Wechseln zu:Navigation, Suche
Wiki

UTM Syslog - Beispiel: Paessler PRTG

Version vom 25. April 2022, 14:38 Uhr von Lauritzl (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/NET/Syslog-PRTG.lang}} </div> {{Header| 04.2022 | * {{#var:neu--Artikel}} }} === {{#var:Vorbemerkun…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki























































Paessler PRTG als Syslog-Server für die Securepoint UTM einrichten

Letzte Anpassung: 04.2022

Neu:
  • Neuer Artikel
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-


Vorbemerkung

Syslog-Daten der UTM können mit Lösungen von Drittherstellern erfasst werden.
Gezeigt wird diese hier am Beispiel PRTG von Paessler.

Voraussetzung

  • PRTG verlangt eine eigene Absender E-Mail-Adresse um Status-Mails zu versenden.
    Steht der Syslog-Server mit PRTG nicht innerhalb der eigenen Mail-Infrastruktur, kann dies bei korrekter Konfiguration der UTM zur Ablehnung der Mails führen (Fake-Absender).
    Abhilfe schafft hier z.B. eine Allow-List Mailfilterregel für eine Monitoring-Mailadresse oder die Ergänzung der erlaubten Mailserver-IPs.

    • Vorbereitende Konfiguration auf der UTM
















































    Syslog Einstellungen

    Syslog Einstellungen
    Die Anbindung der UTM wird an einem Syslog-Server (syslogd) konfiguriert.
    Beschriftung Wert Beschreibung Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Servereinstellungen Syslog.png
    Hostname der UTM in den Syslog Meldungen protokollieren: Nein Bei Ja Aktivierung wird der Hostname mit übermittelt

    Syslog-Server

    Syslog-Server
    Syslog-Server hinzufügen
    IP / Hostname: syslog.ttt-point.de IP-Adresse oder Hostname des Syslog-Servers.
    notempty
    Sollten dem Hostnamen mehrere IP-Adressen zugewiesen sein, während Round Robin DNS verwendet wird, kann es dazu führen, dass bei jedem Start des Syslog Diensts die Nachrichten an einen anderen Server gesendet werden. Außerdem wären Sie nicht mehr gegen DNS-Spoofing geschützt. Es muss sichergestellt werden, dass dem Hostnamen nur eine IP-Adresse zugewiesen ist.
    Port: 514Link= Default-Port für Syslog-Nachrichten
    Protokoll udp Default-Protokoll für Syslog-Nachrichten.
    Alternativ kann hier tcp ausgewählt werden.
  • PRTG benötigt bei Syslog zwingend udp als Protokoll
    •  Die Securepoint Appliance nutzt ein rfc5424 basiertes Protokoll-Format. Für Syslog-Server kann alternativ das folgende Template verwendet werden. Dieses Template wird von einigen Syslog-Servern automatisch erkannt, bei anderen jedoch muss es manuell eingetragen werden.

    template rfc5424_and_116_compat_format {template("<${PRI}>1 ${ISODATE} - ${PROGRAM} $(or ${PID} '-') - - ${MSG}\n");};
    <${PRI}>1 ${ISODATE} - ${PROGRAM} $(or ${PID} '-') - - ${MSG}\n



    Konfiguration PRTG Network Monitor

    • Im Dashboard das Menü Geräte wählen
    • IP-Adresse der UTM finden und Sensor hinzufügen wählen
    • Syslog-Sensor wählen
    • Syslog-Sensor konfigurieren und erstellen
    • Fertig konfigurierter Sensor liefert Livedaten der UTM
    PRTG Dashboard.png
    Menü Geräte wählen
    PRTG 2 Sensor hinzufügen.PNG
    Dort im Baum: Hauptgruppe - Local Probe - Netzwerksuche - Netzwerk-Infrastruktur im Eintrag mit der IP-Adresse der Firewall auf Sensor hinzufügen klicken
    PRTG 3 Sensor suchen.PNG
    • In der Suche syslog eingeben und auf die Kachel Syslog-Empfänger klicken
    PRTG 4 Syslog Sensor konfigurieren.PNG
    • Beim Punkt Nachrichten löschen nach ggf. die Log-Länge anpassen
    • Sensor hinzufügen mit der Schaltfläche Erstellen
    PRTG 5 Sensor Livedaten.PNG
    Fertig konfigurierter Sensor: Syslog liefert Livedaten der UTM












    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Syslog-PRTG&oldid=81916