Logging, Reporting, Log-Analyse und Logserver ... - Securepoint
Logging, Reporting, Log-Analyse und Logserver ... - Securepoint
Logging, Reporting, Log-Analyse und Logserver ... - Securepoint
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
Inhalt<br />
1 <strong>Securepoint</strong> <strong>Log</strong>server ................................................................................................... 3<br />
2 <strong>Log</strong>server für eine <strong>Securepoint</strong> Appliance einrichten ...................................................... 4<br />
2.1 <strong>Log</strong>server an der Appliance registrieren .................................................................. 4<br />
2.2 Syslogserver auf der Appliance angeben ................................................................ 6<br />
3 Installation <strong>Log</strong>server ..................................................................................................... 7<br />
3.1 Installation auf einem Windows-Rechner von <strong>Securepoint</strong> CD-ROM ....................... 7<br />
3.2 <strong>Log</strong>server Gr<strong>und</strong>konfiguration ................................................................................. 8<br />
4 <strong>Log</strong>server Datenbankverwaltung ...................................................................................11<br />
4.1 Einrichtung der Datenbank .....................................................................................11<br />
4.2 Datenbank Archivierung .........................................................................................12<br />
4.3 <strong>Log</strong> File Manager verwenden .................................................................................12<br />
5 <strong>Reporting</strong> <strong>und</strong> Alarmierung durch den <strong>Log</strong>server ..........................................................13<br />
5.1 <strong>Log</strong>server Alarmierung ...........................................................................................13<br />
5.2 <strong>Log</strong>server <strong>Reporting</strong> ...............................................................................................14<br />
5.3 <strong>Log</strong>server Ereignis <strong>Reporting</strong> .................................................................................15<br />
6 Dienstauswahl ...............................................................................................................16<br />
7 Netzwerkkonfiguration ...................................................................................................17<br />
8 Fehlerbehandlung .........................................................................................................18<br />
2
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
1 <strong>Securepoint</strong> <strong>Log</strong>server<br />
Ein wichtiger Teil der Funktionen der <strong>Securepoint</strong> Security Appliance sind <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong><br />
<strong>und</strong> <strong>Log</strong>-<strong>Analyse</strong>. Die <strong>Log</strong>-Datei beinhaltet das automatisch erstellte Protokoll bestimmter<br />
Aktionen <strong>und</strong> Prozesse auf einer <strong>Securepoint</strong> Security Appliance.<br />
<strong>Securepoint</strong> <strong>Log</strong>server<br />
Die Aufgaben des <strong>Securepoint</strong> <strong>Log</strong>servers ist das Sammeln <strong>und</strong> Sichern von <strong>Log</strong>-Daten von<br />
<strong>Securepoint</strong>-Systemen. Der <strong>Log</strong>server bietet ebenfalls Alarmierungsfunktionen. Die Appliance<br />
kommuniziert über das Syslog-Protokoll (siehe RFC 3164 <strong>und</strong> 3195) mit dem <strong>Securepoint</strong><br />
<strong>Log</strong>server. Da das Protokoll Syslog verwendet wird, kann die <strong>Securepoint</strong> die <strong>Log</strong>daten auch<br />
