Anzeige:
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 15 von 33

Thema: Empfehlung: Zentrale Logauswertung / Monitoring

  1. #1
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682

    Thumbs up Empfehlung: Zentrale Logauswertung / Monitoring

    Hallo zusammen,

    mich würde interessieren wie ihr eure Netze managed, also beispielsweise Monitoring, Logauswertung, Changemanagment, Updatemanagment etc. in heterogenen Netzen löst.

    Wird mit zunehmenden Anforderungen an Qualität, Verfügbarkeit, Performance und nicht zuletzt durch Compliance Anforderungen wie Basel II oder Sarbanes Oxley ja immer wichtiger. Ist definitiv ein rasant wachsender, riesiger Markt, deswegen wundere ich mich auch das man so wenig gute Vergleiche / Infos findet.

    Und last but not least ists eine Paradedizplin für OpenSource, fast nirgends sind offene Schnittstellen und Erweiterbarkeit so wichtig wie in diesem Themenkomplex.

    Bestrebungen wie offene Frameworks für Konfigurationstools die herstellerunabhängig nutzbar sind und die immer stärker werdende Verflechtungen der einzelnen Tools untereinander machen das ganze Thema zu einer spannenden Sache.

    Mich interessiert vor allem welche Tools ihr in Kombination nutzt!


    Inventarisierung
    Verwaltung von Inventar und zugehörigen Verträgen, Garantien, etc. Clients und Server sollten automatisiert inventarisiert werden können.

    I-DOIT
    IRM
    H-Inventory
    OSCI-NG
    GLPI
    Inventory
    Tellu
    PBNJ


    Gerade die Kombination OSCI-NG + GLPI gefällt mir gut. I-DOIT ist auch nett und sehr flexibel.

    Changemanagment
    ZIPTIE
    Babel
    CFENGINE
    BCFG2
    ISISETUP
    NetDirector

    http://en.wikipedia.org/wiki/Configuration_management



    1) Netzwerkinfrastrukturmonitoring

    Nagios
    Zabbix
    ZenOSS
    OpenNMS
    http://www.jffnms.org
    Hyperic
    Bixdata
    Octopussy
    Spiceworks
    moodss
    Deep Network Analyzer
    NetXMS
    Sentaurus
    Opsview
    Orion
    Pandora
    OpenSIMS
    BigSister
    ASDIC
    ARGUS

    ECDB

    Da sind einige Perlen dabei - hängt halt von den Anforderungen ab...


    2) Zentralisierte Logauswertung
    OSSIM
    Sentaurus
    OSSEC
    SGUIL
    SQeRT
    SEC

    OSSIm gefällt mir verdammt gut - aber auch die anderen Projekte sind mehr als einen Blick wert...

    In der Hoffnung auf hochwertige Antworten

    mfg
    cane
    Geändert von cane (01.04.07 um 19:19 Uhr)
    Es existiert kein Patch für die menschliche Dummheit.

  2. #2
    Do you know bash? Avatar von bert2002
    Registriert seit
    Sep 2002
    Ort
    なすしおばら
    Beiträge
    1.301
    Nagios natürlich.
    Es kann einfach alles und super leicht zu erweitern und es läuft auf allen Betriebssystemen. Einfach nur zum verlieben.

    Zentrale logs sammeln läuft zur zeit unter Octopussy, dass gefällt mir aber nicht so gut. Wäre da für eine Empfehlung auch noch offen.
    Geändert von bert2002 (03.04.07 um 12:16 Uhr)
    another blog: itbert.de - [ SSL ]

  3. #3
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    Nagios ist scon nett, hab ich auch schon groessere sachen mit gemacht aber kann keine Inventarverwaltung, keine Bandwith-Statistiken, keine gute zentrale Logauswertung ...

    Bez. Logserver teste mal OSSIM easy per VMWare an - gefällt mir gut:
    http://www.ossim.net/vmware.php

    kann aber keine Echtzeitmitschnitte - da ist das o.g. SGUIL nett:
    http://sourceforge.net/project/showf...group_id=71220

    Installier dir den Client und teste hiergegen:
    host: bamm.dyndns.org
    port: 7734
    user: demo

    mfg
    cane
    Es existiert kein Patch für die menschliche Dummheit.

