it-themen:grundlagen:netzwerkdienste:syslog
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:14] – [Aufbau einer Syslog-Nachricht] lars | it-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:19] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 85: | Zeile 85: | ||
| < | < | ||
| - | +----------------------+ | + | |
| - | | | + | +----------------------+ |
| - | | (z. B. rsyslog) | + | |
| - | +----------+-----------+ | + | |
| - | | + | |
| - | | + | ^ |
| - | | + | | |
| - | | + | +-------------+--------------+ |
| - | [ Switches ] [ Firewalls ] [ Server ] | + | | |
| - | | + | [ Switches ] [ Firewalls ] [ Server ] |
| - | | + | | |
| + | +----------------------------------→ Logdaten | ||
| + | |||
| </ | </ | ||
| Zeile 110: | Zeile 113: | ||
| < | < | ||
| - | *.* | + | |
| + | *.* | ||
| + | |||
| </ | </ | ||
| Bedeutung: | Bedeutung: | ||
| - | * `@` = UDP | + | * `@` = UDP |
| * `@@` = TCP | * `@@` = TCP | ||
| Zeile 121: | Zeile 127: | ||
| Netzwerk → Logging → Syslog: | Netzwerk → Logging → Syslog: | ||
| - | * Server-IP eintragen | + | * Server-IP eintragen |
| - | * Port 514 TCP oder 6514 TLS | + | * Port 514 TCP oder 6514 TLS |
| - | * Logtypen auswählen | + | * Logtypen auswählen |
| * Zertifikate laden (für TLS) | * Zertifikate laden (für TLS) | ||
| Zeile 139: | Zeile 145: | ||
| < | < | ||
| - | docker run --log-driver=syslog --log-opt syslog-address=tcp:// | + | |
| + | | ||
| + | |||
| </ | </ | ||
| Viele Admins zentralisieren: | Viele Admins zentralisieren: | ||
| - | * Suricata-Logs | + | * Suricata-Logs |
| - | * CrowdSec-Events | + | * CrowdSec-Events |
| - | * Firewalld/ | + | * Firewalld/ |
| - | * Auth-Logs | + | * Auth-Logs |
| ===== Sicherheitsaspekte ====== | ===== Sicherheitsaspekte ====== | ||
| - | * UDP kann gefälscht werden → besser TCP/ | + | * UDP kann gefälscht werden → besser TCP/TLS |
| - | * Logserver muss abgesichert sein | + | * Logserver muss abgesichert sein |
| - | * Logdaten können sensible Informationen enthalten | + | * Logdaten können sensible Informationen enthalten |
| - | * Rotation nötig (z. B. logrotate) | + | * Rotation nötig (z. B. logrotate) |
| - | * Uhren müssen per NTP synchron sein | + | * Uhren müssen per NTP synchron sein |
| ===== Syslog und SIEM ====== | ===== Syslog und SIEM ====== | ||
| Zeile 160: | Zeile 169: | ||
| Syslog ist die Datenbasis für SIEM-Lösungen wie: | Syslog ist die Datenbasis für SIEM-Lösungen wie: | ||
| - | * Splunk | + | * Splunk |
| - | * Graylog | + | * Graylog |
| - | * ELK Stack (Elasticsearch, | + | * ELK Stack (Elasticsearch, |
| - | * Wazuh | + | * Wazuh |
| - | * CrowdSec + Loki | + | * CrowdSec + Loki |
| - | * Grafana | + | * Grafana |
| ===== Log-Rotation ====== | ===== Log-Rotation ====== | ||
| Zeile 171: | Zeile 180: | ||
| Unter Linux typisch: | Unter Linux typisch: | ||
| < | < | ||
| - | /var/log/ | + | |
| - | / | + | /var/log/ |
| - | / | + | / |
| - | / | + | / |
| + | / | ||
| + | |||
| </ | </ | ||
| Rotation: | Rotation: | ||
| < | < | ||
| - | / | + | |
| + | / | ||
| + | |||
| </ | </ | ||
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * Syslog = Standard für Logübertragung | + | * Syslog = Standard für Logübertragung |
| - | * Ports: 514 (UDP/TCP), 6514 (TLS) | + | * Ports: 514 (UDP/TCP), 6514 (TLS) |
| - | * Severity Levels von 0–7 | + | * Severity Levels von 0–7 |
| - | * zentrale Logserver vereinfachen Monitoring & Security | + | * zentrale Logserver vereinfachen Monitoring & Security |
| - | * in jeder professionellen Infrastruktur unverzichtbar | + | * in jeder professionellen Infrastruktur unverzichtbar |
| - | * Grundlage für SIEM- und Analysewerkzeuge | + | * Grundlage für SIEM- und Analysewerkzeuge |
it-themen/grundlagen/netzwerkdienste/syslog.1764591247.txt.gz · Zuletzt geändert: von lars