syslog server (splunk, kiwi, något annat?)

Trädvy Permalänk
Medlem
Registrerad
Feb 2004

syslog server (splunk, kiwi, något annat?)

Tjabba !

Funderar på att börja köra en syslog server och plocka loggar ifrån min pfsens burk.
Tanken slog mig då att man kanske skulle börja med det från andra prylar också. Så jag började fundera på vilken server man skall köra.

Kiwi verkar ju ganska smidigt, problemet är att den andast finns för windows? Inget jätteproblem egentligen. I gratis versionen så kan man köra 5 klienter, men inget web gränssnitt, så man måste in i burken som kör det varje gång man skall kolla något. Verkar inte heller som man kan göra alerts och liknande.

Splunk verkar ju också bra, men otroligt omständigt. Men om jag förstått det hela rätt så har jag registrerat mig på en gratis cloud tjänst där jag kan överföra 500 Mb data. Men det verkar som att jag måste ha typ en klient internt på min burk som samlar upp all data och sedan skickar det till splunk? Eller hur fungerar det?

Vad finns det ver för alternativ till bra och gratis syslog servrar?

Trädvy Permalänk
Medlem
Plats
Höör
Registrerad
Jun 2002

rsyslog + LogAnalyzer (från samma företag/snubbe som maintainar och skrivit merparten av rsyslog)?

rsyslog har mängder med plugins för olika outputs (Elasticsearch, JSON, databaser, you-name-it). Använde det i våra emebeddedmiljöer och har även contributat en del upstream så jag hade kört på rsyslog. De håller sig till standarder också och är aktiva att hjälpa till på mailinglistan om man har problem.

EDIT: Kan tilläggas att jag inte kört just deras LogAnalyzer så kan inte säga något om den. Det finns sannolikt en hel del andra gratisalternativ där ute.

Just när det gäller syslogserver så ja, du bör ha något som står igång och tar emot meddelanden från de olika enheterna.

Citera mig för svar.
Arch Linux

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

För några år sedan gjorde jag exakt så, skrev en liten blog om det. Men den ska man nog inte följa idag http://www.direktorn.com/blog/2015/07/24/monitor-your-firewal...

Jag kör fortfarande ELK, fast då skickar jag syslog från en juniper fw istället.

Trädvy Permalänk
Medlem
Registrerad
Feb 2004

@studiox_swe: Ser jäkligt snyggt ut, skall kolla på ELK.
Men vart har du del2 som du hänvisar till? Eller är det inte svårare än att man skriver in addressen till ELK servern i pfsense ?

@Dimman: Ja, självklart skall den stå igång hela tiden. Det jag mest funderade på var om loggarna först skickas till en "internt" server som sedan skickar dem vidare till splunk. Känns som att det hade varit smartare att skicka dem direkt till splunk.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jul 2002

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

@look2: Ajdå, jag var helt säker på att jag hade del 2 också, hade inte wordpress när jag skrev det där inlägget så jag har importerat och verkar ha missat del 2..

Det var lite synd då det är ju i Del2 som man gör allt jobb. När jag pysslade med detta var jag tvungen att göra ett eget Grok-filter och det var lite pain in the ass, hittade ett som var ganska komplett men saknade saker (minns inte vad det var nu).

Idag finns det säkert andra guider, men om du stöter på problem hojta till här så kanske jag kan hjälpa.

Trädvy Permalänk
Medlem
Registrerad
Feb 2004

Sådär, rsyslog installerat och konfat, loggarna väller in.
Nu verkar ju lite svårare att kunna presentera dem på något bra sätt då det mesta om JSON, Elasticsearch är nytt och grekiska för mig

Trädvy Permalänk
Medlem
Registrerad
Feb 2004

Sådär. Fått det att funka.
Nu gäller det bara att bygga några vettiga vyer...

Skickades från m.sweclockers.com

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

Skicka gärna en skärmdump när du är klar, skoj att jämföra

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

jag testade graylog2 och var inte imponerad käkade RAM som sjutton.

Någon som har några andra alternativ? WEBGUI är att föredra så att man kan enkelt surfa in på den.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av look2:

Sådär. Fått det att funka.
Nu gäller det bara att bygga några vettiga vyer...

Skickades från m.sweclockers.com

Skicka gärna en lite guide på det också. Hjälper ju alltid någon

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

Har personligen tidigare kört ELK och kör ELK i jobbet, hemma har jag fastnat mer för https://www.graylog.org/

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av GonAce:

Har personligen tidigare kört ELK och kör ELK i jobbet, hemma har jag fastnat mer för https://www.graylog.org/

Graylog drar så jädra mycket RAM ca 4GB-5GB

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

@Calby: Kör graylog på en vm med 2Gb, fungerar fin fint, du kanske kör några mysko index?

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

@GonAce: Hmm, jag körde den i en Ubuntu VM gör du det samma? Får pröva installera om och köra den igen då isf.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

@Calby: Hm, skumt, har kört den i Debian och RHEL utan att uppleva det problem du beskriver men jag kanske har haft tur, eller du otur annars fungerar ju ELK riktigt bra det med.