Die Administrationsseite "Logs" besteht entsprechend der gewählten Konfiguration von IPCop aus fünf oder aus sechs Unterseiten: – Logdatei-Einstellungen, Log Zusammenfassung, Proxy-Logdateien, Firewall-Logdateien, IDS-Logdateien (falls die Einbrucherkennung aktiviert ist) und System-Logdateien. Diese verfügen über in allen Unterseiten gleichermaßen vorhandene Steuerelemente, über die die anzuzeigenden Informationen ausgewählt und auf den lokalen Computer exportiert werden können. Über die Dropdownlisten Monat und Tag im Bereich Einstellungen der Administrationsseite können Sie die Protokollierungsinformationen für die vorangehenden Tage und Monate auswählen. Wenn Sie aus den Dropdownlisten Monat bzw. Tag neue Werte auswählen, müssen Sie auf die Schaltfläche Aktualisieren klicken, damit die angezeigten Protokolldaten aktualisiert werden. Wenn Sie eine Unterseite öffnen, werden zunächst die Protokolldaten für das aktuelle Datum angezeigt. , , , , (falls die Einbrucherkennung aktiviert ist) und . Diese verfügen über in allen Unterseiten gleichermaßen vorhandene Steuerelemente, über die die anzuzeigenden Informationen ausgewählt und auf den lokalen Computer exportiert werden können. Über die Dropdownlisten Monat und Tag im Bereich Einstellungen der Administrationsseite können Sie die Protokollierungsinformationen für die vorangehenden Tage und Monate auswählen. Wenn Sie aus den Dropdownlisten Monat bzw. Tag neue Werte auswählen, müssen Sie auf die Schaltfläche klicken, damit die angezeigten Protokolldaten aktualisiert werden. Wenn Sie eine Unterseite öffnen, werden zunächst die Protokolldaten für das aktuelle Datum angezeigt.
Mit den Schaltflächen << bzw. >> können Sie schnell einen Tag zurück bzw. vorwärts navigieren.
Die Protokollinformationen werden als Liste im Hauptabschnitt der Seite (die i. d. R. mit der Beschriftung Log versehen ist) angezeigt. Ist diese Liste so umfangreich, dass sie nicht mehr in einem normal großen Fenster angezeigt werden kann, werden nur die neuesten Protokollinformationen angezeigt. In diesem Fall werden oberhalb und unterhalb dieses Fensterausschnitts die zwei Links Älter und Neuer aktiviert, über die Sie durch die Protokolldaten blättern können.
Durch Klicken auf die Schaltfläche wird eine Textdatei
mit dem Namen log.dat mit den auf der aktuellen Logs-Administrationsseite
enthaltenen Daten von dem IPCop-Server auf Ihren Computer heruntergeladen. In Abhängigkeit
von der Konfiguration Ihres Computers wird durch Klicken auf die Schaltfläche
ein Dialogfeld für den Dateidownload angezeigt, oder der Inhalt
der Datei log.dat wird in einem Browserfenster oder als Textdatei im
Standard-Text-Editor des Systems angezeigt. In den beiden letzten Fällen können Sie die
Datei log.dat bei Bedarf als Textdatei speichern.
Log Ansichts-Optionen. Diese Seite dient der Einstellung, wie Log-Dateien angezeigt werden, zum Festlegen des Detailgrades sowie zum Festlegen, wie lange die Log-Zusammenfassungen aufbewahrt werden, sowie der Kontrolle der Remote-Speicherung.
Sie müssen auf den Button Speichern klicken, nachdem Sie Änderungen vorgenommen haben, damit die Änderungen auch wirklich übernommen werden und der syslogd-Dienst neugestartet wird.
In umgekehrter chronologischer Reihenfolge sortieren. Aktivieren Sie das Kontrollkästchen "In umgekehrter Reihenfolge sortieren", wenn die aktuellsten Ereignisse am Anfang der Seite stehen sollen und die älteren am Ende der Seite.
Zeilen pro Seite. Hier können Sie per Drop-Down-Menu auswählen, wieviele Zeilen pro Seite angezeigt werden sollen. Sie können zwischen 15 und 500 auswählen. Wenn Sie eine große Anzahl an Zeilen ausgewählt haben, sollten Sie beachten, dass es dann länger dauert, bis der Prozess der Anzeige abgeschlossen ist, vor allem auf langsamer Hardware.
Zusammenfassungen aufheben für n Tage. Hier können Sie einstellen, wie lange die Log-Dateien auf dem IPCop gespeichert werden sollen. Wenn Sie nur wenig Speicherplatz/Plattenplatz zur Verfügung haben, sollten Sie die Anzahl der Tage reduzieren.
Detaillierungsgrad. Hier können Sie per Drop-Down-Menu den Detailierungsgrad zwischen Niedrig, Mittel und Hoch einstellen.