  4. #4
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    Momentan verwenden wir hier Tellu, Nagios, Nagiosgraph und MRTG. Dazu noch eine handvoll selbstgeschriebene Scripte für Logauswertungen.

    Das System hat diverse Nachteile - es ist gewachsen und in großen Teilen Stückwerk - das übliche Problem "man braucht schnell mal was" und hat keine lange Zeit zum forschen, ob es schon eine fertige Lösung gibt...

    An Nagios gefällt mir persönlich der Funktionsumfang des Systems und sie (wie ich finde) einfache Konfiguierbarkeit (ja, es gibt Leute, die das anders sehen) und das ich quasi jeden beliebigen Test implementieren kann.

    Für die Inventarisierung suchten wir damals ein Tool, welches in der Lage ist, ohne große Konfiguration und Handarbeit die grundlegende Datenbasis "von alleine" zu erfassen - die Wahl von Tellu war auch eher eine Bauchgeschichte, heute würde das evtl. anders ausfallen - wobei das System sehr mächtig ist und seine Arbeit auch gut erledigt. Die GUI ist an machen Stellen etwas gewöhnungsbedürftig (was den Workflow angeht), wenn man sich aber mal dran gewöhnt / "reingedacht" hat kann man sehr gut damit arbeiten...

    Der Traum wäre nun denn noch natürlich, wenn sich die Datenbestände gegenseitig abgleichen würden - aber das wird glaube ich noch auf sich warten lassen müssen - im Endeffekt konfiguriert man so heute jedes System für sich und darf hoffen, dass man nirgendwo was vergessen hat...
    Geändert von marce (02.04.07 um 07:11 Uhr)
    Ich bin root - ich darf das.

  5. #5
    Do you know bash? Avatar von bert2002
    Registriert seit
    Sep 2002
    Ort
    なすしおばら
    Beiträge
    1.301
    Zitat Zitat von cane Beitrag anzeigen
    Nagios ist schon nett, hab ich auch schon grössere sachen mit gemacht aber kann keine Inventarverwaltung, keine Bandwith-Statistiken, keine gute zentrale Logauswertung ...
    Ja das Stimmt. Es ist ein reines Monitoring Tool und wenn es das könnte hätten andere ja gar keine Chance mehr

    Zitat Zitat von cane Beitrag anzeigen
    Bez. Logserver teste mal OSSIM easy per VMWare an - gefällt mir gut:
    http://www.ossim.net/vmware.php
    Grafisch sieht es auf jedenfall gut aus und die Roadmap verspricht viel. Was ich jetzt auf die Schnelle gesehen habe, dass der Snort Logfile Agent nicht mehr funktioniert (In der Roadmap der Plugins durchgestrichen). Das es in den Components aber aufgeführt ist verwirrt mich jetzt aber ein bisschen. Könnte sich mal näher anschauen, aber da es nicht Echtzeit ist...

    Zitat Zitat von cane Beitrag anzeigen
    kann aber keine Echtzeitmitschnitte - da ist das o.g. SGUIL nett:
    http://sourceforge.net/project/showf...group_id=71220

    Installier dir den Client und teste hiergegen:
    host: bamm.dyndns.org
    port: 7734
    user: demo
    Erstmal Danke, aber irgendwie bin ich auf die schnelle nicht mit klar gekommen. Ich habe zwar meine Verbindung gesehen, aber ich habe mal ein bisschen was auf den Host gehauen und er hat es nicht gemerkt Kann aber denke mal sein, das der Server nicht direkt am Netz hängt sondern hinter einem Router(?).

    Achsooo für Snort benutzen wir, Testweise, momentan BASE.

    Zitat Zitat von marce Beitrag anzeigen
    Momentan verwenden wir hier Tellu...
    Das Tellu, sieht aber recht Nett aus. Dadrüber habe ich mir aber ehrlich gesagt noch nie Gedanken gemacht. Wie das bei uns geregelt ist, sag ich hier mal lieber nicht
    another blog: itbert.de - [ SSL ]

  6. #6
    Registrierter Benutzer Avatar von PierreS
    Registriert seit
    Apr 2003
    Ort
    Bonn
    Beiträge
    1.303
    Ist ein wenig OT, aber kennt ihr eine gute Alternative zu logwatch? Eure Systeme sind mehr für große Netzwerke, nicht? Ich bräuchte was für nur einen Server.

    logwatch zeigt leider nur bekannte Logeinträge an; so gehen einem manche Fehlemeldungen durch die Lappen.

