Hi,

ich habe eine iptables Firewall und möchte gern automatisch die Logfiles prüfen lassen.

Welches Programm ist dafür am besten geeignet? Was nutzt Ihr? Logsurfer klingt von der Beschreibung nicht schlecht. Er arbeitet in "Echtzeit" und man kann Regeln erstellen, wonach dann Aktionen ausgeführt werden (geht also schon etwas in Richtung IDS). Hat damit jemand Erfahrungen?

Danke.
Swen

moin moin

kannst dir ja mal fwlogwatch ansehen => http://www.kybs.de/boris/software.shtml


Gruß HL

Dank Dir! Klingt interessant, werde ich nächste Woche mal testen.

Gruß Swen

für angriffsdetektion (wohl das, worauf du hinnaus wolltest) solltest du dich mal bei den ids'en umsehen (snort o.ä.)

Ja, bin mir da auch noch nicht so sicher. Snort ist in Planung (wenn mal Zeit ist), das möchte ich aber nicht unbedingt auf meiner Firewall haben. Werde dafür sicherlich einen anderen Rechner in die DMZ stellen. Damit kann ich natürlich nicht viel an den Regeln ändern, aber da ist eh nicht viel erlaubt :D .
Also ich möchte erstmal wirklich nur die Logfiles auswerten. Echtzeit muß vielleicht nicht mal unbedingt sein, wobei ich mir das bei einigen Rechnern sinnvoll vorstelle.

Gruß Swen

ah wo ihr beim thema loggin seid...
meine shorewall haut immer die rejected messages auf die root konsole raus - kann man das unterdrücken, das das nur in eine file ausgegeben wird ?

thanx

und sorry das ich dein thread missbrauche ;)

@spleen

in /etc/init.d/klogd
ist eine zeile KLOGD=""
dort reinschreiben KLOGD="-c 4"

damit änderst du die loglevelstufe auf error.

kolgd neustarten, fertig.

siehe man klogd, man syslogd

Profbunny

danke für die schnelle antwort.. werd mich da mal durchfummeln ;)