Remote logging. Aktivieren Sie das Aktiviert Kontrollkästchen, wenn die Log-Dateien auf einem externen Syslog-Server gespeichert werden sollen. Dabei müssen Sie entweder den Hostnamen oder Hostnamen. Domänenname oder die IP-Adresse des externen Server in dem Feld Syslog-Server eintragen. Alle Logdateien werden nun an den externen Server übertragen.
Am Ende aller Änderungen immer auf Speichern klicken!
Anzeige der Zusammenfassungen werden von logwatch für den vergangenen Tag generiert.
Keine oder nur Teile der Logs für den vergangenen Tag werden angezeigt
Die Zusammenfassung der Logdateien durch logwatch wird um Mitternacht generiert/geschrieben und spiegelt alle Ereignisse des vorangegangenen Tages wider. Wenn der IPCop über Nacht (vor Mitternacht!) abgeschaltet wird, werden auch keine Zusammenfassungen erstellt.
Über diese Seite können Sie die Dateien anzeigen, die von der Webproxy-Komponente in IPCop zwischengespeichert worden sind. Nach der Installation von IPCop ist der Webproxy zunächst deaktiviert, die Komponente kann jedoch über die zugehörige Administrationsseite () aktiviert und bei Bedarf wieder deaktiviert werden.
Neben den bereits zu Beginn des Abschnitts beschriebenen Steuerelementen Monat, Tag und Aktualisieren sind die folgenden Steuerelemente verfügbar:
Über die Dropdownliste Quell-IP-Adresse können Sie die Anzeige der Aktivitäten in Zusammenhang mit dem Web-Proxy auf einzelne IP-Adressen im lokalen Netzwerk einschränken. Alternativ können Sie auch die Aktivitäten für ALLE Computer, die den Proxy verwenden, anzeigen.
Über das Feld Ignorieren-Filter können Sie reguläre Ausdrücke eingeben, mit denen festgelegt wird, welche Dateitypen von der Protokollierung des Webproxys ausgenommen werden sollen. Standardmäßig werden Grafikdateien (.gif, .jpeg, .png und .png), Stylesheet-Dateien (.css) und JavaScript-Dateien (.js) von der Anzeige ausgeschlossen.
Mit dem Kontrollkästchen Ignorieren-Filter ein können Sie den über das Feld Ignorieren-Filter festgelegten Filter aktivieren bzw. deaktivieren.
Klicken Sie auf die Schaltfläche Voreinstellungen wiederherstellen, um die genannten Steuerelemente und Filter auf die Standardeinstellungen zurückzusetzen.
Für diese Administrationsseite werden im Bereich Protokoll des Fensters die folgenden Informationen angezeigt:
Die Uhrzeit, zu der die Datei angefordert und zwischengespeichert wurde.
Die Quell-IP-Adresse des lokalen Computers, von dem die Anforderung stammt.
Die Website (bzw. der URL) der angeforderten und zwischengespeicherten Datei.
![[Anmerkung]](images/note.png) | Anmerkung |
|---|---|
Die URL-Einträge von Websites in diesen Protokollen sind als Links zu den Webseiten bzw. Dateien implementiert, auf die verwiesen wird. |
Auf dieser Seite werden die Datenpakete angezeigt, die von der IPCop-Firewall gesperrt wurden.
| Anmerkung |
|---|---|
Nicht alle zurückgewiesenen Datenpakete stellen Versuche mit bösartiger Absicht dar, Zugriff auf den Computer zu erhalten. Pakete können aus zahlreichen Gründen gesperrt werden, die keinen Anlass zur Beunruhigung geben sollten und daher einfach ignoriert werden können. Zu diesen gehören beispielsweise Verbindungsversuche zu dem „ident/auth“-Port (113), die von IPCop standardmäßig gesperrt werden. |
Auf dieser Seite finden Sie die Dropdownlisten Monat und Tag, die Links << (vorheriger Tag) und >> (nächster Tag), sowie die Schaltflächen Aktualisieren und Export, die zu Beginn des Abschnitts beschrieben sind.
Im Bereich Protokoll der Seite wird für jedes der von der Firewall nicht angenommene Datenpaket jeweils ein Eintrag angezeigt. Der Eintrag besteht aus dem Zeitpunkt des Ereignisses, der Quell- und der Ziel-IP-Adresse für das zurückgewiesene Datenpaket, sowie das verwendete Protokoll, den Lauf durch IPCop und die verwendete Schnittstelle.
Sie können Informationen zu den angezeigten IP-Adressen abrufen, indem Sie auf die IP-Adresse klicken. IPCop ruft für die jeweilige IP-Adresse den zugehörigen DNS-Eintrag auf, und gibt einen Bericht mit den verfügbaren Informationen zur Registrierung und zum Eigentümer der IP-Adresse aus.