  7. #7
    dkarg
    Gast
    Zitat Zitat von bert2002 Beitrag anzeigen

    Grafisch sieht es auf jedenfall gut aus und die Roadmap verspricht viel. Was ich jetzt auf die Schnelle gesehen habe, dass der Snort Logfile Agent nicht mehr funktioniert (In der Roadmap der Plugins durchgestrichen). Das es in den Components aber aufgeführt ist verwirrt mich jetzt aber ein bisschen. Könnte sich mal näher anschauen, aber da es nicht Echtzeit ist...
    Erstmal hallo an alle, danke fuer den freundlichen input, bin durch die vielen referrer auf den thread aufmerksame geworden.

    Sorry falls das verwirrend ist, die durchgestrichenen Elemente sind solche die "funktionieren", der Rest muss nocht programmiert werden.

    Ich wuerde cane auch gerne schnell antworten, wir arbeiten gerade an dem Echtzeitmitschneiden, unter http://ossim_host/ossim/control_panel/event_panel.php bei 0.9.9rc4 ist das zu testen. Feedback ist wilkommen.

    Verzeit bitte meine ortographie fehler, habe nicht viel uebung im deutsch schreiben .

  8. #8
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    @dkarg

    Nice 2 know,
    ich werd OSSIM warscheinlich implementieren und mit einer ausgewachsenen Monitoring-Lösung wie Nagios oder Zenoss verbinden.

    Wenn ich Fragen hab komm ich mal auf dich zu - vielleicht wird das ne groessere Sache und dann bin ich gerne bereit für gute Antworten zu investieren. Es hat auch schon eine Zeitschrift Interesse angemeldet...

    Schick mir doch einfach mal deine Email-Addy als private Nachricht, wenns für dich einfacher ist können wir auch EN oder FR kommunizieren

    mfg
    cane
    Es existiert kein Patch für die menschliche Dummheit.

  9. #9
    dkarg
    Gast
    Nachdem ich dem thread nochmal durchgelesen habe wuerde ich gern noch ein paar gedanken beisteuern:

    Als inventarisierungs software gefaellt mir persoenlich OSCI-NG sehr gut, benutze es zusammen mit ossim bei kunden und werde versuchen die datenbanken so gut wie moeglich zu sinkronisierung um eine interessante integration zu bekommen.

    Als NMS habe ich Zabbix, OpenNMS, Pandora, BigSister un Nagios benutzt. OpenNMS hat mir sehr gefallen, vor allem die automatische network discovery funktioniert(e) sehr gut, aber das ganze Java war am ende zuviel.
    Nagios ist und wird wahrscheinlich fuer mich NMS of choice bleiben, habe auch einiges damit vor.

    Zum thema logauswertung bin leider biased, werde aber versuchen so neutral wie moeglich zu schreiben.
    Erstens, der mix ist etwas verwirrend. OSSEC ist fuer mich etwas mehr ein HIDS mit integrity checks (bin uebrigens hoch begeistert davon), SGUIL kannte ich als event monitor und SEC ist mir als correlations script bekannt.
    Ich persoenlich wuerde ein paar neue kategorien erstellen: hids (Osiris hinzu nehmen), Prelude auch in betracht ziehen als logauswertungs software und hybrid ids, und OSSIM als eben das, SIM.

    Den rest habe ich leider nicht ausprobiert.

    Da in dem original post ueber kombination die frage ist, hoffe ich das die folgenden zeilen nicht als spam verstanden werden sonde als ein beitrag dazu von meinem blickpunkt aus:

    In OSSIM nehmen wir Nagios (frueher OpenNMS) als input fuer monitoring, verwalten Nessus scans und reports um mit derem output gegen Snort attacken zu correlieren, benutzen seit kurzen die info aus OSVDB um attacken als wichtig oder unwichtig zu markieren wenn sie gegen bestimmte OSs oder Services gehen, p0f um aenderung an betriebssystemen festzustellen, arpwatch fuer dasselbe mit MAC addressen und pads fuer services. Natuerlich kommt auch alles ins inventory. Aus diesem inventory heraus wird dann Nagios zurueck konfiguriert werden und nebenbei einige andere sachen in sachen Risk und Compliance gemacht.