auf einen beliebigen anderen Sys<strong>Log</strong>server speichern. Jedoch kann in diesem Fall der <strong>Securepoint</strong><br />
Syslog Client die Daten nicht für die grafische Auswertung abrufen. Im Folgenden<br />
wird die Konfiguration des <strong>Securepoint</strong> <strong>Log</strong>servers beschrieben.<br />
Abb. 1 <strong>Log</strong>server, historische <strong>Log</strong>-Daten <strong>und</strong> Live-<strong>Log</strong>-Daten<br />
Es werden keine <strong>Log</strong>-Daten mehr auf der Firewall zwischengespeichert. Möchte man auf<br />
<strong>Log</strong>informationen in der Vergangenheit zugreifen, so wird ein <strong>Log</strong>server benötigt.<br />
Die Firewall schickt per syslog (Port 514 UDP) die <strong>Log</strong>informationen an den <strong>Log</strong>server. Dazu<br />
muss nur die IP des <strong>Log</strong>servers eingetragen werden.<br />
Um an die <strong>Log</strong>daten zu gelangen, muss dem Manager mittgeteilt werden, wo diese abgelegt<br />
sind. Die Kommunikation zwischen Manager <strong>und</strong> <strong>Log</strong>server findet über SSH (Port 22 TCP)<br />
statt. Auf dem <strong>Log</strong>server läuft ein SSH-Deamon an dem man sich mit dem Windows- Benutzerkonto<br />
authentifiziert.<br />
Hinweis: Bei der Authentifizierung am <strong>Log</strong>server muss Groß- <strong>und</strong> Kleinschreibung beachtet<br />
werden!<br />
3
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
2 <strong>Log</strong>server für eine <strong>Securepoint</strong> Appliance einrichten<br />
2.1 <strong>Log</strong>server an der Appliance registrieren<br />
Damit ein <strong>Log</strong>server Daten von <strong>Securepoint</strong> Security Appliances sammeln kann, müssen die<br />
Appliances wissen, wohin sie die Daten senden müssen. Tragen Sie deshalb zuerst einen<br />
<strong>Log</strong>server bei Ihrer Appliance ein.<br />
‣ Starten Sie einen <strong>Securepoint</strong> Security Manager über: Start -> Programme -> <strong>Securepoint</strong><br />
2007nx -> Security Manager <strong>und</strong> geben Sie Ihr Container-Passwort ein.<br />
‣ Bestätigen Sie die Eingabe mit dem Button OK.<br />
Abb. 2 Container Kennwort eingeben<br />
Anmelden an der Appliance<br />
Abb. 4 mit Firewall verbinden<br />
Abb. 3 Eigenschaften anzeigen lassen<br />
‣ Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der<br />
rechten Maustaste auf das Firewall-Objekt sowie Auswahl des Menüpunktes Verbinden<br />
wird eine Verbindung zur ausgewählten Appliance hergestellt.<br />
‣ Klicken Sie nun mit der rechten Maustaste auf ein vorhandenes rotes Firewall-Symbol<br />
im linken Fenster des Security Managers <strong>und</strong> wählen Sie „Eigenschaften“. Für diese<br />
Appliance wird dem Manager ein <strong>Log</strong>server angegeben, von dem er die <strong>Log</strong>daten abrufen<br />
kann.<br />
Achtung: Sollte kein Firewall-Symbol vorhanden sein, haben Sie noch keine Appliance für<br />
den Security Manager eingerichtet – dies müssen Sie vorher tun.<br />
4
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
‣ In den Eigenschaften der Firewall stehen Ihnen zwei Folder zur Verfügung: Firewall<br />
<strong>und</strong> <strong>Log</strong>server.<br />
Wechseln Sie auf den Folder <strong>Log</strong>server <strong>und</strong> geben Sie folgende Daten ein:<br />
‣ Aktivieren Sie External <strong><strong>Log</strong>ging</strong>.<br />
‣ Tragen Sie nun die IP-Adresse des Rechners ein, auf dem der <strong>Log</strong>servers läuft.<br />
‣ Geben Sie ebenfalls <strong>Log</strong>in <strong>und</strong> Passwort inkl. der Passwortbestätigung ein, damit<br />
sich die Appliance auf dem <strong>Log</strong>server authentisieren kann. Diese <strong>Log</strong>in-Daten sind<br />
entweder der lokale Benutzer oder Benutzer aus der Windows-Domäne, der beim<br />