Auf dieser Seite werden Ereignisse angezeigt, die von der IPCop-Einbruchsdetektierung (IDS) erkannt wurden. Nach der Installation von IPCop ist der die Einbruchdetektierung zunächst deaktiviert, die Komponente kann jedoch über die zugehörige Administrationsseite () aktiviert und bei Bedarf wieder deaktiviert werden.
Auf dieser Seite finden Sie die Dropdownlisten Monat und Tag, die Links << (vorheriger Tag) und >> (nächster Tag), sowie die Schaltflächen Aktualisieren und Export, die zu Beginn des Abschnitts beschrieben sind. Über diese Steuerelemente können Sie die IDS-Protokolle für einen bestimmten Tag anzeigen. Bei der Protokollierung werden eine Reihe von Merkmalen für den erkannten Einbruchversuch festgehalten:
Das Datum und die Uhrzeit des Vorfalls.
Name: - eine Beschreibung des Vorfalls.
Priorität: (falls verfügbar). Die Priorität gibt den Schweregrad des Vorfalls an, in den Kategorien 1 (bösartig), 2 (nicht wirklich gefährlich) und 3 (möglicherweise schädlich).
Art: - eine allgemeine Beschreibung des Vorfalls (falls verfügbar).
IP Info: - die IP-Kennung (Adresse und Port) der beiden IP-Endpunkte (Ausgangs- und Zieladresse). Die IP-Adressen sind als Hyperlink implementiert, über den Sie den zugehörigen DNS-Eintrag aufrufen und einen Bericht mit den verfügbaren Informationen zur Registrierung und zum Eigentümer der IP-Adresse ausgeben können.
Referenzen: - Hyperlinks zu URLs mit verfügbaren Informationsquellen zu dem jeweiligen Typ des Vorfalls.
SID: - die Snort-ID (falls verfügbar). Bei „Snort“ handelt es sich um das von IPCop verwendete Softwaremodul für die IDS-Funktionalität; die SID ist der von dem Snort-Modul zur Kennzeichnung der verschiedenen Angriffsschemata verwendete ID-Code. Dieses Feld ist ebenfalls als Hyperlink zu einer Webseite mit dem zugehörigen Eintrag der Snort-Datenbank der Einbruchssignaturen implementiert.
Auf dieser Seite können Sie das Systemprotokoll sowie verschiedene weitere Protokolle anzeigen. (Informationen zur Verwendung der Dropdownlisten Monat und Tag, der Links << (vorheriger Tag) und >> (nächster Tag), sowie der Schaltflächen Aktualisieren und Export finden Sie am Anfang des Abschnitts.) Es sind elf verschiedene Protokollierungskategorien verfügbar, die über die Dropdownliste Abschnitt ausgewählt werden können:
IPCop (Standardeinstellung) - allgemeine IPCop-Ereignisse wie das Speichern des PPP-Profils sowie Verbindungsinformationen (PPP has gone up on ppp0, „PPP wurde auf ppp0 gestartet“, oder PPP has gone down on ppp0, „PPP wurde auf ppp0 beendet“) für Einwählverbindungen.
RED - Informationen zu dem Datenaufkommen für die IPCop-PPP-Schnittstelle. Hierzu gehören die Datenstrings, die an Modems und andere Netzwerkschnittstellen gesendet bzw. von diesen empfangen wurden. Diese Informationen können im Falle von Verbindungsproblemen zur Fehlerbehandlung herbeigezogen werden.
DNS - zeigt das Protokoll von dnsmasq, dem Hilfsprogramm für den Domänennamensdienst, an.
DHCP-Server - zeigt ein Protokoll der Aktivitäten der DHCP-Server-Funktionalität von IPCop an.
SSH - stellt ein Protokoll der netzwerkbasierten Benutzeran- und -abmeldungen über die SSH-Schnittstelle bereit.
NTP - zeigt ein Protokoll der Aktivitäten der ntpd-Server-Funktionalität an.
Cron - stellt eine Aufzeichnung der Aktivitäten des cron-Dämons bereit.
Login/Logout- stellt ein Protokoll der Benutzeran- und -abmeldungen am IPCop-Server bereit. Über diese Option werden sowohl lokale Anmeldungsvorgänge als auch solche, die über die SSH-Schnittstelle erfolgen, angezeigt.
Kernel - Aufzeichnung der Kernel-Aktivitäten des IPCop-Servers.
IPSec - Aufzeichnung der Aktivitäten von IPSec, dem von IPCop verwendeten VPN-Softwaremodul.
Aktualisieren - Protokoll der Ergebnisse aller Updates, die für die IPCop-Software über das Fenster installiert wurden.
Snort - Protokoll der Aktivitäten des IDS-Systems.
