Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

M0n0wall Syslog Server mit SliTaz

Frage Netzwerke

Mitglied: DrBulla

DrBulla (Level 1) - Jetzt verbinden

25.06.2010 um 01:08 Uhr, 8831 Aufrufe, 11 Kommentare

Syslogging mit Linux SliTaz auf Alix System

Hallo - hier wieder der Hobby-IT'ler!

Leider habe ich nahezu keine Kenntnisse in Linux. Ich schäme mich auch dafür, aber Kontakt mit Linux habe ich erst seit kurzem.

Da Linux einen Syslog Server immer mit sich bringt, habe ich mich für die Mini-PC Variante für schmales Geld entschieden, um das Syslog der m0n0wall abzuspeichern.
In der letzten m0n0wall Lösung habe ich dazu einen laufenden Windows Server mit 'ner Shareware eingerichtet, das ging in Minuten, ABER SliTaz dazu zu bewegen hingegen nicht.

Ich hab herausgefunden, dass dort syslogd drauf ist. Leider "Command Line" und ich mags halt gerne grafisch. Wie bekomme ich es jetzt hin, in SliTaz etwas grafisches unterzubringen? Es gibt sicherlich Software, aber welche "Variante" .tar.gz oder wie das alles heisst, wie geht 'n des?
Alleine eine feste IP in Linux einzustellen .. pff.

Ciao und danke für Hilfe
DrBulla
Mitglied: aqui
25.06.2010 um 16:57 Uhr
Im Grunde ist es ganz einfach !
Der Syslog Daemon ist immer aktiv unter Linux. Generell musst du nichts machen. Wenn du die Monowall auf die IP des Linux Servers einstellst solltest du die eingehende Logging Messages in der Datei /var/log/messages sehen.
Mit tail -f /var/log/messages kannst du dir in einem Fenster den Output der messages Datei anzeigen lassen ( ctrl c stoppt den Output wieder)

Es gibt aber ein paar Dinge zu beachten. Je nachdem ob eine lokale Firewall auf dem Linux aktiv ist kann es sein das der Port UDP 514 (syslog Port) gesperrt ist. Den musst du dann entsprechend freigeben.
Ob Syslog Messages der Monowall überhaupt ankommen kannst du mit dem Kommando tcpdump port syslog oder sudo tcpdump port syslog sehen je nachdem welche Linux Distro du verwendest. Falls er das Keyword "syslog" nicht versteht geht alternativ auch tcpdump 'port 514'
tcpdump zeigt dir die eigehenden Syslog Packete der Monowall direkt an.

Kommt dort was an siehst du auch die Messages. Auf die Dauer ist es aber nervig System Meldungen und anderes gemischt mit den Monowall Syslog Messages zu sehen und du kannst die Monowall Meldungen direkt in eine separate Datei schreiben.
Dazu editierst du mit dem vi, pico oder joe (oder deinem Linux Lieblingseditor) die Datei /etc/syslog.conf und fügst dort z.B. eine Zeile:
+172.16.1.254
*.* /var/log/m0n0wall.log
ein wenn die Monowall die IP 172.16.1.254 hat.
Alles in allem sieht dann die syslog.conf dann z.B. so aus:
01.
# /etc/syslog.conf - Configuration file for syslogd(8) 
02.
03.
# For info about the format of this file, see "man syslog.conf". 
04.
05.
 
06.
07.
08.
# print most on tty10 
09.
kern.warn;*.err;authpriv.none   /dev/tty10 
10.
*.emerg                         * 
11.
 
12.
 
13.
14.
# all email-messages in one file 
15.
16.
mail.*                          -/var/log/mail 
17.
 
18.
19.
# all news-messages in one file 
20.
21.
news.*                          -/var/log/news 
22.
 
23.
24.
# Warnings in one file 
25.
26.
*.warn                          /var/log/warn 
27.
 
28.
29.
# save the rest in one file 
30.
31.
*.*;mail.none;news.none         /var/log/messages 
32.
 
