conf der firewall

-------------------------------

dananch auf beiden maschinen ein

killall -HUP syslogd

hoffe ich habe nix vergessen... ;)

k33n
 
Anstelle von Hostnamen können auch IP Adressen verwendet werden. Eine weitere Möglichkeit wäre in der /etc/hosts einen Eintrag vorzunehmen welcher dem PC klar macht welche IP zu welchem Hostnamen gehört. Diese Datei ist dokumentiert und zur Orientierung sollte bereits der eigene Host dir als Beispiel behilflich sein.
 
sorry aber es klappt nicht.

hab jetzt in
/etc/syslog.conf
+mss.blabla.de
*.* /var/log/firewall.log
drin

der firewall hab ich konfiguriert, nur es funktioniert nicht. die log-datei ist nicht vorhanden und auch in die anderen log wird nichts hineingeschrieben...

in die rc.conf datei hab ich nichts geschrieben. weiss nicht was es bedeutet...
bitte um hilfe...
 
in die rc.conf vom server muessen die syslogflags rein, sonst nimmt macht der syslog kein remote logging, d.h. er nimmt die packete der firewall ned an.

in die syslog.conf auf dem server kann eventuell uerber die lokal einträge noch ein +@ gehören.

----schnipp
.
.
.
+@
deine localen syslog einstellungen

+hostname/ip_der_firewall
firewall syslog einstellungen...

-----------------------

k33n
 
ok, loggen tut er jetzt. das hat geklappt. nur ich sortiere jetzt die logfiles die reinkommen mit
#*.notice
im syslog.conf file. über die ip oder den host gehts nicht. eine idee an was es liegt?

ein anderes problem ich noch das ich am ende mehrere logfiles von der firewall bekomme welche aber alle in verschiedenen logdateien abgelegt werden sollten. nur weiss ich nicht wie ich diese trennen soll wia ip.
 
leen schrieb:
ok, loggen tut er jetzt. das hat geklappt. nur ich sortiere jetzt die logfiles die reinkommen mit
#*.notice
im syslog.conf file. über die ip oder den host gehts nicht. eine idee an was es liegt?
Zum Vergrößern anklicken....

hä??
warum mit #*.notice

ich kapier den post ned...

k33n
 
die log-dateien die von der firewall kommen kann man ja in verschiedene "gruppen" einteilen...notice, warnings...etc. dies wird von der firewall bestimmt. hab jetzt einen sniffer angehängt und gekuckt wie die päcks aussehen die zu meinem bsd-server geschickt werden.
und der traffic von der firewall hört immer mit .notice auf. jetzt hab ich im syslog.conf file das ganza eben wia .notice gefiltert.
hoffe das ist so verständlich...wia ip oder host hats nicht geklappt.
 
k33n schrieb:
!ipfw
*.* @syslogd.server.my

muss in die syslog.conf der firewall

-------------------------------
k33n
Zum Vergrößern anklicken....

wenn das in der syslog.conf der firewall steht, kannst du in der syslog.conf des servers alles ganz normal eintragen.

*.notice /var/log/firewall.notice
oder
security.* /var/log/security.

man syslog.conf unter EXAMPLES

k33n
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben