Syslog-Ausgabe in der Firewall funktioniert nicht (kein Bug)

[Jirka]

Hallo,

9.04.0247 (aber schon länger)

in einer Firewall-Regel wird als Maßnahme angegeben, dass eine Syslog-Nachricht gesendet werden soll (%S), dies wird jedoch nicht getan, es erfolgt jedoch ein Eintrag in die Log-Tabelle (wo es nach meinem Verständnis nur rein gehört, wenn eine Ausgabe in LANmonitor erfolgen soll (%N)).

Viele Grüße,
Jirka

[Jirka]

Hallo,

gibt es diesbezüglich schon Neuigkeiten?

Mit der 9.10.0332 funktioniert das nach wie vor nicht. Der Kunde benötigt das, weil er verpflichtet ist, sämtliche Verbindungen (eines lokalen Netzwerks) mitzuloggen.

Vielen Dank und viele Grüße,
Jirka

[stefanbunzel]

Hallo Jirka - und hallo LANCOM,

mit dem aktuellen LCOS(-Beta) 9.10.0377 funktioniert nach wie vor die "sonstige Maßnahme" -> "Syslog-Nachricht senden" in Verbindung mit Firewall-Regeln nicht mehr richtig, wie bereits Jirka ja hier berichtet hatte. Das ist sehr ärgerlich! Insbesondere, da an Stelle von Syslog sofort SNMP (LANmonitor) aktiviert wird - was ja nicht gewollt war.

Die Syslog-Funktion ist für mich zur Dokumentation bestimmter Ereignisse sehr wichtig und muss unbedingt wieder richtig funktionieren!

Bitte unbedingt schnell wieder korrigieren!

Danke,
Stefan

[backslash]

Hi Jirka und stefanbunzel,

ich kann das irgendwie nicht nachvollziehen... Bei mir gehen Syslogs der Firewall problemlos raus. Was genau funktioniert nicht? Könnt ihr das mal mitschneiden (gefilterter Ethernet-Trace auf dem LANCOM oder Wireshark auf dem Syslog-Empfänger)?

Gruß
Backslash

[Jirka]

Hallo Backslash,

ich kann das irgendwie nicht nachvollziehen...

danke für den Einspruch - ich nun auch nicht mehr
Spaß beiseite. Man wird ja echt betriebsblind... Ich habe echt schon sonstwas probiert, um das endlich zum Laufen zu bekommen. Aber eben kam mir noch eine Idee, und das war es dann auch! Ich habe bei der Konfiguration der Syslog-Server für die Quelle Router die Priorität Information NICHT angehakt gehabt. Und das aus gutem Grund. Ich wollte nämlich NICHT die Service List haben, die einem da alle 5 Minuten ungefragt untergeschoben wird. Und die sich auch nachträglich im Syslog-Server nicht so ganz einfach raus filtern lässt...

Ehrlich gesagt bin ich davon ausgegangen, dass die Syslog-Ausgaben von Firewall-Regeln mit der Priorität Warnung rausgehen. Die Priorität Information hatte ich schon völlig ausgeblendet. Insofern habe ich das nie in Frage gestellt.
Dazu kam, dass ja die Einträge in der Log-Tabelle landeten und LANmonitor das somit anzeigte, obwohl LANmonitor ja in der Firewall-Regel gar nicht angehakt war (Sonstige Maßnahmen -> 'SNMP (z. B. LANmonitor)' nicht angehakt). Insofern habe ich mir irgendwie in den Kopf gesetzt, dass da eine Verwechselung vorliegt.

Was wird genau gemacht, wenn Sonstige Maßnahmen -> 'SNMP (z. B. LANmonitor)' angehakt ist? [Vermutlich wird ein SNMP-Trap rausgeschickt. Dadurch würde es LANmonitor dann schneller anzeigen, als wenn LANmonitor die Firewall-Einträge nur aus der Log-Tabelle bezieht (wo LANmonitor aktiv abfragen muss).]
Warum zeigt LANmonitor das schon an, obwohl es nicht angehakt ist, was ist da also für ein Unterschied, ob der Haken gesetzt ist oder nicht? [Nachfolgend durch Stefan schon teilweise beantwortet. Wie er in diesem Posting schreibt, führt jede der Benachrichtigungsformen (Syslog, SNMP, E-Mail) dazu, dass die Firewall-Ereignisse in LANmonitor angezeigt werden.]
Kann ich in der Tabelle /Setup/SYSLOG/Server bei der Angabe des Levels feiner abstufen als in LANconfig? LANconfig bietet nur die Prio Information, die damit sowohl das Level Notice als auch Info(rmational) liefert. Wenn ja, wie? [Wie Stefan (im Ref.-Manual) und ich (durch Ausprobieren) nachfolgend schon rausgefunden haben, geht das nicht, diese Level sind im LANCOM zu einem Level zusammengefasst.]

Vielen Dank und viele Grüße,
Jirka

EDIT: Antworten hinter die drei Fragen geschrieben.

[stefanbunzel]

Hallo backslash,

ich wollte eben für dich den Fehler schön nachstellen - und schon funktioniert es bei mir problemlos, obwohl ich es heute früh ja ebenfalls getestet hatte, und da hatte es mit gleichen Einstellungen nicht funktioniert. Ich vermute mal, dass heute früh die Einstellung bezüglich des IP-Fehlers im Syslog nicht funktionierte. Da war mir wohl die Syslog-Server-IP rausgeflogen bzw. wurde nicht übernommen. Inzwischen hatte ich das Gerät neu gestartet sowie auch ein FW-Update durchgeführt.

Ich habe also folgende einfache Regel zum Bsp. zum Loggen sämtlicher Internet-Verbindungen erstellt:

Name: SYSLOG-TEST
Regel aktiv, weitere Regeln beachten, Verbindung nachhalten, Prio: 9999
Aktion: Default-Route, pro Session, Übertragen, Syslog-Nachricht senden

Syslog-Modul: aktiviert
Facility-Mapper: Router: LOCAL3
Tabelle-SYSLOG: Quelle: Router (mind.), Level: Info (mind.)

Beim Syslog-Server (bzw. LANmonitor) kommt an:
LOCAL3.Info: matched filter: DEFAULT (ACCEPT-ALL)
LOCAL3.Notice: Dst: x.x.x.x:yyy, Src: a.a.a.a:bbb: packet accepted

Meiner Meinung nach wird hier eine falsche Regel genannt. Müsste hier nicht "SYSLOG-Test" stehen?
Die zweite Zeile ist dann okay und ja das eigentliche gewünschte Ergebnis der Regel.

@Jirka: Die "wiederholte" Darstellung aller Syslog-Meldungen im LANmonitor scheint gewollt. Die LANconfig-Hilfe bringt dazu: "Wählen Sie eine oder mehrere der möglichen Benachrichtigungsformen SYSLOG, SNMP-Trap und E-Mail. Jede beliebige davon aktiviert außerdem das Protokollieren in der Firewall-Ereignistabelle (LANmonitor)."

Viele Grüße
Stefan

[Jirka]

Hallo Stefan,

Beim Syslog-Server (bzw. LANmonitor) kommt an:
LOCAL3.Info: matched filter: DEFAULT (ACCEPT-ALL)
LOCAL3.Notice: Dst: x.x.x.x:yyy, Src: a.a.a.a:bbb: packet accepted

bei mir sieht es so aus (von unten nach oben zu lesen; neueste Meldung steht zuerst):

Code: Alles auswählen

Idx. Time                 Source   Level    Message                                      
-------------------------------------------------------------------------------------------------------------------------------------------
1    2015-08-18 21:42:27  LOCAL3   Info     actions: accept; send syslog message         
2    2015-08-18 21:42:27  LOCAL3   Info     exceeded limit: more than 0 kilobits transmitted or received on a connection during last second
3    2015-08-18 21:42:27  LOCAL3   Info     matched filter: SYSLOG_FUER_GASTNETZE        
4    2015-08-18 21:42:27  LOCAL3   Notice   Dst: 31.13.84.4:443, Src: 192.168.202.175:55667 (TCP): packet accepted

Meiner Meinung nach wird hier eine falsche Regel genannt. Müsste hier nicht "SYSLOG-Test" stehen?

Bei mir funktioniert es, wie Du siehst...

Die zweite Zeile ist dann okay und ja das eigentliche gewünschte Ergebnis der Regel.

Jo, 4 Syslog-Zeilen bei mir, und die eine brauche ich nur... Ich hoffe, ich kriege das hin, der Kunde hat leider kein Kiwi Syslog, sondern eine Synology.

@Jirka: Die "wiederholte" Darstellung aller Syslog-Meldungen im LANmonitor scheint gewollt. Die LANconfig-Hilfe bringt dazu: "Wählen Sie eine oder mehrere der möglichen Benachrichtigungsformen SYSLOG, SNMP-Trap und E-Mail. Jede beliebige davon aktiviert außerdem das Protokollieren in der Firewall-Ereignistabelle (LANmonitor)."

Sehr interessant! Das erklärt Einiges!

Meine 3. Frage oben an Backslash kann ich mir nach etwas rumprobieren nun im Prinzip schon selber beantworten:
Die Prioritäten werden hexadezimal mit folgenden Werten in die Tabelle eingetragen:
Alarm 01
Fehler 02
Warnung 04
Information 08
Debug 10
(mehrere Level werden entsprechend addiert)
Somit kann man wohl auch in der Tabelle nicht zwischen Info und Notice unterscheiden...