33.
#*.*                            /var/log/allmessages 
34.
# M0n0wall in other file 
35.
+172.16.1.254 
36.
*.*                              /var/log/m0n0wall.log 
37.
 
38.
# Cisco devices 
39.
local7.*                        /var/log/cisco.log
Dann laufen alle deine Monowall Meldungen automatisch in die Datei /var/log/m0n0wall.log die du vorher in dem Verzeichnis mit touch /var/log/m0n0wall.log log anlegen solltest ! ggf. auch noch schreibbar machen mit chmod 640 /var/log/m0n0wall.log
Fertisch !
Mit tail -f /var/log/m0n0wall.log solltest du dann eingehende Syslog Messages der Monowall sehen !
Besuchte URLs der Gast WLANs siehst du mit den Firewall Regeln indem du aktivierst aktivieren ob, wenn eine Regel zutrifft, geloggt werden soll...
Einfach in der Standard Regel im LAN Bereich den Haken bei Log rein und du siehst auf welche IPs der User zugreift.
Die Captive Portal logins kommen ebenfalls dort rein. Kannst du auch in der syslog.conf ggf. auch noch wieder in andere Datenen aufsplitten wenn du willst.
Zudem gibt es zuhauf grafische Syslog Tools mit denen du die Syslogs grafisch durchsuchen und filtern kannst !
Bitte warten ..
Mitglied: DrBulla
25.06.2010 um 18:01 Uhr
Ui, vielen Dank!
Montag probiere ich das aus, versuche das der Reihe nach zu "finden" und umzusetzen.
Ich würde jetzt am liebsten schon sagen, du bist ein Schatz
Das aber erst Montag ;)

Gracias!
Bitte warten ..
Mitglied: aqui
25.06.2010 um 18:04 Uhr
Sorry, die Formatierung der syslog.conf Datei ist etwas durcheinander geraten. Nun stimmts wieder
Bitte warten ..
Mitglied: mrtux
26.06.2010 um 23:50 Uhr
Hi !

Eine grafische Auswertung für (Sys-)Logfiles: PHPLogCon, wurde allerdings umbenannt in LogAnalyzer. Entwickelt wurde es von Rainer Gerhards dem Entwickler von Rsyslog. Es basiert auf PHP und kann sowohl textbasierte als auch datenbankbasierte (Sys)Logs aufbereiten, grafisch auswerten/darstellen, hat Suchfunktionen und eine Benutzerverwaltung...

....Und das "Gegenstück" soll natürlich auch noch erwähnt werden: Logzilla aka PHP-syslog-ng

Du benötigst aber mindestens einen funktionsfähigen Webserver (Apache, Lighttpd, Cherokee usw.) mit PHP. Wenn Du die SysLogs in eine Datenbank loggst, dann natürlich auch noch MySQL (o.ä.). Der Cherokee eignet sich gut für "Einsteiger" (im Sinne von draufklicken und gut äähm hoffentlich...), da er ein WebGUI-basiertes Setuptool mitbringt....

mrtux
Bitte warten ..
Mitglied: DrBulla
27.06.2010 um 12:25 Uhr
Also müsste ich SliTaz auch noch zum Webserver machen?

Nee, ich glaube der Aufwand lohnt nicht. Es ist immerhin "nur" die Vorratsdatenspeicherung, und für den Fall, dass ein Zugriff auf die Daten notwendig wird, lässt sich die Log Datei prima nach Datum Durchsuchen und gut is.

Loganalyzer schau ich mir aber trotzdem an!

drbulla
Bitte warten ..
Mitglied: DrBulla
28.06.2010 um 22:23 Uhr
Tja, zu früh gelobt

Es gibt die Datei syslog.conf in /etc nicht.
Alle anderen .conf Dateien sahen nicht ansatzweise ähnlich aus.
Auch kommuniziert m0n0wall nicht mit dem laufen syslogd, welches in /var/log/messages durchaus mitloggt.

Ich habe noch nicht einmal SliTaz dazu gebracht, eine andere IP statisch anzunehmen .-(
Evtl. hab ich mich mit einem Linux-System übernommen, da gar keine Grundkenntnisse vorhanden sind.

