Logging

• Ich habe Einträge in meinen Logs: Bedeutet das, daß ich gehackt wurde?
• Welche Logs werden von IPCop geführt?
• Wie bekomme ich die Logs weg vom IPCop?
• Wie kann ich einen anderen PC für die Logdateien benutzen?
• Kann ich einstellen, daß die Logdateien automatisch gepackt werden?
• Wie lange werden die Logs aufbewahrt?
• Können die Logs an eine Datenbank gesendet werden?
• Was kann ich zur Auswertung der Logdateien benutzen?
• Mein Provider füllt meine Logs mit IGMP oder PIM Paketen. Wie kann ich das unterbinden?
• Mein Log füllt sich mit Net-BIOS (137) Paketen. Wie kann ich das unterbinden?

Ich habe Einträge in meinen Logs: Bedeutet das, daß ich gehackt wurde?

Nicht notwendigerweise.

Es gibt zwei Orte, die sicherheitsrelevante Logs beinhalten.

Logs > Firewall beinhaltet die Firewall-Logs. Hier werden Verbindungsversuche von aussen, die abgewiesen wurden. Dies ist von Interesse, weil Sie hier erfahren, auf welchen Ports Angriffe erfolgten. Alles in diesem Log hat es NICHT in Ihr Netzwerk geschafft. Nicht jeder Logeintrag bedeutet einen feindlichen Einbruchsversuch in Ihr Netzwerk. Ein Eintrag kann auch aufgrund eines Fehlers (jemand vertippte sich beim Eingeben einer IP-Adresse und verband sich dadurch versehentlich mit Ihrem Netzwerk), ein falsch konfiguriertes Gerät, usw. Zum größten Teil sind die Firewall-Logs nützlich um zu sehen, was vorgeht, wenn Sie z.B. herausfinden müssen, warum etwas, das durchgehen sollte, dies nicht tut.

Logs > IDS (Einbruchsdetektierung) beinhaltet die IDS-Logs. Was Sie hier sehen sind Verbindungen zu Ihrem Netzwerk, die es, je nach Regeln, in Ihr Netzwerk geschafft haben und nach einem Angriff aussehen. Nocheinmal, das bedeutet nicht notwendigerweise, daß jemand versucht in Ihr Netzwerk einzubrechen. Einige der Regeln, die das IDS aktivieren, können auch durch normalen Datenverkehr ausgelöst werden. Wenn Sie sich sicher sind, daß das IDS von erlaubtem Datenverkehr ausgelöst wurde, sollten Sie in erwägung ziehen, die entsprechende Regel auszuschalten (siehe auch "Wie kann ich das IDS davon abbringen, Dinge zu loggen, die ich nicht geloggt haben will?"). Es ist immer klug, herauszufinden, was einen IDS-Eintrag ausgelöst hat. Es könnte sein, daß Sie angegriffen wurden.

[x] 1.1 [x]1.2 [x]1.3 [x]1.4 Alle Versionen

Welche Logs werden von IPCop geführt?

Linux logging befindet sich in "/var/log", dies ist das Log des Systems.

Andere interessante Logs in diesem Verzeichnis sind:

dmesg: Informationen zur Hardware, die während des Bootvorganges gesammelt wird
secure: Das Log zu Sicherheitsfragen und Zugriffen
cron: Das Log der laufenden Cronjobs

Apache-Logs befinden sich in "/var/log/httpd" und bestehen aus access_log, error_log, ssl_request_log und ssl_engine_log.

Snort-Logs befinden sich in "/var/log/snort" und bestehen aus alert und portscan.log

Squid-Logs befinden sich in "/var/log/squid" und bestehen aus access.log, cache.log und store.log

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Wie bekomme ich die Logs weg vom IPCop?

Sie können SCP oder WinSCP benutzen, um die Logs auf einen anderen Computer zu kopieren. Sie müssen SSH über die Web-Oberfläche aktivieren. Wenn Sie aus der Ferne auf IPCop zugreifen, müssen Sie Port 222 der ROTEN Schnittstelle öffnen. Denken Sie daran, daß IPCop SSH auf Port 222 lauscht und nicht auf Port 22!

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Wie kann ich einen anderen PC für die Logdateien benutzen?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Kann ich einstellen, daß die Logdateien automatisch gepackt werden?

Viele der Logdateien werden bereits rolierend komprimiert. Aktive Logs werden nicht komprimiert, damit sie auf der Administrationsseite angezeigt werden können.

Wie lange werden die Logs aufbewahrt?

IPCop Version 1.2 und älter: Logs in "/var/log" werden wöchentlich roliert und für 8 Zyklen aufbewahrt.

Logs in "/var/log/squid" werden wöchentlich roliert und für 5 Zyklen aufbewahrt.

Logs in "/var/log/snort" werden wöchentlich roliert und für 5 Zyklen aufbewahrt.

IPCop Version 1.3: Logs in "/var/log" werden wöchentlich roliert und für 52 Zyklen aufbewahrt.

Logs in "/var/log/squid" werden wöchentlich roliert und für 52 Zyklen aufbewahrt.

Logs in "/var/log/snort" werden wöchentlich roliert und für 52 Zyklen aufbewahrt.

Die Logs werden am frühen Sonntag Morgen automatisch roliert und gepackt, wenn Sie also nach Informationen der Vorwoche suchen, scheinen diese verschwunden zu sein. Die Informationen sind noch da, Sie müssen die entsprechende Datei lediglich entpacken. Schauen Sie im Verzeichnis "/var/log" nach.

Um einen Zyklus zu erzwingen, melden Sie sich als root an und führen Sie den Befehl:
/usr/sbin/logrotate -f /etc/logrotate.conf
aus.

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Können die Logs an eine Datenbank gesendet werden?

Dies ist eine Basis-Linux-Distribution, also kann alles mit entsprechendem "Hacking-Aufwand" angepasst werden. Es laufen keine Datenbank-Manager auf dem IPCop (bzw. es sind keine installiert).

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Was kann ich zur Auswertung der Logdateien benutzen?

Es gibt sehr viele Tools, um Linux-Logdateien zu analysieren. Es gibt auch Tools um "Snort" und "Squid" Logs auszuwerten. Schauen Sie bitte unter den entsprechenden Projektseiten für weitere Informationen nach.

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Mein Provider füllt meine Logs mit IGMP oder PIM Paketen. Wie kann ich das unterbinden?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen

Mein Log füllt sich mit Net-BIOS (137) Paketen. Wie kann ich das unterbinden?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.

[x] 1.1 [x]1.2 [x]1.3 Alle Versionen