Viele Grüße,
Jirka

[stefanbunzel]

Hallo Jirka,

Jo, 4 Syslog-Zeilen bei mir, und die eine brauche ich nur...

Bei mir sind es auch vier Einträge. Ich hatte aber nur die beiden wesentlichen zitiert. Ich war mir eigentlich auch sicher, dass da "früher" (zu Zeiten der Vorratsdatenspeicherung, als ich dies so nutzte) es nur eine Zeile gab. Aber mittels der Kiwi-Filter kann man das ja gut verwerfen. Allerdings erzeugen eben 4 Zeilen eine erheblich höhere Netzlast als eine Zeile!

Ich hoffe, ich kriege das hin, der Kunde hat leider kein Kiwi Syslog, sondern eine Synology.

Vergiss es. Ich hatte auch auf meine Synology gehofft, mit der ich im übrigen absolut zufrieden bin. Aber als Syslog-Server fand ich die einfach nur schwach, so dass ich wieder mein Kiwi mit Freude in Betrieb genommen hatte. Beide Systeme sind vom Funktionsumfang meiner Meinung nach absolut nicht vergleichbar! Aber, teste mal selbst...

...Somit kann man wohl auch in der Tabelle nicht zwischen Info und Notice unterscheiden...

Vergleiche auch hier das online-Referenzhandbuch: http://www.lancom-systems.de/docs/LCOS- ... 67061.html
Priorität = NOTICE, INFORM
Man kann also leider nicht zwischen Notice und Inform trennen...

[Jirka]

Hallo Stefan,

Bei mir sind es auch vier Einträge. Ich hatte aber nur die beiden wesentlichen zitiert.

hmm. Dann ist es bei Dir also auch nicht anders... Schade.

Ich war mir eigentlich auch sicher, dass da "früher" (zu Zeiten der Vorratsdatenspeicherung, als ich dies so nutzte) es nur eine Zeile gab. Aber mittels der Kiwi-Filter kann man das ja gut verwerfen.

Ja, genau.

Allerdings erzeugen eben 4 Zeilen eine erheblich höhere Netzlast als eine Zeile!

Genau so sieht es aus. Insbesondere wenn der Syslog-Server dann auch nicht mehr lokal ist...

Vergiss es. Ich hatte auch auf meine Synology gehofft, mit der ich im übrigen absolut zufrieden bin. Aber als Syslog-Server fand ich die einfach nur schwach, so dass ich wieder mein Kiwi mit Freude in Betrieb genommen hatte. Beide Systeme sind vom Funktionsumfang meiner Meinung nach absolut nicht vergleichbar! Aber, teste mal selbst...

Ich hatte mir das ja schon mal angeschaut und weiß, dass das ein Problem ist und hatte es ja deswegen auch erwähnt. Aber dass man nicht mal nach Level oder IP ausfiltern kann, das war mir so doch nicht mehr bewusst. Ich kann also quasi nichts, gar nichts machen. Ich kann nur entweder die ganzen 4 Zeilen abspeichern (und die oben erwähnte 5-minütige Service List ebenso) oder eben gar nichts. Das erzeugt natürlich dann auch ein völlig unnötiges Volumen... (mit den entsprechenden Nachteilen, wie Speicherplatzbedarf, Filter- und Durchsuchbarkeit)

Vergleiche auch hier das online-Referenzhandbuch

Danke. Immer wieder erstaunlich, was da manchmal doch alles dokumentiert ist

Viele Grüße,
Jirka

[backslash]

Hi Jirka,

Was wird genau gemacht, wenn Sonstige Maßnahmen -> 'SNMP (z. B. LANmonitor)' angehakt ist? [Vermutlich wird ein SNMP-Trap rausgeschickt. Dadurch würde es LANmonitor dann schneller anzeigen, als wenn LANmonitor die Firewall-Einträge nur aus der Log-Tabelle bezieht (wo LANmonitor aktiv abfragen muss).]
Warum zeigt LANmonitor das schon an, obwohl es nicht angehakt ist, was ist da also für ein Unterschied, ob der Haken gesetzt ist oder nicht? [Nachfolgend durch Stefan schon teilweise beantwortet. Wie er in diesem Posting schreibt, führt jede der Benachrichtigungsformen (Syslog, SNMP, E-Mail) dazu, dass die Firewall-Ereignisse in LANmonitor angezeigt werden.]

