• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Eigenen Logfile an Server schicken mit rsyslog

Andrew44

(╯°□°)╯︵ ┻━┻
Themenstarter #1
Hallo liebe BSD-Foren-Gemeinde,

ich habe kürzlich angefangen mich mit OpenBSD zu beschäftigen und hätte diesbezüglich eine Frage:

Wie kann ich eine von mir erstellte Logdatei (/var/tmp/meinLog.txt) an einen Server mit rsyslog schicken ?

Ich habe mir die man-page von rsyslog durchgelesen und die rsyslog.conf angeschaut.
Muss ich meinen Logfile in rsyslog.conf eintragen mittels "alias" -
""" local0 /var/tmp/meinLog.txt """
und kann dann den log weiterleiten ?
""" local0 @192.168.0.1 """

PS: Ich habe das Forums durchsucht und bin leider nicht fündig geworden, sollte diese Frage bereits gestellt und beantwortet worden sein, bitte verweist mich kommentarlos auf den Thread. Die Selbstgeißelung, könnt ihr dann gerne mir überlassen. :zitter:



Mit freundlichen Grüßen
Andrew
 

Andrew44

(╯°□°)╯︵ ┻━┻
Themenstarter #2
Ich habe gerade bemerkt, ich habe bei FreeBSD - statt OpenBSD gepostet ... hoppla

Könnte der Thread verschoben werden, oder geschlossen, dann poste ich neu.
 

mapet

Active OpenBSD User
#4
Gibt es einen bestimmten Grund, warum du rsyslogd verwenden möchtest und nicht den syslogd aus dem Base System? syslogd kann genau das, was du möchtest, aber bei rsyslogd kann ich dir leider nicht weiterhelfen.
 

SierraX

Well-Known Member
#6
rsyslog kommt eher aus der Linux Welt und ist das Standard syslog von z.B. redhat
Bei OpenBSD ist ein anderes syslog verbaut. rsyslog ist dort ein zusätzlicher Port der entweder aus den Packages oder den ports installiert wird.
syslog, egal welches, ist allerdings so tief in in den jeweiligen Systemen drin, dass ein Austausch einen Haufen, oft unnötige Arbeit verursacht. Ein Studium der jeweiligen man-pages und Beispiele der Standards bringt oft mehr, und in den entsprechenden Communities findet man mehr Hilfe bei den standards.
 

schorsch_76

FreeBSD Fanboy
#11
Das syslog Protokol und die Funktionen sind standardisiert [2]. Das geht eigentlich immer via UDP. OpenBSD hat im Rahmen des pledge syscalls [1][5][6] etwas geändert das es keine Sockets mehr benötigt. Unter den anderen unixoiden OS ist das praktisch immer ein Socket. Deshalb kann es eigentlich recht einfach zwischen den verschiedenen syslog daemons umgeschalten werden. Unter OpenBSB wird es anders aussehen....

[1] https://man.openbsd.org/pledge.2
[2] https://man.openbsd.org/syslog
[3] https://en.wikipedia.org/wiki/Syslog
[4] https://tools.ietf.org/html/rfc5424
[5]
[6]
 

SierraX

Well-Known Member
#13
Und genau das find ich komisch - überall wird auf Security gepocht und das ist per default erstmal schön unverschlüsselt und gerade Log-Meldungen enthalten viel Security-relevanten Kram.
Dass ich mich da 2018 ernsthaft noch reparieren muss bevor es nutzbar ist, ist schon etwas arm.
Ich seh das meiste nicht so. Und ich arbeite mit vielen Daten.
Und von wegen Security-relevantem Kram... nenne mir ein Logfile im Standardsystem dass so Sicherheits-relevanten Kram beinhaltete dass ein Einbruch in den syslog versand schwerwiegende Folgen hätte und wozu man dieses Log an einem zentralen Ort speichern sollte, der nicht über ein bereits geschütztes Netzwerk angebunden ist.

Ich weiss manchmal bin ich nicht paranoid genug für OpenBSD
 

schorsch_76

FreeBSD Fanboy
#14
Und genau das find ich komisch - überall wird auf Security gepocht und das ist per default erstmal schön unverschlüsselt und gerade Log-Meldungen enthalten viel Security-relevanten Kram.
Dass ich mich da 2018 ernsthaft noch reparieren muss bevor es nutzbar ist, ist schon etwas arm.
https://tools.ietf.org/html/rfc5424

In rfc5424 steht
5.1. Minimum Required Transport Mapping


All implementations of this specification MUST support a TLS-based
transport as described in [RFC5425].

All implementations of this specification SHOULD also support a
UDP-based transport as described in [RFC5426].

It is RECOMMENDED that deployments of this specification use the TLS-
based Transport.
Unter localhost ist TLS nicht relevant. Wer auf lo einen RawSocket öffnen kann um mitzuhören ist schon root. Wenn das übers Netz geht, stellt der Admin eben TLS ein.
 

bananenBrot

Well-Known Member
#15
nenne mir ein Logfile im Standardsystem dass so Sicherheits-relevanten Kram beinhaltete dass ein Einbruch in den syslog versand schwerwiegende Folgen hätte
Allein schon die Existenz eines Dienstes kann zu einer Kompromittierung führen.

Mir geht es nicht darum, dass man es nicht einschalten KANN, mir geht es darum, warum Crypto 2018 nicht Default ist.