<strong>Log</strong>server eingetragen ist.<br />
Abb. 5 <strong>Log</strong>server Daten angeben<br />
Eingabefelder<br />
Adresse<br />
Port<br />
<strong>Log</strong>in<br />
Passwort<br />
Bestätigung<br />
IP-Adresse des <strong>Log</strong>servers<br />
Port auf dem der <strong>Log</strong>server erreichbar ist (default 22 ssh-Port).<br />
Auf dem <strong>Log</strong>server konfigurierter Benutzername. Dies ist ein lokaler<br />
Windows-User oder Domain-User auf dem Rechner des <strong>Log</strong>servers.<br />
Passwort des konfigurierten Benutzers (Windows-User bzw. Domain-<br />
Passwort)<br />
Passwort bestätigen<br />
Beachten Sie: Unter <strong>Log</strong>server wird ein <strong>Securepoint</strong> <strong>Log</strong>server, auf die die Appliance alle<br />
<strong>Log</strong>daten ablegt, angegeben. Nur wenn hier alle Daten richtig angegeben werden, kann die<br />
<strong>Log</strong>file-Auswertung über den <strong>Securepoint</strong> Security Manager verwendet werden.<br />
5
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
2.2 Syslogserver auf der Appliance angeben<br />
Sie müssen auf der Appliance einstellen, auf welchen IPs sie ihre Syslog-Pakete schicken<br />
soll.<br />
‣ klicken Sie auf das Icon Netzwerk.<br />
‣ Gehen Sie auf den Folder Server-Einstellungen.<br />
‣ Klicken Sie bei <strong><strong>Log</strong>ging</strong>-Server auf Hinzufügen.<br />
Abb. 6 <strong>Log</strong>server IP-Adresse hinzufügen<br />
‣ Tragen Sie in das Dialog-Fenster die IP des <strong>Log</strong>servers ein.<br />
‣ Speichern Sie Ihre Konfiguration über OK.<br />
Werden mehrere IPs angegeben, schickt die Firewall zu allen IPs die <strong>Log</strong>nachrichten.<br />
6
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
3 Installation <strong>Log</strong>server<br />
3.1 Installation auf einem Windows-Rechner von <strong>Securepoint</strong> CD-ROM<br />
Der <strong>Securepoint</strong> <strong>Log</strong>server muss auf einem Microsoft Windows Betriebssystem installiert<br />
werden. Der <strong>Log</strong>server befindet sich auf der CD-ROM im Folder: /programs/logserver.exe.<br />
Starten Sie dieses Programm zur Installation unter Windows. Nach der Installation läuft der<br />
<strong>Log</strong>server als Dienst im Hintergr<strong>und</strong>.<br />
Abb. 7 Übersicht installierter Dienste <strong>und</strong> deren Status<br />
7
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
3.2 <strong>Log</strong>server Gr<strong>und</strong>konfiguration<br />
Konfigurationsoberfläche des <strong>Log</strong>servers starten<br />
Nach der Installation kann über den angelegten Link im Startmenü die Konfigurationsoberfläche<br />
des <strong>Log</strong>servers gestartet werden.<br />
‣ Klicken Sie hierzu auf: Start -> Programme -> <strong>Securepoint</strong> 2007nx-> <strong>Log</strong>server<br />
Benutzer für den <strong>Log</strong>server anlegen<br />
Unter der Benutzerverwaltung werden entweder lokale Benutzer oder Benutzer aus der Windows-Domäne<br />
angegeben, die sich zu dem <strong>Log</strong>server verbinden dürfen. Die hier angegebenen<br />
Benutzer müssen über Adminrechte verfügen.<br />
Vorgehensweise:<br />
‣ Klicken Sie auf Benutzerverwaltung <strong>und</strong> auf den Button Hinzufügen. Ein neues Dialog-Fenster<br />
öffnet sich.<br />
‣ Legen Sie nun einen Benutzer aus der Domäne oder dem lokalen Rechner an, indem<br />
Sie ihn aus der Liste auswählen <strong>und</strong> auf Hinzufügen klicken. Der neue Benutzer wird<br />
in der Tabelle „erlaubte Benutzer“ abgelegt.<br />
Abb. 8 Benutzerverwaltung des <strong>Log</strong>servers<br />
8
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
Security Manager zur Anbindung an den <strong>Log</strong>server anlegen<br />
Neben der Benutzerabfrage wird festgelegt, welche IP-Adressen sich zu dem <strong>Log</strong>server verbinden<br />