Gibt es "noch idiotensicherere" Beschreibungen?



EDIT:
SliTaz hat wohl keine syslog.conf (irgendwie eine abgespeckte variante), hab was von BusyBox gelesen ...
Also syslog-ng installieren mmh?
Bitte warten ..
Mitglied: DrBulla
29.06.2010 um 14:50 Uhr
Immerhin:

Mit: tcpdump port syslog kommt was rein.
14:45 IP 192.168.20.1.syslog > 192.168.20.20.syslog: SYSLOG local7.info, length 143 | bzw. SYSLOG local0.warning, length: 126

In die messages kommt aber nichts an. Wohin geht das ganze dann?
Bitte warten ..
Mitglied: aqui
04.07.2010 um 13:01 Uhr
Das mag sein das das nur ein interner Syslog ist, der keine Syslog Verbindungen von außen annimmt. Busybox ist sowas wie ne eierlegende Wollmilchsau für Minimainboards oder DSL Router und scheint die /etc/syslog.conf zu ignorieren:
http://www.linuxquestions.org/questions/linux-general-1/syslogd-in-busy ...
(Google Suche "busybox syslog" )
Vermutlich musst du also eine externe Syslog Lösung installieren.
Bitte warten ..
Mitglied: DrBulla
04.07.2010 um 22:00 Uhr
So wird es sein. Syslogd schreibt sogar, dass diese Version die syslogd.conf ignoriert.
Ist denn nur diese Datei dafür verantwortlich, welche Meldungen geloggt werden?

In Linux hab ich schon öfter gesehen, ein sogenannter Paket-Installer. Dort findet man für die Distribution passenden Zusatzprogramme. Da ist nur ein Syslog-php dabei. Wenn ich nyslog-ng runterladen will, fragt er nach der passenden Distribution. Ey, ab da bin ich völligst überfordert. Unter Ubuntu hab ich schon das "apt-get install" kennengelernt. Das ist unter SliTaz schon wieder anders. Ich hab sogar schon wieder vergessen, wie der Befehl ging, aber es war im Prinzip dasselbe. Und wenn ich das richtig erkannt habe, werden dort auch nur die aus dem Paket-Installer händisch installiert.

Ein anderes Programm verlangte von mir tausend Dinge, die ich noch zusätzlich installiert haben müsste. Eine andere Variante war das runterladen der tar.gz ... da ging das los mit make und ./configure und so weiter.
Nee, beim besten Willen, da muss wohl eine Zyxel her - kostet 15 Euro mehr und ist nur für's Sysloggin gebaut worden. Oder ich brate Ubuntu mit auf die Speicherdisk und starte dies. Ich hoffe die Systemleistung ist gut genut, obwohl xubuntu doch für "low" Systeme geschrieben worden ist, oder?

Hättest du für deinen Vorschlag, aqui, eine externe Lösung zu installieren noch einen konkreten Vorschlag?
Bitte warten ..
Mitglied: DrBulla
17.07.2010 um 12:39 Uhr
Würde diesen Beitrag gerne als "gelöst" markieren - obwohl der Beitrag als "wenig Anspruchsvoll" bewertet wurde, habe ich noch keine "befriedigende" Lösung.
Bitte warten ..
Mitglied: DrBulla
01.08.2010 um 23:11 Uhr
Habe mich selber um eine Lösung gekümmert.

2 Varianten waren möglich.

1. Variante:
Ich brauche gar kein Syslog - mit "tcpdump" werden ja bereits die Datenpakete empfangen, und diese lassen sich mit "tcpdump -x?" sogar im Klartext anzeigen. Danach ist es ein leichtes ein Programm zu schreiben, welches die Meldung brav wegspeichert.

2. Variante (für die ich mich entschieden habe)
SliTaz in die Tonne - dafür Ubuntu 10.04 Server druff, fertig. Der Rsyslog Dämon erfüllt ohne großen Aufwand meine Bedürfnisse und die Server - Version läuft recht gescheit auf dem Alix Board!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(2)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...

Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...