Wir setzen in unserer Firma eine zentrale Logging Platform ein (Graylog + Elasticsearch)
Wir haben die Lancom Router so konfiguriert, das die Firewall (Router) Meldungen auch an diesen Server geschickt wird.
Leider wird im Syslog nur mitgeschickt "port filter" oder "connection refused" aber NICHT welche Firewall Regel das auslöst.
Im LanMonitor oder im Lancom Trace wird aber schön angezeigt z.B. "DENY_ALL"
Gibt es eine Möglichkeit das zu konfigurieren? Ansonsten @Lancom: könnt ihr die Firewall Regel bitte auch im Syslog mitsenden?
Vielen Dank
Klaus
Lancom Syslog
Moderator: Lancom-Systems Moderatoren
Re: Lancom Syslog
Hi KD.Gundermann
damit die Firewallregel im Syslog ausgegeben wird, muß du zum Einen in (Reject-) Aktion der jeweilgen Regel das Häkchen bei "Syslog Nachricht senden" setzen und zum anderen im Syslog für die Kathegorie "Router" sowohl "Alarm" als auch "Information" aktivieren. "Alarm" gibt das Paket und "port filter" aus, "Information" gibt Regel, Limit und Akltion aus.
"connection refused" kommt wenn das Paket ans LANCOM gerichet war, es aber keinen Listener dafür gab - d.h. dazu gibt es keine weiteren Informationen.
Gruß
Backslash
damit die Firewallregel im Syslog ausgegeben wird, muß du zum Einen in (Reject-) Aktion der jeweilgen Regel das Häkchen bei "Syslog Nachricht senden" setzen und zum anderen im Syslog für die Kathegorie "Router" sowohl "Alarm" als auch "Information" aktivieren. "Alarm" gibt das Paket und "port filter" aus, "Information" gibt Regel, Limit und Akltion aus.
"connection refused" kommt wenn das Paket ans LANCOM gerichet war, es aber keinen Listener dafür gab - d.h. dazu gibt es keine weiteren Informationen.
Gruß
Backslash
-
KD.Gundermann
- Beiträge: 22
- Registriert: 29 Mai 2012, 14:36
Re: Lancom Syslog
Hi Backslash,
die Daten kommen ja im GrayLog an:
21:44:05.585961 IP (tos 0x0, ttl 64, id 36342, offset 0, flags [none], proto UDP (17), length 145)
router4.intern.xxxxx.de.syslog > docker2.intern.xxxxxxx.de.syslog: SYSLOG, length: 117
Facility local3 (19), Severity alert (1)
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter
aber enthalten leider keine Information darüber welche Regel hier getriggert hat.
Wenn ich dann noch den Level "Debug" aktiviere bekomme ich zwar eine Nachricht, wo die Firewall Regel drinsteht:
21:44:05.383356 IP (tos 0x0, ttl 64, id 36242, offset 0, flags [none], proto UDP (17), length 73)
router4.intern.xxxx.de.syslog > docker2.intern.xxxx.de.syslog: SYSLOG, length: 45
Facility local3 (19), Severity info (6)
Msg: PACKET_INFO: matched filter: DENY_LOCAL
aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
Schön wäre es doch, wenn nur eine Nachricht kommt, z.B.:
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter: DENY_LOCAL
die Daten kommen ja im GrayLog an:
21:44:05.585961 IP (tos 0x0, ttl 64, id 36342, offset 0, flags [none], proto UDP (17), length 145)
router4.intern.xxxxx.de.syslog > docker2.intern.xxxxxxx.de.syslog: SYSLOG, length: 117
Facility local3 (19), Severity alert (1)
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter
aber enthalten leider keine Information darüber welche Regel hier getriggert hat.
Wenn ich dann noch den Level "Debug" aktiviere bekomme ich zwar eine Nachricht, wo die Firewall Regel drinsteht:
21:44:05.383356 IP (tos 0x0, ttl 64, id 36242, offset 0, flags [none], proto UDP (17), length 73)
router4.intern.xxxx.de.syslog > docker2.intern.xxxx.de.syslog: SYSLOG, length: 45
Facility local3 (19), Severity info (6)
Msg: PACKET_INFO: matched filter: DENY_LOCAL
aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
Schön wäre es doch, wenn nur eine Nachricht kommt, z.B.:
Msg: PACKET_ALERT: Dst: 192.168.15.22:389 {winads1}, Src: 192.168.55.33:58801 {printserver} (TCP): port filter: DENY_LOCAL
-
KD.Gundermann
- Beiträge: 22
- Registriert: 29 Mai 2012, 14:36
Re: Lancom Syslog
Die Firewall meldet jedes Broadcast-Paket als "connection refused"backslash hat geschrieben: 21 Jan 2021, 18:44 "connection refused" kommt wenn das Paket ans LANCOM gerichet war, es aber keinen Listener dafür gab - d.h. dazu gibt es keine weiteren Informationen.
