Jump to content

Zentraler Log Server für Windows und syslog Systeme


Recommended Posts

Ich würde gerne einen zentralen Log Server (collector) betreiben und würde gerne wissen ob jemmand so etwas bereits am Laufen hat.

Generell würde ich gerne die Eventlogs einiger Windows Server und logs anderer syslog-kompatiblen Geräte sammeln.

Es sollte eine Art Konsole (lokal, web oder via client) geben mit der man umfangreiche Analysen mit Filtern (Zeitspanne, Event IDs, severity, etc.) machen kann.

Email notifications für definierte events sollten ebenfalls konfigurierbar sein.

Link to post

Das kann Windows von Haus aus. Bei mir werde ich das demnächst auch umsetzen.

 

Schau dir mal folgende Unterlagen an:

 

Microsoft Docs | Wevtutil

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wevtutil

 

Microsoft Docs | Wecutil

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wecutil

 

How-To´s sollte es einige zu finden geben.

 

 

Das könnte noch für Dich interessant sein/werden:

 

Microsoft Docs | Verwenden der Windows-Ereignisweiterleitung für die Angriffserkennung

https://docs.microsoft.com/de-de/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection

Link to post
vor 20 Stunden schrieb MurdocX:

Das kann Windows von Haus aus. Bei mir werde ich das demnächst auch umsetzen.

 

Danke, das mit dem Weiterleiten habe ich schon irgendwo "beim Vorbeigehen" gesehen.

Mein Ziel wäre aber die Logs aus verschiedenen Servern (Windows, Linux) und Geräten (Firewall, Switches, etc) zu sammeln und auf einen Nenner zu bringen.

Ich habe schon mal vor über 10 Jahren einen Agent getestet der lokal die events an einen syslog server weiterschickt. Und am syslog server (lief auf Windows) gab es dann eine recht umfangreiche Konsole für Analysen und Notifications. Ich denke ein Abstraktion von Events auf syslog Standard ist eher machbar als umgekehrt. Vorallem finde ich das Eventlog snap-in von Windows etwas mager, deswegen schau ich dort nur rein wenn ich ubedingt muss.

Link to post

Logstash und Splunk gehören in diesem Bereich zu den bekannten Lösungen. Die Installation und Konfiguration ist allerdings nicht mal eben erledigt. Als einfachere Alternative könntest Du einen syslog(-ng) betreiben mit einem Web Interface (zB. loggr.io). Es gibt kostenlose Tools, welche Meldungen aus dem Windows Event Log an einen syslog-Server schicken.

 

Die Frage ist, was Du brauchst: Einfach eine zentrale Sammlung der Meldungen mit Suchfunktion? Dann würde ich syslog-ng nehmen. Oder ein komplettes "Information and Event Management", welches verdächtige Muster erkennt? Dann würde ich Logstash bzw. den ELK Stack genauer anschauen.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...