dürfen. Es müssen beide Kriterien erfüllt sein, damit eine Verbindung zum Abrufen<br />
<strong>und</strong> Auswerten der <strong>Log</strong>daten stattfinden kann.<br />
‣ Unter Erlaubte <strong>Securepoint</strong> Manager werden die IP-Adressen oder Netze von Security<br />
Managern festgelegt, die sich zum <strong>Log</strong>server verbinden dürfen.<br />
Abb. 9 Berechtigung für Security Manager anlegen<br />
9
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
Appliance anlegen, die dem <strong>Log</strong>server <strong>Log</strong>-Daten senden dürfen<br />
<strong>Securepoint</strong> Appliance werden IP-Adressen von Appliances festgelegt, die sich zum <strong>Log</strong>server<br />
verbinden dürfen.<br />
Abb. 10 Zugriff für <strong>Securepoint</strong> Appliance erlauben<br />
10
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
4 <strong>Log</strong>server Datenbankverwaltung<br />
Die Datenbankverwaltung ist in die Bereiche Verwaltung <strong>und</strong> Archivierung unterteilt.<br />
Unter dem Bereich Datenbankverwaltung wird definiert, wie lange Daten aufbewahrt werden<br />
sollen <strong>und</strong> wie viel Speicherplatz die <strong>Log</strong>daten maximal belegen dürfen. Ebenfalls wird Ihnen<br />
hier dargestellt, wie stark die Datenbank schon gefüllt ist.<br />
Der Bereich Datenbankarchivierung bietet Ihnen die Möglichkeit die Datenbank in gewählten<br />
Intervallen in einem gesonderten Ordner komprimiert zu speichern.<br />
Unter dem Bereich <strong>Log</strong> File Manager können Sie <strong>Log</strong>dateien nach Archivierungsdaten suchen<br />
<strong>und</strong> anschließend löschen.<br />
Abb. 11 Datenbankverwaltung <strong>und</strong> -archivierung<br />
4.1 Einrichtung der Datenbank<br />
Unter dem Eintrag Aufbewahrungszeit der Einträge können Sie entscheiden, wie alt die Einträge<br />
in der aktuellen Datenbank sind. Wenn Sie die Datenbankeinträge archivieren möchten,<br />
sollten Sie bedenken, dass Sie die Vorhaltezeit nicht kleiner wählen als die Archivierungsintervalle.<br />
Wählen Sie z.B. als Aufbewahrungszeit 1 Tag <strong>und</strong> als Archivierungsintervall<br />
wöchentlich, dann werden alle 7 Tage nur die <strong>Log</strong>einträge der letzten 24 St<strong>und</strong>en archiviert,<br />
weil ältere Einträge schon gelöscht wurden.<br />
Das Prüfungsintervall bestimmt das Intervall in Minuten, in dem geprüft wird, ob die maximale<br />
Datenbankgröße überschritten wird <strong>und</strong> ob Einträge vorliegen, die älter als die eingetragene<br />
Vorhaltezeit sind.<br />
Die Maximale Größe der Datenbank wir in Megabyte angegeben <strong>und</strong> muss mindestens 10<br />
Megabyte groß sein. Bedenken Sie die Größe der Datenbank in Abhängigkeit der Vorhaltezeit<br />
<strong>und</strong> der geloggten Dienste <strong>und</strong> Appliances festzulegen.<br />
11
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
Der Pfad der Datenbank legt den Ordner fest, in dem die Datenbank abgelegt wird.<br />
Die Anzeige Derzeitige Datenbankgröße zeigt Ihnen den Füllstand der Datenbank an.<br />
Mit dem Button Datenbank löschen, können Sie den Inhalt der aktuellen Datenbank löschen.<br />
Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons.<br />
4.2 Datenbank Archivierung<br />
Unter Ordner für Archivierung legen Sie den Pfad fest, unter dem die komprimierten <strong>Log</strong>dateien<br />
abgelegt werden. Mit dem Button Auswählen, können sie das Dateisystem in Baumstruktur<br />
durchsuchen.<br />
In der Dropdownbox wird das Archivierungsintervall festgelegt.<br />
Beachten Sie: Sichern Sie Ihre Eingaben durch Betätigen des Speichern Buttons.<br />
Abb. 12 Datenbankarchivierung<br />
4.3 <strong>Log</strong> File Manager verwenden<br />
Der <strong>Log</strong> File Manager ist dafür gedacht, alte Archivierungsdateien zu löschen. Dafür wählen<br />
