Syslog Server

Auf der Empfängerseite muss natürlich ein SYSLOG-Server die Daten annehmen. Auch hier gibt es eine ganze Auswahl von Produkten, die teils "Freeware" teils kommerziell sind und auf Windows oder Unix laufen. Die Frage dabei ist natürlich, wie sie mit den eingehenden Meldungen umgehen. Der reine Empfang und die Ablage in einer einfachen Textdatei ist nicht mehr als ein Pflichtprogramm. Interessant wird das ganze natürlich, wenn ein zentraler Server die Daten annimmt und speichert. Neben der besseren Speicherung erlaubt eine zentrale Anlage auch eine Korrelation der Vorgänge und das Erkennen von Zusammenhängen. Aber auch bezüglich der Sicherheit hat so eine zentrale Ablage Vorteile, da ein Angreifer vielleicht das einzelne System kompromittieren kann aber entsprechend weitergegebene Meldungen nicht wieder "zurückgezogen" werden können.

Vielleicht haben Sie schon eine entsprechende Management Software, die SYSLOG Meldungen annimmt und entsprechend aufbereitet. Ansonsten müssen Sie sich einen Syslog Server besorgen. Auch auch diese gibt es im Internet häufig kostenfrei oder als beschränkte Version. Das sollte Sie natürlich nicht davon abhalten, bei Bedarf eine Profiversion zu kaufen. Insbesondere wenn Sie ein echtes "Management" damit verbinden wollen. Dazu zählen z.B. Regeln um auf Events zu reagieren oder Events z.B. "als Erledigt" zu kennzeichnen.

Natürlich gibt es eine ganze Menge anderer Produkte. Letztlich bleibt es eine Frage der Anforderungen, welches Produkt dann zum Einsatz kommen soll.

Syslog mit Operation Manager

Auch wenn man auf den ersten Blick nicht erkennt, dass Operation Manager auch Syslog verkraftet (Ein Netstat zeigt nicht an, dass etwas auf Port 514/UDP lauscht) so kann man auch OM beibringen, Syslog-Meldungen anzunehmen und darauf zu reagieren. Das geht über den Bereich "Authoring", in dem einfach eine entsprechende Regel angelegt wird. Sie sollten nur wissen, dass der OM Server nicht selbst die Meldungen annimmt, sondern ein Agent auf einem Server

Es kommt noch einige weitere Fenster, mit denen Sie Filterregeln und Zielsätze (z.B.: die Agenten, die SYSLOG dann annehmen und weiter geben) einstellen können, auf die ich hier nicht weiter eingehe. Die folgenden Links und andere Seiten helfen hier weiter.

Syslog Server Kiwi Syslog

Achtung
Für Windows 2012 muss es Version 9.3.3 sein.
http://www.kiwisyslog.com/free-vs-paid-edition.aspx
Achtung. der Download der "Free-Edition" ist ziemlich versteckt. Die "Vollversion", die ohne Lizenz einige Zeit als "Eval" läuft stellt danach den Betrieb ein.
http://www.kiwisyslog.com/free-edition.aspx.
Der in der Mail gesendete Bestätigungslink verweist aber wieder auf die EvalVersion

Ein relativ einfach einzusetzender SYSLOG-Daemon ist der Syslog Server von Kiwi an. Sie erhalten ihn unter http://www.kiwisyslog.com. Laden Sie besser die Version herunter, die als "Dienst" laufen. Sie funktioniert zwar erst ab Windows NT und nicht auf Windows 95 und älter, aber dafür läuft sie auch, wenn niemand angemeldet ist. Die Konsole selbst stellt sich einfach und übersichtlich dar. Danke umfangreicher Optionen können Sie auch "Skins" nutzen und die Farben anpassen.

Viel wichtiger sind aber die Funktionen dahinter. Auf jeden eingehenden Event können Filter und Aktionen ausgelöst werden. Die Basisevents bewirken, dass alle Meldungen auf dem Bildschirm angezeigt und in eine Datei protokolliert werden. Zusätzlich sind aber auch SMTP-Mail, SNMP Traps, Datenbankablagen, Ausführen von Skripten, ICQ und vieles mehr möglich. Spielen Sie einfach etwas mit den Optionen.

Per Default werden die eingehenden Logs all in C:\Program Files (x86)\Syslogd\Logs\SyslogCatchall.txt geloggt. Ich würde über die Einstellungen hier einen anderen Pfad vorschlagen und auch eine "LogRotation" einschalten, die z.B. alle Stunde eine neue Logdatei startet und alte Dateien löscht. (Logrotation ist aber ein Features der Kaufversion).

Das Verzeichnis für die LOG-Dateien können Sie per NTFS-Kompression recht "klein" halten.

Weitere Links