3
Syslog-Live-Monitoring mit Splunk für 3CX VoIP-Server
Hallo,
ich habe hier einen 3CX-Server mit ca. 60 Nebenstellen. Laut Log gibt es offensichtlich Angriffsversuche mit völlig dubiosen Nebenstellen.
Für eine bessere Kontrolle überlege ich mir die Logs - live - mit Splunk überwachen zu lassen. Kennt jemand einen Weg die Syslog-Meldungen der 3CX Anlage (wo vermute ich mal auch die Fehlermeldungen der falschen Nebenstellen sind) durch ein bestimmtes Port mit Splunk live erfassen zu können?
Ich denke in Splunk gibt es einen Sensor auch für Portmonitoring.
Wie würdet ihr eine solche Überwachung selbst umsetzen?
Vielen Dank für eure Meinungen.
Gr. I.
ich habe hier einen 3CX-Server mit ca. 60 Nebenstellen. Laut Log gibt es offensichtlich Angriffsversuche mit völlig dubiosen Nebenstellen.
Für eine bessere Kontrolle überlege ich mir die Logs - live - mit Splunk überwachen zu lassen. Kennt jemand einen Weg die Syslog-Meldungen der 3CX Anlage (wo vermute ich mal auch die Fehlermeldungen der falschen Nebenstellen sind) durch ein bestimmtes Port mit Splunk live erfassen zu können?
Ich denke in Splunk gibt es einen Sensor auch für Portmonitoring.
Wie würdet ihr eine solche Überwachung selbst umsetzen?
Vielen Dank für eure Meinungen.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 283179
Url: https://administrator.de/contentid/283179
Printed on: April 19, 2024 at 19:04 o'clock
3 Comments
Latest comment
Nun ich würde eher schauen von welcher IP der ANgriff kommt und in den Switchen schauen auf welchen Port die IP sich befindet.
Dann kannst du anhand des Ports und deiner Pläne sehen von welcher Dose der Angreifer kommt und ihn mit Betriebsrat & Co Persöhnlich dies Untersagen ;)
Dann kannst du anhand des Ports und deiner Pläne sehen von welcher Dose der Angreifer kommt und ihn mit Betriebsrat & Co Persöhnlich dies Untersagen ;)
Gerne ... 
Ich habe bei der Umsetzung folgende Probleme:
- Der Server ist gemietet, steht irgendwo in Frankfurt
- die Angriffe kommen aus Frankreich und USA, meistens ohne Personalausweiskopie ...
Was ich machen kann: Kennwörter verbessern, Extension-Ranges und IPs blockieren
Um dies zu verbessern dachte ich, dass ich eventuell die Anzahl der Fehlermeldungen beobachten könnte ...
Gr. I.
Ich habe bei der Umsetzung folgende Probleme:
- Der Server ist gemietet, steht irgendwo in Frankfurt
- die Angriffe kommen aus Frankreich und USA, meistens ohne Personalausweiskopie ...
Was ich machen kann: Kennwörter verbessern, Extension-Ranges und IPs blockieren
Um dies zu verbessern dachte ich, dass ich eventuell die Anzahl der Fehlermeldungen beobachten könnte ...
Gr. I.
Sag doch das es nicht in euren Netzwerk ist sondern Extern...
Sind doch wieder Infos die einiges ändern...
Nun wenn ihr nur aus Deutschland zugreift kannst du ja schonmal alle anderen Länder Sperren somit hast du schonmal viel weniger Angriffe.
Dazu währe Zugang per VPN auch eine Möglichkeit.
Desweiteren währe Auswertung der Logfiles mit Sperren der IP wenn 3x Falsche Zugangsdaten eingegeben worden sind auch nützlich.
Aber Lange Passwörter bringen nix wenn die genug Zeit bekommen um alle zu Testen sowie wenn ein Fehler in der Software vorhanden ist....
Sind doch wieder Infos die einiges ändern...
Nun wenn ihr nur aus Deutschland zugreift kannst du ja schonmal alle anderen Länder Sperren somit hast du schonmal viel weniger Angriffe.
Dazu währe Zugang per VPN auch eine Möglichkeit.
Desweiteren währe Auswertung der Logfiles mit Sperren der IP wenn 3x Falsche Zugangsdaten eingegeben worden sind auch nützlich.
Aber Lange Passwörter bringen nix wenn die genug Zeit bekommen um alle zu Testen sowie wenn ein Fehler in der Software vorhanden ist....
