Hallo,
ich suche eine Möglichkeit die Useraktivitäten im Internet mitzuprotokollieren.
Den Übergang macht ein 1811.
Den gesamten Datenverkehr zu spiegeln ist zuviel.
Nur die DNS Anfragen per trace # dns aufzuzeichen ist zu wenig.
Was kann man da machen ?
Gruesse
Log der Useraktivitäten
Moderator: Lancom-Systems Moderatoren
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo longobardi,
ich wollte auch Useraktivitäten (Datum, Zeit, IP-Adressen) aufzeichnen und habe dafür in meinem 1811 eine Firewallregel definiert, die alle Pakete überträgt und dazu eine Syslog-Meldung an meinen PC mit Kiwi Syslog sendet. Kann man gut filtern, auswerten und archivieren.
Stefan
ich wollte auch Useraktivitäten (Datum, Zeit, IP-Adressen) aufzeichnen und habe dafür in meinem 1811 eine Firewallregel definiert, die alle Pakete überträgt und dazu eine Syslog-Meldung an meinen PC mit Kiwi Syslog sendet. Kann man gut filtern, auswerten und archivieren.
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
longobardi
- Beiträge: 64
- Registriert: 30 Okt 2006, 21:52
Kann ich bitte weiter Infos haben
Hallo Stefan,
das hört sich gut an.
Kannst du bitte
a) die Regel
b) einen Auszuag aus dem Syslog
c) deine Extraktfilter
d) einen Auszug aus dem Extrakt
posten ?
Wäre Super !
Gruesse Mario
das hört sich gut an.
Kannst du bitte
a) die Regel
b) einen Auszuag aus dem Syslog
c) deine Extraktfilter
d) einen Auszug aus dem Extrakt
posten ?
Wäre Super !
Gruesse Mario
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo longobardi,
a) Firewallregel:
Aktionen-Set:
- Trigger 0 pro Sekunde, pro Verbindung
- Paket-Aktion: Übertragen
- Sonstige Maßnahmen: Syslog-Nachricht senden
Stationen: von und an alle Stationen (oder nach Wunsch)
Dienste: alle oder nach Wunsch
Nach dieser Regel siehst du im LANmonitor unter Firewall dann immer "Datum, Uhrzeit, FW-Regel, ...-Paket von xxx.xxx.xxx.xxx:x nach xxx.xxx.xxx.xxx:x - Paket übertragen" und wird auch genau so per Syslog an deinen Client versendet. Muss natürlich im Lancom vorher unter Meldungen - SYSLOG - Syslog-Clients eingetragen werden. Ich habe hier in allen meinen Lancoms alle Quellen außer Accounting und alle Prioritäten außer Debug aktiviert.
c) vorab meine Extrafilter im kostenlosen Kiwi-Syslog Service Manager (Version 8.1.1 Beta):
drei Rules angelegt:
- Default: alle üblichen mehr oder weniger interessanten Meldungen der Lancaoms = alle Filter gesetzt, außer Auth (alle), Local3 (Alert, Notice, Info) und Lokal 6 (Alert)
- Logins: alle Logins meiner W-LAN-User = Filter setzen für Auth (alle)
- Verbindungen: Hier werden die wichtigsten Informationen geloggt! Filter setzen bei Auth (Notice) = Information über Zuweisung der jeweiligen MAC zu einer IP im Intranet. Und Filter Local3 (Alert, Notice) = die oben beschriebenen Verbindungsinfos.
Außerdem in Kiwi "Log to File" eine Datei pro Tag (Dateiname mit Tagesdatum) und evtl. eigenem Format zur Datenreduzierung definieren, in dem nur noch Uhrzeit und Meldung enthalten sind (ja nach Wunsch).
b) Auszug aus Syslog:
Wie beschrieben legt Kiwi bei mir täglich drei Syslog-Files an:
1. allgemeine Lancom-Meldungen: Beispiele:
07-12-2006 01:57:56 Kernel.Notice 10.0.1.113 SYSTEM_INFO: [WLAN-1] Triggering Background Scan[ScanPeriod is 15384615 ms]<000>
07-12-2006 01:57:56 Kernel.Notice 10.0.1.113 SYSTEM_INFO: [WLAN-1] Performing Background Scan[channel 4]<000>
07-12-2006 03:11:06 Cron.Notice 10.0.0.102 CRON_INFO: System time changed to 12/7/2006 2:11:06, time difference is -0:00:00 <000>
07-12-2006 04:00:56 Kernel.Alert 10.0.0.101 SYSTEM_ALERT: [WLAN-1] Channel change due to slave link loss<000>
07-12-2006 04:11:18 Cron.Notice 10.0.0.102 CRON_INFO: System time changed to 12/7/2006 3:11:18, time difference is -0:00:00 <000>
07-12-2006 04:49:26 Kernel.Notice 10.0.2.112 SYSTEM_INFO: [WLAN-1] Triggering Background Scan[ScanPeriod is 15384615 ms]<000>
07-12-2006 04:49:34 Kernel.Notice 10.0.2.112 SYSTEM_INFO: [WLAN-1] Performing Background Scan[channel 12]<000>
usw...
2. meine User-Login-Meldungen: Hier kann ich evtl. Problemchen meiner User besser nachvollziehen oder evtl. Angriffe finden. Beispiele:
07-12-2006 09:20:19 Auth.Warning 10.0.4.114 CONN-LOGIN_WARNING: [WLAN-1-2] Rejected Association from WLAN station 00:0e:2e:... (Edimax ...) []: (Unspecified Failure)<000>
07-12-2006 10:18:53 Auth.Notice 10.0.0.110 CONN-LOGIN_INFO: [WLAN-1-3] Connected WLAN station 00:4f:66:... [Name...]<000>
07-12-2006 10:19:04 Auth.Notice 10.0.0.110 CONN-LOGIN_INFO: [WLAN-1-3] Determined IP address for station 00:4f:66:... [Name...]: 10.0.1.51<000>
usw...
Die "Namen" zu den MAC-Adressen entnimmt er den jeweiligen Stationstabellen.
3. Die wichtigste Liste: Die habe ich also im Kiwi auf die wichtigsten Infos gestutzt. Beispiel:
17:44:22, CONN-LOGIN_INFO: [WLAN-1-3] Determined IP address for station 00:0f:3d:... (D-Link ...) [Name...]: 10.0.4.122<000>
17:44:23, PACKET_INFO: Dst: 10.0.3.87:1323 {Name...}, Src: 206.165.150.207:80 (TCP): packet accepted<000>
17:44:23, PACKET_INFO: Dst: 206.165.150.207:80, Src: 10.0.3.87:1323 {Name...} (TCP): packet accepted<000>
usw....
Die "Namen" zeigt er nur an, wenn im Gateway unter DNS-Namen sowie konsequenter fester IP-Zuweisung der User (Bootp) in den jeweiligen anderen Lancoms erfolgt.
Anmerkung: Das Datenaufkommen ist doch recht hoch! Bei mir fallen hier bei ca. 20 W-LAN-Usern pro Tag zwischen 200 MB und 400 MB an. Kann man aber über ZIP mehr oder weniger automatisiert schön auf ca. 3 bis 5 MB komprimieren. Wichtig: Sollte ein flotter und ansonsten ungenutzter PC sein. Mein Testrechner (alter Pentium mit langsamer Festplatte) hatte das nicht geschafft und war bei 50 bis 100 Meldungen pro Sekunde regelmäßig ausgestiegen bzw. Kiwi hatte einfach aufgehört zu loggen.
So, und nun viel Spaß beim loggen. Die Idee und Konfig hatte mich mehrere Tage gekostet bis ich sie so hingekrigt hatte...
Stefan
a) Firewallregel:
Aktionen-Set:
- Trigger 0 pro Sekunde, pro Verbindung
- Paket-Aktion: Übertragen
- Sonstige Maßnahmen: Syslog-Nachricht senden
Stationen: von und an alle Stationen (oder nach Wunsch)
Dienste: alle oder nach Wunsch
Nach dieser Regel siehst du im LANmonitor unter Firewall dann immer "Datum, Uhrzeit, FW-Regel, ...-Paket von xxx.xxx.xxx.xxx:x nach xxx.xxx.xxx.xxx:x - Paket übertragen" und wird auch genau so per Syslog an deinen Client versendet. Muss natürlich im Lancom vorher unter Meldungen - SYSLOG - Syslog-Clients eingetragen werden. Ich habe hier in allen meinen Lancoms alle Quellen außer Accounting und alle Prioritäten außer Debug aktiviert.
c) vorab meine Extrafilter im kostenlosen Kiwi-Syslog Service Manager (Version 8.1.1 Beta):
drei Rules angelegt:
- Default: alle üblichen mehr oder weniger interessanten Meldungen der Lancaoms = alle Filter gesetzt, außer Auth (alle), Local3 (Alert, Notice, Info) und Lokal 6 (Alert)
- Logins: alle Logins meiner W-LAN-User = Filter setzen für Auth (alle)
- Verbindungen: Hier werden die wichtigsten Informationen geloggt! Filter setzen bei Auth (Notice) = Information über Zuweisung der jeweiligen MAC zu einer IP im Intranet. Und Filter Local3 (Alert, Notice) = die oben beschriebenen Verbindungsinfos.
Außerdem in Kiwi "Log to File" eine Datei pro Tag (Dateiname mit Tagesdatum) und evtl. eigenem Format zur Datenreduzierung definieren, in dem nur noch Uhrzeit und Meldung enthalten sind (ja nach Wunsch).
b) Auszug aus Syslog:
Wie beschrieben legt Kiwi bei mir täglich drei Syslog-Files an:
1. allgemeine Lancom-Meldungen: Beispiele:
07-12-2006 01:57:56 Kernel.Notice 10.0.1.113 SYSTEM_INFO: [WLAN-1] Triggering Background Scan[ScanPeriod is 15384615 ms]<000>
07-12-2006 01:57:56 Kernel.Notice 10.0.1.113 SYSTEM_INFO: [WLAN-1] Performing Background Scan[channel 4]<000>
07-12-2006 03:11:06 Cron.Notice 10.0.0.102 CRON_INFO: System time changed to 12/7/2006 2:11:06, time difference is -0:00:00 <000>
07-12-2006 04:00:56 Kernel.Alert 10.0.0.101 SYSTEM_ALERT: [WLAN-1] Channel change due to slave link loss<000>
07-12-2006 04:11:18 Cron.Notice 10.0.0.102 CRON_INFO: System time changed to 12/7/2006 3:11:18, time difference is -0:00:00 <000>
07-12-2006 04:49:26 Kernel.Notice 10.0.2.112 SYSTEM_INFO: [WLAN-1] Triggering Background Scan[ScanPeriod is 15384615 ms]<000>
07-12-2006 04:49:34 Kernel.Notice 10.0.2.112 SYSTEM_INFO: [WLAN-1] Performing Background Scan[channel 12]<000>
usw...
2. meine User-Login-Meldungen: Hier kann ich evtl. Problemchen meiner User besser nachvollziehen oder evtl. Angriffe finden. Beispiele:
07-12-2006 09:20:19 Auth.Warning 10.0.4.114 CONN-LOGIN_WARNING: [WLAN-1-2] Rejected Association from WLAN station 00:0e:2e:... (Edimax ...) []: (Unspecified Failure)<000>
07-12-2006 10:18:53 Auth.Notice 10.0.0.110 CONN-LOGIN_INFO: [WLAN-1-3] Connected WLAN station 00:4f:66:... [Name...]<000>
07-12-2006 10:19:04 Auth.Notice 10.0.0.110 CONN-LOGIN_INFO: [WLAN-1-3] Determined IP address for station 00:4f:66:... [Name...]: 10.0.1.51<000>
usw...
