syslog server (splunk, kiwi, något annat?)

Permalänk
Medlem

syslog server (splunk, kiwi, något annat?)

Tjabba !

Funderar på att börja köra en syslog server och plocka loggar ifrån min pfsens burk.
Tanken slog mig då att man kanske skulle börja med det från andra prylar också. Så jag började fundera på vilken server man skall köra.

Kiwi verkar ju ganska smidigt, problemet är att den andast finns för windows? Inget jätteproblem egentligen. I gratis versionen så kan man köra 5 klienter, men inget web gränssnitt, så man måste in i burken som kör det varje gång man skall kolla något. Verkar inte heller som man kan göra alerts och liknande.

Splunk verkar ju också bra, men otroligt omständigt. Men om jag förstått det hela rätt så har jag registrerat mig på en gratis cloud tjänst där jag kan överföra 500 Mb data. Men det verkar som att jag måste ha typ en klient internt på min burk som samlar upp all data och sedan skickar det till splunk? Eller hur fungerar det?

Vad finns det ver för alternativ till bra och gratis syslog servrar?

Permalänk
Medlem

rsyslog + LogAnalyzer (från samma företag/snubbe som maintainar och skrivit merparten av rsyslog)?

rsyslog har mängder med plugins för olika outputs (Elasticsearch, JSON, databaser, you-name-it). Använde det i våra emebeddedmiljöer och har även contributat en del upstream så jag hade kört på rsyslog. De håller sig till standarder också och är aktiva att hjälpa till på mailinglistan om man har problem.

EDIT: Kan tilläggas att jag inte kört just deras LogAnalyzer så kan inte säga något om den. Det finns sannolikt en hel del andra gratisalternativ där ute.

Just när det gäller syslogserver så ja, du bör ha något som står igång och tar emot meddelanden från de olika enheterna.

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Inaktiv

För några år sedan gjorde jag exakt så, skrev en liten blog om det. Men den ska man nog inte följa idag http://www.direktorn.com/blog/2015/07/24/monitor-your-firewal...

Jag kör fortfarande ELK, fast då skickar jag syslog från en juniper fw istället.

Permalänk
Medlem

@studiox_swe: Ser jäkligt snyggt ut, skall kolla på ELK.
Men vart har du del2 som du hänvisar till? Eller är det inte svårare än att man skriver in addressen till ELK servern i pfsense ?

@Dimman: Ja, självklart skall den stå igång hela tiden. Det jag mest funderade på var om loggarna först skickas till en "internt" server som sedan skickar dem vidare till splunk. Känns som att det hade varit smartare att skicka dem direkt till splunk.

Permalänk
Medlem
Visa signatur

.: Learn the system, Play the system, Break the system :.

Permalänk
Inaktiv

@look2: Ajdå, jag var helt säker på att jag hade del 2 också, hade inte wordpress när jag skrev det där inlägget så jag har importerat och verkar ha missat del 2..

Det var lite synd då det är ju i Del2 som man gör allt jobb. När jag pysslade med detta var jag tvungen att göra ett eget Grok-filter och det var lite pain in the ass, hittade ett som var ganska komplett men saknade saker (minns inte vad det var nu).

Idag finns det säkert andra guider, men om du stöter på problem hojta till här så kanske jag kan hjälpa.

Permalänk
Medlem

Sådär, rsyslog installerat och konfat, loggarna väller in.
Nu verkar ju lite svårare att kunna presentera dem på något bra sätt då det mesta om JSON, Elasticsearch är nytt och grekiska för mig

Permalänk
Medlem

Sådär. Fått det att funka.
Nu gäller det bara att bygga några vettiga vyer...

Skickades från m.sweclockers.com

Permalänk
Inaktiv

Skicka gärna en skärmdump när du är klar, skoj att jämföra

Permalänk
Medlem

jag testade graylog2 och var inte imponerad käkade RAM som sjutton.

Någon som har några andra alternativ? WEBGUI är att föredra så att man kan enkelt surfa in på den.

Visa signatur

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Permalänk
Medlem
Skrivet av look2:

Sådär. Fått det att funka.
Nu gäller det bara att bygga några vettiga vyer...

Skickades från m.sweclockers.com

Skicka gärna en lite guide på det också. Hjälper ju alltid någon

Visa signatur

.

Permalänk
Medlem

Har personligen tidigare kört ELK och kör ELK i jobbet, hemma har jag fastnat mer för https://www.graylog.org/

Permalänk
Medlem
Skrivet av gonace:

Har personligen tidigare kört ELK och kör ELK i jobbet, hemma har jag fastnat mer för https://www.graylog.org/

Graylog drar så jädra mycket RAM ca 4GB-5GB

Visa signatur

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Permalänk
Medlem

@Calby: Kör graylog på en vm med 2Gb, fungerar fin fint, du kanske kör några mysko index?

Permalänk
Medlem

@gonace: Hmm, jag körde den i en Ubuntu VM gör du det samma? Får pröva installera om och köra den igen då isf.

Visa signatur

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Permalänk
Medlem

@Calby: Hm, skumt, har kört den i Debian och RHEL utan att uppleva det problem du beskriver men jag kanske har haft tur, eller du otur annars fungerar ju ELK riktigt bra det med.