Wenn ich ein System installiere, bekomme ich auch kein telnet und kann be Bedarf auf ssh upgraden
 

TCM

Well-Known Member
#16
Per default nimmt syslog eh keine Nachrichten aus dem Netz an. Alles, was du ab da machst, ist eh dein Bier. Default ist sicher. Ende.

TLS mit einer PKI ist bei nicht-interaktiven Diensten nunmal nicht so trivial wie einen Fingerprint abnicken.
 

mapet

Active OpenBSD User
#17
Allein schon die Existenz eines Dienstes kann zu einer Kompromittierung führen.

Mir geht es nicht darum, dass man es nicht einschalten KANN, mir geht es darum, warum Crypto 2018 nicht Default ist.
Weil es lokal sinnlos ist und im internen Netz, was ich jetzt als Standardeinsatzszenario ansehe, bestenfalls aufwändig (wie TCM ja schon schrieb). Wenn du das Zeug über's Internet blasen willst, wäre meine Frage, wieso du kein VPN auf der Strecke hast.

Wenn ich ein System installiere, bekomme ich auch kein telnet und kann be Bedarf auf ssh upgraden
Das kommt auf das System an (auch in 2018) ;)
 

Andrew44

(╯°□°)╯︵ ┻━┻
Themenstarter #18
Habe es mit Syslog nicht wirklich hinbekommen, meinen Custom-Logfile mit einzubinden
-
Hab mir deswegen n kleines Skript geschrieben und schick den Kram mit "logger -f /Pfad/zum/logfile" an syslog und das versendet es dann weiter an den andren Host.
 

bananenBrot

Well-Known Member
#19
Also immer davon auszugehen, dass niemand im Netzwerk unerlaubt mitsnifft finde ich ziemlich gefährlich bis fahrlässig.
Jemanden der so denkt, würde ich nicht an mein Netz lassen - grundsätzlich will ich alles was über die Leitung geht (und ja, ich sehe da Internet und lokales Netzwerk gleichwertig) verschlüsselt haben.
Aber da müssen wir wohl noch ein paar Seucirty-Totalschäden abwarten, bis hier manche Leute umdenken
 

Andrew44

(╯°□°)╯︵ ┻━┻
Themenstarter #21
Da ich diese "leidenschaftlich" entbrannte Diskussion keinen Meter verfolgt habe - kann ich nicht ganz nachvollziehen worauf sich dein ausführlicher Kommentar bezieht. @double-p

Falls es sich unerwarteterweise tatsächlich um eine Frage bezüglich des eigentlichen Themas handeln sollte, bezogen auf das versenden mittels "logger" - dann kann ich diese sogar beantworten:

Im Skript wird der "diff" mittels logger versendet, nicht die ganze Log-Datei.
 

SierraX

Well-Known Member
#22
Also immer davon auszugehen, dass niemand im Netzwerk unerlaubt mitsnifft finde ich ziemlich gefährlich bis fahrlässig.
Jemanden der so denkt, würde ich nicht an mein Netz lassen - grundsätzlich will ich alles was über die Leitung geht (und ja, ich sehe da Internet und lokales Netzwerk gleichwertig) verschlüsselt haben.
Aber da müssen wir wohl noch ein paar Security-Totalschäden abwarten, bis hier manche Leute umdenken
Mal davon abgesehen dass hier schon geschrieben wurde dass es laut RFC und Manpage geht, es wird halt davon ausgegangen dass einer mit Ahnung, ein Netzwerk betreibt.
Es scheint dir aber offenbar garnicht darum zu gehen ob man etwas verschlüsseln kann, sondern warum man denn nicht dazu gezwungen wird. Hauptsache man muss selber keinen Gedanken zu viel, über den Schutz verschwenden.
Dass ich mich da 2018 ernsthaft noch reparieren muss bevor es nutzbar ist arm
Wenn du in deinem Netz alles verschlüsseln willst ... schön für dich, wenn du noch jemanden findest der dich dafür bezahlt noch besser. Aber rum zu mosern warum andere sich nicht gängeln lassen wollen aus welchem Grund auch immer, lässt nicht die blöd dastehen sondern dich.
 

mapet

Active OpenBSD User
#23
Also immer davon auszugehen, dass niemand im Netzwerk unerlaubt mitsnifft finde ich ziemlich gefährlich bis fahrlässig.
Jemanden der so denkt, würde ich nicht an mein Netz lassen - grundsätzlich will ich alles was über die Leitung geht (und ja, ich sehe da Internet und lokales Netzwerk gleichwertig) verschlüsselt haben.
Aber da müssen wir wohl noch ein paar Seucirty-Totalschäden abwarten, bis hier manche Leute umdenken
Es kommt auf die Anforderungen an und nicht jeder hat die Anforderungen einer Bank oder Versicherung. Ich spreche hier allerdings auch von on premise Lösungen. Wenn ich das Netz weder kenne noch betreibe, ist das was anderes.
 
#24
Da ich diese "leidenschaftlich" entbrannte Diskussion keinen Meter verfolgt habe - kann ich nicht ganz nachvollziehen worauf sich dein ausführlicher Kommentar bezieht. @double-p
Das bezog sich auf das "Gemecker" von bananenBrot. Wer in OpenBSD etwas anders haben will, sollte ueblicherweise besser einen 'diff' (eigentlich einen patch) "mitbringen", wenn er Gehoer erwartet ;-).