NTSyslog
Siehe dazu auch Syslog und NXLog
Für Unix Administratoren ist der SYSLOG Dienst ein alter Hut. Er wird schon seit vielen Jahren genutzt, um Mitteilungen von Systemen an eine zentrale Stelle zu melden und entsprechende Aktionen auszulösen.
Windows NT und Windows 2000 nutzen diesen Dienst bisher nicht. Das hindert aber nicht diverse freie Programmierer daran, diese Funktion auf Windows nachzubilden.
Interessant wird die nun, wenn es einen kleinen Dienst gibt, der das Eventlog überwacht und entsprechende Meldungen an einen Syslog Server sendet. Dabei kann er verschiedene "Schweregrade" und Quellen mit übermitteln, damit die Meldungen leichter zu kategorisieren und weiter zu verarbeiten sind.
Dieser Server kann dann wieder basierend darauf weitere zentrale Aktionen ausführen. Damit ist schon alles gesagt:
Syslog Daemon
Dieser Dienst muss auf jedem zu überwachenden Server installiert werden und sendet die entsprechenden Alarme an den Syslog-Server.
So kann z.B. der NTSYSLOG von http://ntsyslog.sourceforge.net genutzt werden, um Eventlogs als SYSLOG zu senden. Der Daemon ist gerade mal 64 Kilobyte und das Konfigurationsprogramm 40kbyte. Dank der übersichtlichen Konfiguration ist auch eine automatische Installation als MSI Paket oder Startup Skript einer Gruppenrichtlinie möglich. Auch die Konfiguration ist gut dokumentiert und umsetzbar.
Zur Installation werden beide Programme auf den Zielserver kopiert und als Administrator mit "NTSYSLOG.EXE -INSTALL" installiert. Schon ist der Dienst eingerichtet.
Über die Konfigurationskonsole NTSYSLOGCTRL.EXE werden die Parameter eingestellt: unter dem Button "Syslog Daemons" ist der Name oder die IP-Adresse des primären Syslog Servers einzutragen. Ein Backupserver kann ebenso angegeben werden.
Je Eventlog sind dann weitere Einstellungen möglich. Wobei die Standardwerte schon sehr gut passen.
Auch der Speicherbedarf dieser kleinen Lösung ist gering, wie im Task-Manager zu erkennen ist.
NTSYSLOG.EXE ist der Agent auf dem Client. Der Syslogd_Service ist der Serverprozess. Dessen Speicherbedarf kann aber zunehmen, je nach umfang der ausgelösten Aktionen.
Gruppenrichtlinie für Syslog
Mittels Windows 2000 können Sie z.B. über eine Gruppenrichtlinie den NTSYSLOG verteilen. Angenommen sie haben eine eigene OU für die Server angelegt, dann können Sie dort über die Funktion des "Startup Skripts" auf dem Computer automatisch die Installation durchführen.
Ich lege dazu in der Regel die notwendigen Dateien in die NETLOGON-Freigabe mit ab, so dass Sie durch Windows 2000 FRS automatisch repliziert werden.
Der Aufruf erfolgt dann einfach durch die Angabe von:
"\\domain.de\netlogon\ntsyslog\ntsyslog.cmd"
Die CMD-Datei wird vom System beim Start als "Localsystem" ausgeführt, kopiert die notwendigen Dateien auf die lokale Festplatte. Importiert die Einstellungen mittels Regedit, installiert und startet den Dienst. Hier als Muster das Skript und die Registrierungsdatei zum Download:
Natürlich wäre es optimaler, eine ADM-Datei für die Einstellungen zu verwenden, damit diese nicht erst durch den Neustart des Servers aktiv werden. Allerdings ist eine Änderung der Syslog Server durch Verwendung von CNAME im DNS unproblematisch. Übrigens wäre die Verteilung des Dienstes über eine MSI-Datei und die Konfiguration der Einstellungen über ein ADM-Vorlage für Gruppenrichtlinien sicher eine nette Praktikumsaufgabe für angehende Administratoren. Eine vorbereitete ADM Datei findet sich hier
Ergebnis
Schon mit einfachsten kostenfreien Mitteln ist es möglich, von allen Windows Servern die Warnungen und Fehler in sämtlichen Eventlogs zentral zu melden und anzuzeigen. Und das ist einer der ersten Schritte, um Exchange besser zu überwachen.
