Re: Central Syslog server

From: Per Engelbrecht (none@per--xterm.dk.lh.bsd-dk.dk)
Date: Fri 23 Apr 2004 - 10:34:17 CEST 

Date: Fri, 23 Apr 2004 10:34:17 +0200 (CEST)
Subject: Re: Central Syslog server
From: "Per Engelbrecht" <none@per--xterm.dk.lh.bsd-dk.dk>
To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>

Hej Allan
Det var da noget af en logging. Logger du alt ?
Vil anbefale at du saetter et level paa 'notice' eller en tak hoejere.
Vaer dog opmaerksom paa at visse netvaerksbokse og -producenter, har en
anderledes holdning til hvor graensen gaar mellem f.eks. 'info' og
'notice'. Jeg gaar du fra at du ogsaa includere routere o.l. i din
logning! (er jo meget rart at vide om de bliver genstartet kl. 03.15
uden din medvirken)

Jeg har aldrig haft logging via db, men en modular syslog skulle vaere
god ifb. m. db.
Har du set paa SDSC http://security.sdsc.edu/software/sdsc-syslog/

Al din logning er 'null' vaerd hvis data ikke gennemgaaes af en
kompetent person (du skal ikke saette praktikanten 'Benjamin' til at
laese log)

Mht. Windows boxe, saa se evt. paa;
http://www.cert.org/seciruty-improvement/implementations/i041.03.html
Win logger til 3 binaere filer, saa du kan ikke bruge 'grep' i disse og
'remote logging' skal saettes foerst (og .. held og lykke)

Hvis du vil samle historik omkring events (den svaere del) saa skal du
nok kombinere det noget tripwire/snort-logning paa de vigtigste boxe.
Er kun en ide.

mvh
/per
per@xterm.dk

> Hej NG
>
> I nær fremtid skal jeg implementere en central syslog server, som
> skal modtage log- Messages fra bl.a. Linux, FreeBSD, HP-UX, Tru64,
> Windows 2000/2003 Server og NetScreen Firewall.
>
> Der vil være tale om en del trafik, som skal logges, og uden at
> kunne give et 100% Sikkert bud, så forventer jeg ca. 5 GB i døgnet
> (gennemsnitligt ca. 200 MB i timen), Når logserveren er fuldt
> implementeret. Logfilerne tænkes lagret på et SAN.
>
> Der selvfølgelig krav om, at
>
> - der skal være søgemuligheder, formodentlig webbaseret
> - f.eks. Ugentlig analyse af log via scripts
> - Logrotation
>
> Jeg har undersøgt mulighederne for diverse alternativer til den
> noget gamle syslogd, Og fandt bl.a. Syslog-ng, Metalog og Modular
> syslog. Muligheden for databaseunder- Støttelse giver nogle
> fordele, når der skal implementeres søgemuligheder, men jeg er Lidt
> usikker på om MySQL eller PostgreSQL databaserne kan følge med, når
> der er tale Om disse mængder data (jeg er ikke database ekspert).
> Nok forventer jeg gennemsnitlig 200 MB logdata i timen, men det
> data er sandsynligvis mere ulige fordelt på døgnet.
>
> Er der nogen, som har erfaring med centrale logservere, der
> modtager anselige mængder Data, og hvilke erfaringer har i med
> "flade logfiler" contra database?
>
>
> --
>
> Allan Wermuth
>
> Driftsingeniør, IT-service - Syddansk Universitet Campusvej 55,
> DK-5230 Odense M

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:39 CET