Wie Stefan schon herausgefunden hat, werden alle Ereignisse, bei denen irgend eine Benachrichtigung aktivirt wurde ins Firewall-Log (/Status/IP-Router/Log-Table) geschrieben. Der LANmonitor liest regelmässig dier ersten 5 Zeilen der Tabelle aus... Wird jetzt das Häkchen bei SNMP gesetzt, dann wird ein SNMP-Trap verschickt, der die erste Zeilke der Tabelle enthält. Für den LANmonitor ist das relativ egal, da er ja die ersten 5 Zeilen regelmässig anzeigt - es würde nur die Verzögerung bis zur Anzeige verringern. Aber es gibt ja nicht nur LANmonitor...

Gruß
Backslash

[backslash]

Hi stefanbunzel,

Beim Syslog-Server (bzw. LANmonitor) kommt an:
LOCAL3.Info: matched filter: DEFAULT (ACCEPT-ALL)
LOCAL3.Notice: Dst: x.x.x.x:yyy, Src: a.a.a.a:bbb: packet accepted
Meiner Meinung nach wird hier eine falsche Regel genannt. Müsste hier nicht "SYSLOG-Test" stehen?
Die zweite Zeile ist dann okay und ja das eigentliche gewünschte Ergebnis der Regel.

Das Problem liegt hier:

weitere Regeln beachten,

Das führt dazu, daß am Ende der Name der letzten Regel, die gematcht hat ausgegeben wird...

Gruß
Backslash

[stefanbunzel]

Hallo backslash,

okay, danke für die Info.

Stefan

[Jirka]

Hallo zusammen,

auch noch mal von mir ein Dankeschön an Backslash.

Ich habe es jetzt soweit alles funktional eingerichtet, mit der Synology ist das aber wie schon geschrieben, nur mit großen Abstrichen möglich (für den Notfall reicht es aus; für eine regelmäßige Inaugenscheinnahme des Syslog-Outputs ist es allerdings eine Zumutung). Daher bleibt am Ende zusammenzufassen, dass es durchaus sinnvoll wäre, den Syslog-Output des LANCOMs feiner einstellen zu können, insbesondere die oben angegebenen 4 Syslog-Nachrichten beim Matchen einer Firewall-Regel widersprechen dem Einsatz von Syslog in Allow-Regeln. Auch die nicht abschaltbare Service List ist so ein Punkt, den man konfigurierbar machen könnte. Nachfolgend hier mal so eine Liste:

Code: Alles auswählen

612 2015-08-19 13:58:58 LOCAL3 Notice service list end
613 2015-08-19 13:58:58 LOCAL3 Notice total   12750388 packets (= 100.00%), 8218139 kbytes (= 100.00%)
614 2015-08-19 13:58:58 LOCAL3 Notice other    7405951 packets (=  58.08%), 4115992 kbytes (=  50.08%)
615 2015-08-19 13:58:58 LOCAL3 Notice SNMP      277603 packets (=   2.18%),   35436 kbytes (=   0.43%)
616 2015-08-19 13:58:58 LOCAL3 Notice IRC            0 packets (=   0.00%),       0 kbytes (=   0.00%)
617 2015-08-19 13:58:58 LOCAL3 Notice NEWS           0 packets (=   0.00%),       0 kbytes (=   0.00%)
618 2015-08-19 13:58:58 LOCAL3 Notice IMAP2       7435 packets (=   0.06%),    2801 kbytes (=   0.03%)
619 2015-08-19 13:58:58 LOCAL3 Notice NetBIOS       19 packets (=   0.00%),       0 kbytes (=   0.00%)
620 2015-08-19 13:58:58 LOCAL3 Notice POP3        2541 packets (=   0.02%),     664 kbytes (=   0.01%)
621 2015-08-19 13:58:58 LOCAL3 Notice DHCP           6 packets (=   0.00%),       0 kbytes (=   0.00%)
622 2015-08-19 13:58:58 LOCAL3 Notice TFTP          76 packets (=   0.00%),       4 kbytes (=   0.00%)
623 2015-08-19 13:58:58 LOCAL3 Notice Telnet       506 packets (=   0.00%),      23 kbytes (=   0.00%)
624 2015-08-19 13:58:58 LOCAL3 Notice DNS       211701 packets (=   1.66%),   23203 kbytes (=   0.28%)
625 2015-08-19 13:58:58 LOCAL3 Notice SMTP        1653 packets (=   0.01%),     363 kbytes (=   0.00%)
626 2015-08-19 13:58:58 LOCAL3 Notice HTTP     4810843 packets (=  37.73%), 4037325 kbytes (=  49.13%)
627 2015-08-19 13:58:58 LOCAL3 Notice FTP          312 packets (=   0.00%),      25 kbytes (=   0.00%)
628 2015-08-19 13:58:58 LOCAL3 Notice ICMP       31742 packets (=   0.25%),    2291 kbytes (=   0.03%)
629 2015-08-19 13:58:58 LOCAL3 Notice service list start

Viele Grüße,
Jirka