Sie unter Anfangs- <strong>und</strong> Enddatum ein Zeitraum aus, in dem sie archivierte Dateien suchen.<br />
Werden Archive des betreffenden Zeitraums gef<strong>und</strong>en, können Sie sich eine Liste der gef<strong>und</strong>enen<br />
Dateien anzeigen lassen.<br />
Mit Betätigen des Löschen Buttons löschen Sie die gef<strong>und</strong>enen Archive.<br />
Abb. 13 <strong>Log</strong> File Manager<br />
12
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
5 <strong>Reporting</strong> <strong>und</strong> Alarmierung durch den <strong>Log</strong>server<br />
5.1 <strong>Log</strong>server Alarmierung<br />
Angriffe, die von dem Intrusion Detection System (IDS) erkannt werden, kann der <strong>Log</strong>server<br />
sofort per E-Mail oder über den Windows Nachrichtendienst melden. Wird der Windows<br />
Nachrichtendienst verwendet, erscheint die Meldung direkt auf dem Bildschirm des angegebenen<br />
Rechners. Zum Versenden der E-Mails, kann ein Mailserver angegeben werden, falls<br />
der Rechner selber keine E-Mails verschicken kann.<br />
Beachten Sie: Der Windows Nachrichtendienst kann nur verwendet werden, wenn dieser<br />
auf beiden Systemen (<strong>Log</strong>Server <strong>und</strong> Host) aktiviert ist.<br />
Abb. 14 Alarmierungseinstellungen vornehmen<br />
13
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
5.2 <strong>Log</strong>server <strong>Reporting</strong><br />
Falls ein oder mehrere Administratoren tägliche Reports bekommen sollen, müssen ihre E-<br />
Mail-Adressen hinterlegt werden. Wie auch bei der Alarmierung, kann ein Mailserver angegeben<br />
werden. Die Reports enthalten html-Seiten mit den wichtigsten Informationen/Statistiken<br />
zu den Interfaces, Alarmierungen, IDS, Malware <strong>und</strong> Proxy.<br />
Mit dem Button Test Mail, können Sie prüfen, ob Ihre Einstellungen korrekt sind.<br />
Abb. 15 <strong>Reporting</strong>-Einstellungen vornehmen<br />
14
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
5.3 <strong>Log</strong>server Ereignis <strong>Reporting</strong><br />
Der <strong>Log</strong>server kann auch bei vordefinierten Ereignissen eine E-Mail oder eine Meldung über<br />
den Windows Nachrichtendienst senden.<br />
Hierzu betätigen Sie den Button Hinzufügen <strong>und</strong> der Dialog Ereignis öffnet sich.<br />
Eingabefelder<br />
Ereignisname<br />
Aktiviert<br />
Regex<br />
Methode<br />
Nachricht<br />
Geben Sie dem Ereignis einen aussagekräftigen Namen.<br />
Mit dieser Checkbox können Sie definierte Ereignisse von der Meldung<br />
ausnehmen.<br />
Hier wird ein regulärer Ausdruck erwartet, nach dem die Datenbank<br />
durchsucht werden soll.<br />
Benachrichtigungsmethode: NET SEND oder E-Mail<br />
Wünschen Sie beide Methoden, müssen Sie zwei Ereignisse anlegen.<br />
Text, der in der E-Mail erscheinen soll oder den der Nachrichtendienst<br />
anzeigen soll.<br />
E-Mail-Adressen, der Empfänger.<br />
E-Mails<br />
NET SEND Hosts IP-Adresse der Empfänger.<br />
OK Button Speichert das Ereignis in der Liste.<br />
Abb. 16 Ereignisse definieren<br />
15
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
6 Dienstauswahl<br />
Mit dieser Funktion kann der <strong>Log</strong>server so konfiguriert werden, dass nur bestimmte Meldungen<br />
protokolliert werden.<br />
Für jede überwachte Appliance können individuell zu loggende Meldungen eingestellt werden.<br />
‣ Markieren Sie die gewünschte Appliance im der Tabelle Liste der Hosts.<br />
‣ Klicken Sie auf Bearbeiten <strong>und</strong> wählen einen Dienst aus der Dropdownliste.<br />
‣ Betätigen Sie dann Hinzufügen.<br />
‣ Wiederholen Sie diese Vorgehensweise ggf. für mehrere Dienste.<br />
Beachten Sie: Wenn Sie keine Dienste auswählen, werden alle Meldungen protokolliert.<br />
Abb. 17 überwachte Dienste auswählen<br />
16
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
7 Netzwerkkonfiguration<br />