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
- kann man das durch eine Firewallregel abschalten ?
Re: Lancom Syslog
Hi KD.Gundermann
Gruß
Backslash
die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrückenDie Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Router
leider nein...- kann man das durch eine Firewallregel abschalten ?
Gruß
Backslash
Re: Lancom Syslog
Hallo,
aber man kann es ab der 10.40 dann doch ausfiltern, wenn man es nicht mehr sehen will. (Also auf Syslog-Ebene meine ich.)
Ich weiß ja nicht, was hier das Problem ist, aber wenn man es nur nicht sehen will, dann wäre das doch eine Möglichkeit, oder?
Ich habe das noch nicht gemacht, aber freue mich schon darauf, davon mal Gebrauch zu machen...
Ist allerdings auch so ein Ding, wo man denn auch mal ein wenig Zeit investieren muss, wenn es richtig hübsch werden soll.
Viele Grüße,
Jirka
aber man kann es ab der 10.40 dann doch ausfiltern, wenn man es nicht mehr sehen will. (Also auf Syslog-Ebene meine ich.)
Ich weiß ja nicht, was hier das Problem ist, aber wenn man es nur nicht sehen will, dann wäre das doch eine Möglichkeit, oder?
Ich habe das noch nicht gemacht, aber freue mich schon darauf, davon mal Gebrauch zu machen...
Ist allerdings auch so ein Ding, wo man denn auch mal ein wenig Zeit investieren muss, wenn es richtig hübsch werden soll.
Viele Grüße,
Jirka
-
KD.Gundermann
- Beiträge: 22
- Registriert: 29 Mai 2012, 14:36
Re: Lancom Syslog
Leider nicht, es senden 5 Router, 18 AccessPoints, zwei Dutzend Switche und was sonst noch kreucht und fleucht im Netzwerkbackslash hat geschrieben: 22 Jan 2021, 11:34die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
ihre Meldungen zum zentralen Log-Server. Und da Syslog das UDP Protokoll nutzt, kann es sein, das die Nachrichten
hintereinander ankommen oder halt auch nicht.
Zudem hilft mir das nicht viel weiter, da GrayLog jede Nachricht einzeln behandelt und in ElasticSearch speichert.
Schade, unterdrücken kann ich die Nachrichten (wahrscheinlich) nicht, da diese zum Datev Lizenzmanager gehören.backslash hat geschrieben: 22 Jan 2021, 11:34gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrückenDie Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Routerleider nein...- kann man das durch eine Firewallregel abschalten ?
Wie kann man den am besten Vorschläge/Wünsche bei der Lancom Entwicklungsabteilung einreichen?
(Oder lesen Sie schon mit?)
Viele Grüße
Klaus
Re: Lancom Syslog
und bitte gleich an die zuständige Truppe für die UTM Firewall (z.B. UF-260) weiterleiten.backslash hat geschrieben: 22 Jan 2021, 11:34 Hi KD.Gundermann
die beiden Meldungen kommen direkt nacheinander - erst die ALERT-Meldung, dann die INFO-Meldung...aber hier weiss ich nicht auf welches Src-Dst Paket das zutreffen soll....
gute frage... ggf. sollte man das bei Broadcasts wirklich unterdrückenDie Firewall meldet jedes Broadcast-Paket als "connection refused"
- ist das sinnvoll? Es ist ja IRGENDEIN Gerät im Netzwerk angesprochen und nicht zwingenderweise der Routerleider nein...- kann man das durch eine Firewallregel abschalten ?
Gruß
Backslash
Dort ist es wohl genauso.
Oder sitzen die Kollegen in anderen Gebäuden (Städten, Länder, Planeten,...)?
Viele Grüße
Thomas
Lancom: 1906VA-4G , WLC4006+, L-1302acn, L-452agn, 1781EF+, UF-260
Provider: DeutschlandLAN IP Voice/Data S Premium,
Unitymedia/Vodafone Red Business I & P 500 Cable
Provider: DeutschlandLAN IP Voice/Data S Premium,
Unitymedia/Vodafone Red Business I & P 500 Cable
Re: Lancom Syslog
Hi edvPlanet,
ab der nächsten Firmware (>= 10.42.0371) werden die Broadcasts ignoriert...
Gruß
Backslash
ab der nächsten Firmware (>= 10.42.0371) werden die Broadcasts ignoriert...
schon... das sind die R&S Leute - ich hab ihnen aber mal eine Mail gechickt...Oder sitzen die Kollegen in anderen Gebäuden (Städten, Länder, Planeten,...)?
Gruß
Backslash