    Gruss,

    Dominique

  10. #10
    cat /dev/zero > /dev/null Avatar von Thallez
    Registriert seit
    Jun 2002
    Ort
    /Deutschland/NRW/ESSEN/
    Beiträge
    438
    In meinen Booksmarks habe ich noch ein Inventory Programm gefunden
    habe es aber nie ausprobiert

    zCI Computer Inventory System
    GREETINGS
    _-=Thallez=-_

  11. #11
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    Statusupdate

    Für Inventarverwaltung setze ich OSCI-NG und GLPI ein.

    OSCI-NG hat Cleints für Windows und Linux die jeden Rechner per Cronjob prüfen und eventuelle Änderungen an den Server senden. In GLPI übernehme ich die daten per Knopfdruck - dort wird dann die Zuweisung zu Benutzern, Serviceverträgen etc. geregelt.

    Ist die einfachste und trotzdem eleganteste Lösung die ich gefunden habe

    mfg
    cane
    Es existiert kein Patch für die menschliche Dummheit.

  12. #12
    Do you know bash? Avatar von bert2002
    Registriert seit
    Sep 2002
    Ort
    なすしおばら
    Beiträge
    1.301
    Zitat Zitat von cane Beitrag anzeigen
    Statusupdate

    Für Inventarverwaltung setze ich OSCI-NG und GLPI ein.

    OSCI-NG hat Cleints für Windows und Linux die jeden Rechner per Cronjob prüfen und eventuelle Änderungen an den Server senden. In GLPI übernehme ich die daten per Knopfdruck - dort wird dann die Zuweisung zu Benutzern, Serviceverträgen etc. geregelt.

    Ist die einfachste und trotzdem eleganteste Lösung die ich gefunden habe

    mfg
    cane
    Hast du zufaellig einen link fuer OSCI-NG? Ich finde da nichts drueber.

    Danke! && MfG bert2002
    another blog: itbert.de - [ SSL ]

  13. #13
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    steht doch in #1
    Ich bin root - ich darf das.

  14. #14
    Registrierter Benutzer
    Registriert seit
    May 2001
    Ort
    Berlin
    Beiträge
    870
    moin

    Ich bin auf das bereits genannte osiris gestossen, weil es Kernel Modul Aenderungen entdeckt [0], ausserdem gefaellt mir die mgmt Console.

    @Pierre_S logcheck probiert?



    Gruss 403


    0) "mod_kmods: monitor kernel extensions or services", Allerdings nur vom Userspace aus.
    ls ~-

  15. #15
    Registrierter Benutzer
    Registriert seit
    Jan 2008
    Beiträge
    69
    Hallo zusammen,

    ich habe hier durch zufall diesen Thread gefunden.
    Und da ich eh auf der Suche nach einem Inventar Programm bin, dachte ich stellste nach so einer tollen zusammenstellung von cane nochmal die frage was den am besten ist, wenn ich es über meinen Client-PC laufen lasse?

    Habe WindowsXP und will alle Rechner die im Netzwerk sind aufgelistet haben, mit allen Hardware, Software (inkl. Lizensen) und Peripherie Geräten.

    Was würdet Ihr mir da empfehlen?

    gruss
    nixi

Ähnliche Themen

  1. Antworten: 6
    Letzter Beitrag: 24.11.06, 15:00
  2. RAID monitoring
    Von BiZNiZ im Forum Linux Allgemein
    Antworten: 1
    Letzter Beitrag: 15.09.04, 15:03
  3. Komischer syslog ??
    Von filou im Forum Anbindung an die Aussenwelt
    Antworten: 0
    Letzter Beitrag: 13.04.04, 14:57
  4. airsnort / monitoring mode
    Von ThorstenHirsch im Forum Mobiles Linux, Notebook, PDA
    Antworten: 0
    Letzter Beitrag: 25.05.03, 18:25

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •