**Dies ist eine alte Version des Dokuments!**
Inhaltsverzeichnis
Syslog – Grundlagen
Syslog ist ein standardisiertes Protokoll zur zentralen Sammlung und Verwaltung von Logdaten. Es wird von fast allen Netzwerkgeräten, Linux-Servern, Firewalls, Routern und vielen Anwendungen unterstützt.
Ziel:
- Ereignisse zentral speichern
- schneller analysieren
- Fehler finden
- Security-Vorfälle erkennen
Warum Syslog?
- Logs aus vielen Geräten an einem Ort gesammelt
- Erleichtert Fehlersuche und Monitoring
- Grundlage fĂĽr SIEM- und Security-Analysen
- Zeitstempel & Prioritäten normiert
- Entlastet lokale Systeme
Ports & Protokolle
Syslog kann drei Hauptvarianten nutzen:
| Protokoll | Port | Beschreibung |
| ———– | —— | ————– |
| UDP | 514 | schnell, aber unzuverlässig |
| TCP | 514 | zuverlässig, verbindungsorientiert |
| TLS | 6514 | verschlĂĽsselte, sichere Ăśbertragung |
In Unternehmensnetzen:
Gerne TCP oder TLS statt UDP, wegen Integrität.
Aufbau einer Syslog-Nachricht
Ein klassischer Syslog-Eintrag besteht aus:
<facility.priority> timestamp hostname application: message
Beispiel:
<134>Jan 12 14:22:03 router1 DHCP: Assigned IP 192.168.10.25 to A4:5E:60:3B:7D:12
Bestandteile:
- Facility → Kategorie (z. B. auth, daemon, kern)
- Severity → Schweregrad (0–7)
- Hostname
- Programm/Service
- Nachricht selbst
Severity Levels (0–7)
| Code | Name | Bedeutung |
| —— | ————- | ———– |
| 0 | Emergency | System unbrauchbar |
| 1 | Alert | sofortige Maßnahmen nötig |
| 2 | Critical | kritische Fehler |
| 3 | Error | Fehler |
| 4 | Warning | Warnung |
| 5 | Notice | wichtige, normale Meldung |
| 6 | Info | informative Meldungen |
| 7 | Debug | detaillierte Debug-Infos |
Facilities
Beispiele:
| Facility | Bedeutung |
| ———- | ———– |
| kern | Kernel |
| auth | Authentifizierung |
| daemon | Hintergrunddienste |
| local0–7 | frei für eigene Zwecke |
| Mailsysteme | |
| syslog | interne Syslog-Events |
Systemaufbau mit zentralem Syslog-Server
ASCII-Ăśbersicht:
+----------------------+
| Syslog-Server |
| (z. B. rsyslog) |
+----------+-----------+
^
|
+-------------+--------------+
| | |
[ Switches ] [ Firewalls ] [ Server ]
| | |
+----------------------------------→ Logdaten
Alle Systeme schicken ihre Logs an einen zentralen Server.
Syslog unter Linux
Bekannte Implementierungen:
- rsyslog (Standard)
- syslog-ng
- journald (systemd-intern, kann weiterleiten)
Konfigurationsbeispiel (rsyslog):
*.* @@192.168.10.50:514
Bedeutung:
@= UDP@@= TCP
Syslog unter OPNsense / pfSense
Netzwerk → Logging → Syslog:
- Server-IP eintragen
- Port 514 TCP oder 6514 TLS
- Logtypen auswählen
- Zertifikate laden (fĂĽr TLS)
Syslog fĂĽr Switches (Cisco-Beispiel)
logging host 192.168.10.50 logging trap informational logging facility local7
Syslog fĂĽr Docker / Container
Docker kann Syslog direkt nutzen:
docker run --log-driver=syslog --log-opt syslog-address=tcp://192.168.10.50:514 ...
Viele Admins zentralisieren:
- Suricata-Logs
- CrowdSec-Events
- Firewalld/iptables
- Auth-Logs
Sicherheitsaspekte
- UDP kann gefälscht werden → besser TCP/TLS
- Logserver muss abgesichert sein
- Logdaten können sensible Informationen enthalten
- Rotation nötig (z. B. logrotate)
- Uhren mĂĽssen per NTP synchron sein
Syslog und SIEM
Syslog ist die Datenbasis für SIEM-Lösungen wie:
- Splunk
- Graylog
- ELK Stack (Elasticsearch, Logstash, Kibana)
- Wazuh
- CrowdSec + Loki
- Grafana
Log-Rotation
Unter Linux typisch:
/var/log/ /var/log/syslog /var/log/auth.log /var/log/kern.log
Rotation:
/etc/logrotate.d/
Zusammenfassung
- Syslog = Standard fĂĽr LogĂĽbertragung
- Ports: 514 (UDP/TCP), 6514 (TLS)
* Severity Levels von 0–7
* zentrale Logserver vereinfachen Monitoring & Security
* in jeder professionellen Infrastruktur unverzichtbar
* Grundlage fĂĽr SIEM- und Analysewerkzeuge