der-phil
Goto Top

Empfehlung Syslog-Eventlog Zentralisierung

Hallo!

Ich suche eine schöne Lösung, um Syslog und Eventlog (von Windows-Systemen) zu zentralisieren.

Wie macht ihr das?

Aufgabenstellung wäre:
- Syslog-Server, der Messages von Switchen, Firewalls, etc. annimmt
- Windows-Eventlog-Collector
- Mailalarme nach Kriterien
- Ändern der Severity nach Kriterien


Mein bisheriger Favorit wäre Graylog, aber noch ist nichts "gekauft". Bei Graylog finde ich die Installation und das Einrichten der Alarme unangenehm.
Betriebssystem Windows oder Linux.
Bei mir geht es um ca. 150 Netzwerkgeräte und ebenso viele Windows/Linux Server.

Danke für eure Tipps
Phil

Content-Key: 384086

Url: https://administrator.de/contentid/384086

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: Penny.Cilin
Penny.Cilin 22.08.2018 um 13:20:20 Uhr
Goto Top
Hallo,

und warum nicht ein Monitoring Tools wie PRTG oder Nagios oder anderer Produkte?
Oder geht es nur um die Logs selbst?

Gruss Penny
Mitglied: Der-Phil
Der-Phil 22.08.2018 um 13:23:17 Uhr
Goto Top
Hallo!

PRTG habe ich im Einsatz. Monitoring ist also abgedeckt, aber SYSLOG/Eventlog eben nicht.
Nehmen wir an, an einem Switch geht ein Port auf Error-Disabled. Das kann ich mit PRTG schlecht abbilden.

Achja: Splunk hatte ich auch angeschaut, fand es aber SEHR kompliziert.

Grüße
Phil
Mitglied: aqui
aqui 22.08.2018 aktualisiert um 13:39:11 Uhr
Goto Top
Mitglied: Der-Phil
Der-Phil 22.08.2018 um 13:50:43 Uhr
Goto Top
Hallo!

Das ist einfach und effektiv, aber für mich einfach nicht "mächtig" genug bzw. zu viel Bastelei, bis alles funktioniert:

- Mail-Alerts - selbst bauen
- Windows-Event-Logs abfragen: selbst bauen

Ich suche etwas "Eleganteres".

Gruß
Phil
Mitglied: colinardo
colinardo 22.08.2018 aktualisiert um 13:57:03 Uhr
Goto Top
Zitat von @Der-Phil:
PRTG habe ich im Einsatz. Monitoring ist also abgedeckt, aber SYSLOG/Eventlog eben nicht.
?? Ist doch alles da => https://www.paessler.com/manuals/prtg/event_log_windows_api_sensor

Nehmen wir an, an einem Switch geht ein Port auf Error-Disabled. Das kann ich mit PRTG schlecht abbilden.
Doch, per SNMP (Trap) normalerweise leicht abzufragen.

Ist alles da was du brauchst face-smile.

G. Uwe
Mitglied: Der-Phil
Der-Phil 22.08.2018 um 13:59:19 Uhr
Goto Top
Hallo!

Ja, PRTG kann grundsätzlich sowohl das Eventlog abfragen, als auch Syslog, aber beides eher schlecht, als recht. PRTG ist eben doch eher stark, bei "Zuständen". Bei einer größeren Menge Events den Überblick zu behalten finde ich schwierig.

Nutzt Du das denn aktiv?

Genauso SNMP-Trap. PRTG geht dann auf Fehler und nach der nächsten (positiven) Meldung wieder nicht.

In der Vergangenheit habe ich auch KIWI genutzt, aber ich suche eben etwas Zentrales, was alle Systeme unterstützt.

Phil
Mitglied: colinardo
colinardo 22.08.2018 aktualisiert um 14:14:06 Uhr
Goto Top
Zitat von @Der-Phil:
Ja, PRTG kann grundsätzlich sowohl das Eventlog abfragen, als auch Syslog, aber beides eher schlecht, als recht. PRTG ist eben doch eher stark, bei "Zuständen". Bei einer größeren Menge Events den Überblick zu behalten finde ich schwierig.

Nutzt Du das denn aktiv?
Das KMU dem ich das mal eingerichtet habe hat sich bisher noch nicht beschwert face-smile.
Genauso SNMP-Trap. PRTG geht dann auf Fehler und nach der nächsten (positiven) Meldung wieder nicht.
Kann ich bisher nicht bestätigen, Konfigurationssache.
In der Vergangenheit habe ich auch KIWI genutzt, aber ich suche eben etwas Zentrales, was alle Systeme unterstützt.
Ich pers. nutze bei Windows Kisten zumeist das schlanke HostMonitor mit verteilten Nodes.

Alles eine Konfigurations- und Gusto-Frage.
Mitglied: Penny.Cilin
Penny.Cilin 22.08.2018 um 15:11:37 Uhr
Goto Top
Zitat von @Der-Phil:

- Mail-Alerts - selbst bauen
- Windows-Event-Logs abfragen: selbst bauen

Ich suche etwas "Eleganteres".
Also etwas für FUALE, wo man nixx machen muss und alles funktioniert.
Naja, von NIXX kommt nixx. - Also viel Spaß bei der weiteren Suche.

P.S. Was machst Du eigentlich bei GROßEN Umgebungen?

Gruß
Phil

Gruss Penny
Mitglied: Der-Phil
Der-Phil 22.08.2018 um 16:04:56 Uhr
Goto Top
Hallo!

Ja, hier wäre ich gerade bereit Geld auszugeben, wenn dafür das Ganze mit weniger "Anbauarbeit" geht, wenn ich weniger Schulungsarbeit im Team habe, etc.

Manchmal verstehe ich das Forum hier nicht:
Wer nach kostenlosen Lösungen fragt, wird angegangen, dass Gutes auch mal Geld kostet.
Wer sich Arbeit ersparen will (durch Geld) ist faul.

Ja, ich suche etwas "für Faule". Ich will nicht mehrere Tage an der Lösung sitzen und nochmal so lange sie meinen Leuten erklären müssen, weil ich Syslog in DB, dann eine Unterlösung zur Visualisierung, eine Unterlösung für die Alarme, eine Unterlösung für die Windows-Anbindung...
Mitglied: aqui
aqui 23.08.2018 um 18:50:47 Uhr
Goto Top
Faule installieren den kostenlosen Kiwi Syslog auf Winblows face-wink
https://www.kiwisyslog.com/free-tools/kiwi-free-syslog-server
Oder den RasPi... face-wink
Mitglied: Der-Phil
Der-Phil 24.08.2018 um 14:41:44 Uhr
Goto Top
Hallo!

@aqui:
Dann muss ich Windows-Systeme erst einmal auf Syslog bekommen...

Kurzes Update, falls jemand etwas Ähnliches sucht:

- Graylog mit NXLog für Windows-Systeme
- XpoLog kostet etwas Geld, ist nicht gerade performant, sammelt aber schön die Logs aus verschiedenen Quellen ein und hat brauchbare Dashboards für gängige Systeme

Grüße
Mitglied: aqui
aqui 26.08.2018 um 12:34:27 Uhr
Goto Top
Dann muss ich Windows-Systeme erst einmal auf Syslog bekommen...
Die ganze Welt macht Syslog und die Weltfirma Microsoft kann sowas Banales nicht auf ihren Systemen ??? face-sad