🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:syslog

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:12] – angelegt larsit-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:19] (aktuell) – [Zusammenfassung] lars
Zeile 1: Zeile 1:
 [[start|zurĂĽck]] [[start|zurĂĽck]]
 +====== Syslog – Grundlagen ======
 +
 +Syslog ist ein standardisiertes Protokoll zur zentralen Sammlung und Verwaltung 
 +von Logdaten. Es wird von fast allen Netzwerkgeräten, Linux-Servern, 
 +Firewalls, Routern und vielen Anwendungen unterstĂĽtzt.
 +
 +Ziel:
 +  * Ereignisse zentral speichern
 +  * schneller analysieren
 +  * Fehler finden
 +  * Security-Vorfälle erkennen
 +
 +===== Warum Syslog? ======
 +
 +  * Logs aus vielen Geräten an einem Ort gesammelt
 +  * Erleichtert Fehlersuche und Monitoring
 +  * Grundlage fĂĽr SIEM- und Security-Analysen
 +  * Zeitstempel & Prioritäten normiert
 +  * Entlastet lokale Systeme
 +
 +===== Ports & Protokolle ======
 +
 +Syslog kann drei Hauptvarianten nutzen:
 +
 +| Protokoll | Port | Beschreibung |
 +|-----------|------|--------------|
 +| UDP       | 514  | schnell, aber unzuverlässig |
 +| TCP       | 514  | zuverlässig, verbindungsorientiert |
 +| TLS       | 6514 | verschlĂĽsselte, sichere Ăśbertragung |
 +
 +In Unternehmensnetzen:  
 +**Gerne TCP oder TLS statt UDP**, wegen Integrität.
 +
 +===== Aufbau einer Syslog-Nachricht ======
 +
 +Ein klassischer Syslog-Eintrag besteht aus:
 +
 +<facility.priority> timestamp hostname application: message
 +
 +Beispiel:
 +<code>
 +
 + <134>Jan 12 14:22:03 router1 DHCP: Assigned IP 192.168.10.25 to A4:5E:60:3B:7D:12
 +
 +
 +</code>
 +
 +Bestandteile:
 +  * **Facility** → Kategorie (z. B. auth, daemon, kern)
 +  * **Severity** → Schweregrad (0–7)
 +  * **Hostname**
 +  * **Programm/Service**
 +  * **Nachricht selbst**
 +
 +===== Severity Levels (0–7) ======
 +
 +| Code | Name        | Bedeutung |
 +|------|-------------|-----------|
 +| 0    | Emergency   | System unbrauchbar |
 +| 1    | Alert       | sofortige MaĂźnahmen nötig |
 +| 2    | Critical    | kritische Fehler |
 +| 3    | Error       | Fehler |
 +| 4    | Warning     | Warnung |
 +| 5    | Notice      | wichtige, normale Meldung |
 +| 6    | Info        | informative Meldungen |
 +| 7    | Debug       | detaillierte Debug-Infos |
 +
 +===== Facilities ======
 +
 +Beispiele:
 +
 +| Facility | Bedeutung |
 +|----------|-----------|
 +| kern     | Kernel |
 +| auth     | Authentifizierung |
 +| daemon   | Hintergrunddienste |
 +| local0–7 | frei fĂĽr eigene Zwecke |
 +| mail     | Mailsysteme |
 +| syslog   | interne Syslog-Events |
 +
 +===== Systemaufbau mit zentralem Syslog-Server ======
 +
 +ASCII-Ăśbersicht:
 +
 +<code>
 +
 +         +----------------------+
 +           Syslog-Server      |
 +          (z. B. rsyslog)     |
 +         +----------+-----------+
 +                    ^
 +                    |
 +      +-------------+--------------+
 +      |                          |
 + [ Switches ]   [ Firewalls ]   [ Server ]
 +      |                          |
 +      +----------------------------------→ Logdaten
 +
 +
 +</code>
 +
 +Alle Systeme schicken ihre Logs **an einen zentralen Server**.
 +
 +===== Syslog unter Linux ======
 +
 +Bekannte Implementierungen:
 +  * rsyslog (Standard)
 +  * syslog-ng
 +  * journald (systemd-intern, kann weiterleiten)
 +
 +Konfigurationsbeispiel (rsyslog):
 +
 +<code>
 +
 + *.*   @@192.168.10.50:514
 +
 +
 +</code>
 +
 +Bedeutung:
 +  * `@`  = UDP
 +  * `@@` = TCP
 +
 +===== Syslog unter OPNsense / pfSense ======
 +
 +Netzwerk → Logging → Syslog:
 +
 +  * Server-IP eintragen
 +  * Port 514 TCP oder 6514 TLS
 +  * Logtypen auswählen
 +  * Zertifikate laden (fĂĽr TLS)
 +
 +===== Syslog fĂĽr Switches (Cisco-Beispiel) ======
 +
 +<code>
 +logging host 192.168.10.50
 +logging trap informational
 +logging facility local7
 +</code>
 +
 +===== Syslog fĂĽr Docker / Container ======
 +
 +Docker kann Syslog direkt nutzen:
 +
 +<code>
 +
 +  docker run --log-driver=syslog --log-opt syslog-address=tcp://192.168.10.50:514 ...
 +
 +
 +</code>
 +
 +Viele Admins zentralisieren:
 +  * Suricata-Logs
 +  * CrowdSec-Events
 +  * Firewalld/iptables
 +  * Auth-Logs
 +
 +===== Sicherheitsaspekte ======
 +
 +  * UDP kann gefälscht werden → besser TCP/TLS
 +  * Logserver muss abgesichert sein
 +  * Logdaten können sensible Informationen enthalten
 +  * Rotation nötig (z. B. logrotate)
 +  * Uhren mĂĽssen per NTP synchron sein
 +
 +===== Syslog und SIEM ======
 +
 +Syslog ist die Datenbasis fĂĽr SIEM-Lösungen wie:
 +
 +  * Splunk
 +  * Graylog
 +  * ELK Stack (Elasticsearch, Logstash, Kibana)
 +  * Wazuh
 +  * CrowdSec + Loki
 +  * Grafana
 +
 +===== Log-Rotation ======
 +
 +Unter Linux typisch:
 +<code>
 +
 + /var/log/
 + /var/log/syslog
 + /var/log/auth.log
 + /var/log/kern.log
 +
 +
 +</code>
 +
 +Rotation:
 +<code>
 +
 + /etc/logrotate.d/
 +
 +
 +</code>
 +
 +===== Zusammenfassung ======
 +
 +  * Syslog = Standard fĂĽr LogĂĽbertragung
 +  * Ports: 514 (UDP/TCP), 6514 (TLS)
 +  * Severity Levels von 0–7
 +  * zentrale Logserver vereinfachen Monitoring & Security
 +  * in jeder professionellen Infrastruktur unverzichtbar
 +  * Grundlage fĂĽr SIEM- und Analysewerkzeuge
 +
it-themen/grundlagen/netzwerkdienste/syslog.1764591132.txt.gz · Zuletzt geändert: von lars