codeslayer 10 Geschrieben 30. März 2021 Melden Teilen Geschrieben 30. März 2021 Ich würde gerne einen zentralen Log Server (collector) betreiben und würde gerne wissen ob jemmand so etwas bereits am Laufen hat. Generell würde ich gerne die Eventlogs einiger Windows Server und logs anderer syslog-kompatiblen Geräte sammeln. Es sollte eine Art Konsole (lokal, web oder via client) geben mit der man umfangreiche Analysen mit Filtern (Zeitspanne, Event IDs, severity, etc.) machen kann. Email notifications für definierte events sollten ebenfalls konfigurierbar sein. Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 31. März 2021 Melden Teilen Geschrieben 31. März 2021 Das kann Windows von Haus aus. Bei mir werde ich das demnächst auch umsetzen. Schau dir mal folgende Unterlagen an: Microsoft Docs | Wevtutil https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wevtutil Microsoft Docs | Wecutil https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wecutil How-To´s sollte es einige zu finden geben. Das könnte noch für Dich interessant sein/werden: Microsoft Docs | Verwenden der Windows-Ereignisweiterleitung für die Angriffserkennung https://docs.microsoft.com/de-de/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection Zitieren Link zu diesem Kommentar
codeslayer 10 Geschrieben 1. April 2021 Autor Melden Teilen Geschrieben 1. April 2021 vor 20 Stunden schrieb MurdocX: Das kann Windows von Haus aus. Bei mir werde ich das demnächst auch umsetzen. Danke, das mit dem Weiterleiten habe ich schon irgendwo "beim Vorbeigehen" gesehen. Mein Ziel wäre aber die Logs aus verschiedenen Servern (Windows, Linux) und Geräten (Firewall, Switches, etc) zu sammeln und auf einen Nenner zu bringen. Ich habe schon mal vor über 10 Jahren einen Agent getestet der lokal die events an einen syslog server weiterschickt. Und am syslog server (lief auf Windows) gab es dann eine recht umfangreiche Konsole für Analysen und Notifications. Ich denke ein Abstraktion von Events auf syslog Standard ist eher machbar als umgekehrt. Vorallem finde ich das Eventlog snap-in von Windows etwas mager, deswegen schau ich dort nur rein wenn ich ubedingt muss. Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 1. April 2021 Melden Teilen Geschrieben 1. April 2021 Logstash und Splunk gehören in diesem Bereich zu den bekannten Lösungen. Die Installation und Konfiguration ist allerdings nicht mal eben erledigt. Als einfachere Alternative könntest Du einen syslog(-ng) betreiben mit einem Web Interface (zB. loggr.io). Es gibt kostenlose Tools, welche Meldungen aus dem Windows Event Log an einen syslog-Server schicken. Die Frage ist, was Du brauchst: Einfach eine zentrale Sammlung der Meldungen mit Suchfunktion? Dann würde ich syslog-ng nehmen. Oder ein komplettes "Information and Event Management", welches verdächtige Muster erkennt? Dann würde ich Logstash bzw. den ELK Stack genauer anschauen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.