Weitere Links
- Syslog
- NXLog
-
eventlog-to-syslog
http://code.google.com/p/eventlog-to-syslog/ - WinLogD
http://edoceo.com/creo/winlogd - Eventlog to Syslog Service für Windows
http://code.google.com/p/eventlog-to-syslog/
https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/ - Windows 2003 R2
Enthält mittlerweile auch einen Syslog Server - Syslog Sender für Windows
http://ntsyslog.sourceforge.net - Syslog Daemon für Windows (Achtung seit 9.x wohl keine Freeware
Version mehr verfügbar)
http://www.kiwisyslog.com - Syslog-NG
http://www.balabit.com/network-security/syslog-ng/
OpenSource Daemon (leider nur Unix), welcher Logs verarbeitet. - Webbasiertes Frontend für SyslogNG Daten in einer mySQL Datenbank
http://www.logzilla.info/ - Datagram
http://www.syslogserver.com/
Hier gibt es auch eine angepasste Version von NTSYSLOG, die z.B. als MSI-Datei zu verteilen ist und Events auch puffert.
Der Server Schreibt auch in eine ODBC-Datenbank - Weiterer Syslog für Windows
http://www.winsyslog.com/
http://www.winsyslog.com/Common/en/products/winsyslog5-editions.php - Sending Message Tracking Logs to Syslog
http://gsexdev.blogspot.com/2005/06/syslogging-message-tracking-logs-on.html - Apache log4j und log4net Framework
http://logging.apache.org/log4j/
http://logging.apache.org/log4net - Sagan – Real-time System & Event Log (syslog) Monitoring System
http://www.darknet.org.uk/2010/07/sagan-real-time-system-event-log-syslog-monitoring-system/ - EventSentry
http://www.eventsentry.com/ - Develcon EventLog Analyzer
http://www.develcon.com/nms/eventloganalyzer.html - ELog
Zentrales Server und Verwaltungstagebuch per Browser führen - How to Monitor Windows NT from Unix
http://aplawrence.com/Reviews/NTSyslog.html - Review of Kiwi Syslog Server - Free Network utility
http://www.computerperformance.co.uk/HealthCheck/kiwi_syslog_server.htm - Erweiterte Systemüberwachung mit rsyslog
http://www.heise.de/netze/artikel/Erweiterte-Systemueberwachung-mit-rsyslog-846750.html - Secure.IP GmbH Megalog Syslog Tools :
http://www.secureip.de/indexdown.html
MegaLog Test Sender http://www.secureip.de/download-TS-de.html
MegaLog Test Receiver http://www.secureip.de/download-TR-de.html
MegaLog Vollversion (ca. 155 Euro ohne Limits) (2-Hosts Version kostenfrei) -
http://www.splunk.com
LOG management - free bis 500 MB/Tag - Configuring Syslog on ISA and TMG with Splunk Log Management
http://tmgblog.richardhicks.com/2010/04/04/configuring-syslog-on-isa-and-tmg-with-splunk-log-management/ - Snare Epilog für Windows
http://www.intersectalliance.com/projects/EpilogWindows/index.html
Textfile Parser und versenden per Syslog - HP Procurve "auto DoS" feature causing network problems
http://louwrentius.blogspot.com/2010/04/hp-procurve-auto-dos-feature-causing.html
Wenn HP-Switches als "Firewall" agieren und Syslog stören - Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://github.com/sans-blue-team/DeepBlueCLI - Chainsaw: Rapidly Search and Hunt through Windows Forensic Artefacts
https://github.com/WithSecureLabs/chainsaw - Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://www.youtube.com/watch?v=G8XjSO_eshc
Etwas seltsam finde ich, dass für so ein einfaches Programm wie einen Syslog Server einige Firmen relativ viel Geld haben wollen. Also genau nachschauen und rechnen.