In dem Dialog Netzwerkkonfiguration können Sie die Port Einstellungen des <strong>Log</strong>servers konfigurieren.<br />
Abb. 18 Netzwerkkonfiguration<br />
Eingabefelder<br />
SSH Server Port<br />
Syslog Server Port<br />
Binde Syslog Port an<br />
alle IP-Adresse<br />
Binde Syslog Port<br />
an definierte IP-<br />
Adressen<br />
Ändert den SSH Port des <strong>Log</strong>servers.<br />
Ändert den Syslog Port des <strong>Log</strong>servers.<br />
Der <strong>Log</strong>server horcht über den angegebenen Syslog Port auf allen<br />
IP-Adressen.<br />
Der <strong>Log</strong>server horcht über den angegebenen Syslog Port auf eine<br />
spezielle IP-Adresse.<br />
17
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
8 Fehlerbehandlung<br />
Problem mögliche Ursache Behebung<br />
Der <strong>Log</strong>server läuft<br />
nicht bzw. nimmt keine<br />
Daten auf.<br />
Der <strong>Log</strong>server Dienst ist<br />
nicht gestartet.<br />
Überprüfen Sie den Status des <strong>Log</strong>server<br />
Dienstes <strong>und</strong> starten den<br />
Dienst ggf.<br />
Sie finden den <strong>Log</strong>server Dienst auf<br />
dem <strong>Log</strong>server Rechner unter Start <br />
Alle Programme Verwaltung <br />
Dienste<br />
E-Mail oder Report<br />
wird nicht zugestellt<br />
Der <strong>Log</strong>server lauscht nicht<br />
auf dem Port 514.<br />
Ist ein Mailserver angegeben?<br />
Ist der Mailserver richtig<br />
angegeben?<br />
Ist der <strong>Log</strong>server zum Versand<br />
berechtigt?<br />
Führen Sie in der Windows Konsole<br />
(Start Ausführen, Eingabe: cmd,<br />
Button OK)<br />
netstat –n –a aus.<br />
Unter dem Protokoll udp sollte der<br />
Port 514 mit aufgeführt sein.<br />
Der Port kann im <strong>Log</strong>server unter dem<br />
Punkt Netzwerkkonfiguration geändert<br />
werden.<br />
Nein:<br />
Der <strong>Log</strong>server ermittelt den Mailserver<br />
anhand des Domainnamens. Soll die<br />
E-Mail in das Internet versendet werden,<br />
muss der <strong>Log</strong>server für die<br />
Dienste DNS <strong>und</strong> SMTP auf der Firewall<br />
freigeschaltet sein.<br />
Im <strong>Log</strong>server kann im Bereich <strong>Reporting</strong><br />
als Test der Einstellungen eine<br />
Testmail versendet werden.<br />
Außerdem muss über den Konsolen<br />
Befehl telnet ip-des-mailservers 25<br />
der Mailserver erreichbar sein.<br />
Mit folgenden Konsolenbefehlen können<br />
Sie eine Testmail versenden:<br />
helo meinedomain.de<br />
mail from:logserver@meinedomain.de<br />
rcpt to:empfänger@meinedomain.de<br />
data<br />
TextFürDieTestmail<br />
.<br />
(Der Punkt in der letzten Zeile beendet<br />
den Text!)<br />
Wird auf diese Art die Mail nicht versendet,<br />
überprüfen Sie die Konfiguration<br />
des Mailservers.<br />
18
HowTo: <strong><strong>Log</strong>ging</strong>, <strong>Reporting</strong>, <strong>Log</strong>-<strong>Analyse</strong> <strong>und</strong> <strong>Log</strong>server-Einrichtung Version 2007nx Release 3<br />
Problem mögliche Ursache Behebung<br />
Im Security Manager<br />
kann der <strong>Log</strong>server<br />
nicht angesprochen<br />
werden.<br />
Der <strong>Log</strong>server kann nicht<br />
über SSH Port 22 angesprochen<br />
werden.<br />
Prüfung mit dem Konsolenbefehl<br />
telnet ip-des-logservers 22<br />
Verläuft die Prüfung negativ, blockiert<br />
eventuell eine Firewall auf dem Rechner<br />
des <strong>Log</strong>servers die Verbindung.<br />
Der <strong>Log</strong>server SSH Port<br />
liegt nicht auf 22.<br />
Der Benutzer hat keine<br />
Admin-Rechte.<br />
Der Port kann im <strong>Log</strong>server unter dem<br />
Punkt Netzwerkkonfiguration geändert<br />
werden.<br />
Überprüfen Sie, ob Sie sich über einen<br />
SSH-Client (z.B. PuTTY) mit Ihrem<br />
Windows-Benutzer zum <strong>Log</strong>server<br />
verbinden können.<br />
19