Windoof User
30.08.07, 15:12
Hallo zusammen,
ich hoffe ich habe das richtige Forum erwischt :o
Um es gleich vorweg zu sagen, Linux ist für mich immer noch etwas fremd:rolleyes:
Was will ich machen:
Ich möchte gerne die Ereignisanzeigen von meinen Windows-Servern auswerten bzw. überwachen. Dazu möchte ich Snare Agenten (http://www.intersectalliance.com/projects/SnareWindows/) auf meinen Windows Servern installieren, die definierte Ereignisse an einen Syslog-Server senden können.
Die gesammelten Daten möchte ich dann mit einer Software namens Splunk (http://www.splunk.com/features/2000) auswerten. Splunk ist im Grunde genommen nichts weiter als eine große Suchmaschine, die folgende Data Inputs nutzen kann:
- Files & Directories
- FIFO Queue
- Network Ports
Was mir unklar ist:
Leider kenne ich mich mit Syslogservern überhaupt nicht aus :mad:, aber ich bin ja lernwillig :)
Verwende tue ich eine Suse 10.0 und da läuft auch ein syslog, wie ich mit dem Befehl: "/etc/init.d/syslog status --> running" festgestellt habe.
So jetzt fangen die Probleme an. Bei dem Snare-Agenten, kann ich eine IP-Adresse und einen Port hinterlegen, aber was und wo muss ich beim Syslog-Server einstellen. Und wo landen die Daten.
Ich weiß, dass diese Fragen jetzt sehr allgemein sind :o, aber ich hätte auch gerne gewusst, ob ich auf den richtigen Weg bin.
Wenn ich in die Datei /etc/sysconfig/syslog reinschaue, sehe ich dass hier wohl der syslog-ng läuft (SYSLOG_DAEMON="syslog-ng").
Ich habe schon einiges gesucht, aber bin doch vom Suchen etwas verwirrt :confused:. Ich las z.B. das die Daten des syslog-ng in eine MySQL Datenbank laufen, aber dann weiß ich erst recht nicht, wie ich die Daten mit meinem Programm "Splunk" auswerten soll.
Muss ich mir vielleicht einen anderen Syslog-Server suchen, die die Daten stumpf in eine Datei schreibt.
Bitte um Hilfe :)
Gruß Olaf
ich hoffe ich habe das richtige Forum erwischt :o
Um es gleich vorweg zu sagen, Linux ist für mich immer noch etwas fremd:rolleyes:
Was will ich machen:
Ich möchte gerne die Ereignisanzeigen von meinen Windows-Servern auswerten bzw. überwachen. Dazu möchte ich Snare Agenten (http://www.intersectalliance.com/projects/SnareWindows/) auf meinen Windows Servern installieren, die definierte Ereignisse an einen Syslog-Server senden können.
Die gesammelten Daten möchte ich dann mit einer Software namens Splunk (http://www.splunk.com/features/2000) auswerten. Splunk ist im Grunde genommen nichts weiter als eine große Suchmaschine, die folgende Data Inputs nutzen kann:
- Files & Directories
- FIFO Queue
- Network Ports
Was mir unklar ist:
Leider kenne ich mich mit Syslogservern überhaupt nicht aus :mad:, aber ich bin ja lernwillig :)
Verwende tue ich eine Suse 10.0 und da läuft auch ein syslog, wie ich mit dem Befehl: "/etc/init.d/syslog status --> running" festgestellt habe.
So jetzt fangen die Probleme an. Bei dem Snare-Agenten, kann ich eine IP-Adresse und einen Port hinterlegen, aber was und wo muss ich beim Syslog-Server einstellen. Und wo landen die Daten.
Ich weiß, dass diese Fragen jetzt sehr allgemein sind :o, aber ich hätte auch gerne gewusst, ob ich auf den richtigen Weg bin.
Wenn ich in die Datei /etc/sysconfig/syslog reinschaue, sehe ich dass hier wohl der syslog-ng läuft (SYSLOG_DAEMON="syslog-ng").
Ich habe schon einiges gesucht, aber bin doch vom Suchen etwas verwirrt :confused:. Ich las z.B. das die Daten des syslog-ng in eine MySQL Datenbank laufen, aber dann weiß ich erst recht nicht, wie ich die Daten mit meinem Programm "Splunk" auswerten soll.
Muss ich mir vielleicht einen anderen Syslog-Server suchen, die die Daten stumpf in eine Datei schreibt.
Bitte um Hilfe :)
Gruß Olaf