it-themen:grundlagen:netzwerkdienste:syslog
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:15] – [Systemaufbau mit zentralem Syslog-Server] lars | it-themen:grundlagen:netzwerkdienste:syslog [01.12.2025 13:19] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 113: | Zeile 113: | ||
| < | < | ||
| - | *.* | + | Â |
| + | *.* | ||
| + | Â | ||
| </ | </ | ||
| Bedeutung: | Bedeutung: | ||
| - | * `@` = UDP | + | * `@` = UDP |
| * `@@` = TCP | * `@@` = TCP | ||
| Zeile 124: | Zeile 127: | ||
| Netzwerk → Logging → Syslog: | Netzwerk → Logging → Syslog: | ||
| - | * Server-IP eintragen | + | * Server-IP eintragen |
| - | * Port 514 TCP oder 6514 TLS Â | + | * Port 514 TCP oder 6514 TLSÂ |
| - | * Logtypen auswählen | + | * Logtypen auswählen |
| * Zertifikate laden (fĂĽr TLS) | * Zertifikate laden (fĂĽr TLS) | ||
| Zeile 142: | Zeile 145: | ||
| < | < | ||
| - | docker run --log-driver=syslog --log-opt syslog-address=tcp:// | + | Â |
| + | | ||
| + | Â | ||
| </ | </ | ||
| Viele Admins zentralisieren: | Viele Admins zentralisieren: | ||
| - | * Suricata-Logs | + | * Suricata-Logs |
| - | * CrowdSec-Events | + | * CrowdSec-Events |
| - | * Firewalld/ | + | * Firewalld/ |
| - | * Auth-Logs | + | * Auth-Logs |
| ===== Sicherheitsaspekte ====== | ===== Sicherheitsaspekte ====== | ||
| - | * UDP kann gefälscht werden → besser TCP/ | + | * UDP kann gefälscht werden → besser TCP/TLS |
| - | * Logserver muss abgesichert sein  | + | * Logserver muss abgesichert sein |
| - | * Logdaten können sensible Informationen enthalten | + | * Logdaten können sensible Informationen enthalten |
| - | * Rotation nötig (z. B. logrotate) | + | * Rotation nötig (z. B. logrotate) |
| - | * Uhren mĂĽssen per NTP synchron sein | + | * Uhren mĂĽssen per NTP synchron sein |
| ===== Syslog und SIEM ====== | ===== Syslog und SIEM ====== | ||
| Zeile 163: | Zeile 169: | ||
| Syslog ist die Datenbasis für SIEM-Lösungen wie: | Syslog ist die Datenbasis für SIEM-Lösungen wie: | ||
| - | * Splunk | + | * Splunk |
| - | * Graylog | + | * Graylog |
| - | * ELK Stack (Elasticsearch, | + | * ELK Stack (Elasticsearch, |
| - | * Wazuh  | + | * Wazuh |
| - | * CrowdSec + Loki  | + | * CrowdSec + Loki |
| - | * Grafana | + | * Grafana |
| ===== Log-Rotation ====== | ===== Log-Rotation ====== | ||
| Zeile 174: | Zeile 180: | ||
| Unter Linux typisch: | Unter Linux typisch: | ||
| < | < | ||
| - | /var/log/Â | + | Â |
| - | / | + | /var/log/Â |
| - | / | + | / |
| - | / | + | / |
| + | / | ||
| + | Â | ||
| </ | </ | ||
| Rotation: | Rotation: | ||
| < | < | ||
| - | / | + | Â |
| + | / | ||
| + | Â | ||
| </ | </ | ||
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * Syslog = Standard für Logübertragung | + | * Syslog = Standard für Logübertragung |
| - | * Ports: 514 (UDP/TCP), 6514 (TLS) Â | + | * Ports: 514 (UDP/TCP), 6514 (TLS)Â |
| - | * Severity Levels von 0–7  | + | * Severity Levels von 0–7 |
| - | * zentrale Logserver vereinfachen Monitoring & Security | + | * zentrale Logserver vereinfachen Monitoring & Security |
| - | * in jeder professionellen Infrastruktur unverzichtbar | + | * in jeder professionellen Infrastruktur unverzichtbar |
| - | * Grundlage fĂĽr SIEM- und Analysewerkzeuge | + | * Grundlage fĂĽr SIEM- und Analysewerkzeuge |
it-themen/grundlagen/netzwerkdienste/syslog.1764591328.txt.gz · Zuletzt geändert: von lars