Die "Namen" zu den MAC-Adressen entnimmt er den jeweiligen Stationstabellen.
3. Die wichtigste Liste: Die habe ich also im Kiwi auf die wichtigsten Infos gestutzt. Beispiel:
17:44:22, CONN-LOGIN_INFO: [WLAN-1-3] Determined IP address for station 00:0f:3d:... (D-Link ...) [Name...]: 10.0.4.122<000>
17:44:23, PACKET_INFO: Dst: 10.0.3.87:1323 {Name...}, Src: 206.165.150.207:80 (TCP): packet accepted<000>
17:44:23, PACKET_INFO: Dst: 206.165.150.207:80, Src: 10.0.3.87:1323 {Name...} (TCP): packet accepted<000>
usw....
Die "Namen" zeigt er nur an, wenn im Gateway unter DNS-Namen sowie konsequenter fester IP-Zuweisung der User (Bootp) in den jeweiligen anderen Lancoms erfolgt.
Anmerkung: Das Datenaufkommen ist doch recht hoch! Bei mir fallen hier bei ca. 20 W-LAN-Usern pro Tag zwischen 200 MB und 400 MB an. Kann man aber über ZIP mehr oder weniger automatisiert schön auf ca. 3 bis 5 MB komprimieren. Wichtig: Sollte ein flotter und ansonsten ungenutzter PC sein. Mein Testrechner (alter Pentium mit langsamer Festplatte) hatte das nicht geschafft und war bei 50 bis 100 Meldungen pro Sekunde regelmäßig ausgestiegen bzw. Kiwi hatte einfach aufgehört zu loggen.
So, und nun viel Spaß beim loggen. Die Idee und Konfig hatte mich mehrere Tage gekostet bis ich sie so hingekrigt hatte...
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
longobardi
- Beiträge: 64
- Registriert: 30 Okt 2006, 21:52
Hallo Stefan,
hab jetzt was ähnliches mit Linux / syslog-ng 2.0 aufgebaut.
Die Datenmenge ist aber enorm ca. 200 MB pro Tag.
Hab jetzt noch das Problem, das der syslog-ng nicht richtig funktioniert, fragt bei jedem eingehenden Paket die IP Adresse beim DNS an, trotz cache ?
Kennt das jemand ?
Stefan - vielen Dank nochmal.
Gruesse Mario
hab jetzt was ähnliches mit Linux / syslog-ng 2.0 aufgebaut.
Die Datenmenge ist aber enorm ca. 200 MB pro Tag.
Hab jetzt noch das Problem, das der syslog-ng nicht richtig funktioniert, fragt bei jedem eingehenden Paket die IP Adresse beim DNS an, trotz cache ?
Kennt das jemand ?
Stefan - vielen Dank nochmal.
Gruesse Mario
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Mario und alle Anderen,
zum Datenaufkommen: Mein alter Versuchs-PC hatte mir brav ca. 20 bis 50 MB pro Tag protokolliert - ohne Bemerkung, dass er nicht alles "mitbekommen" hatte. Meine Überlegung, ob denn mein jetziger PC auch wirklich alles loggt oder ob der auch die Hälfte "vergisst"? Wie könnte man das testen bzw. kontrollieren?
Zweite Frage: Ich mache das ja nur für den Ernstfall. D. h. wenn ich beweisen muss, welcher meiner User hier wann was gemacht hat - bzw. wer denn der "Böse" war, wenn es mal Ärger mit der Staatsanwaltschaft und Co. geben sollte. Aber, ist das dann auch Beweis genug? Wird ein SysLog-File denn im Zweifelsfall als Nachweis anerkannt? Hat da schon jemand von euch Erfahrungen?
Stefan
zum Datenaufkommen: Mein alter Versuchs-PC hatte mir brav ca. 20 bis 50 MB pro Tag protokolliert - ohne Bemerkung, dass er nicht alles "mitbekommen" hatte. Meine Überlegung, ob denn mein jetziger PC auch wirklich alles loggt oder ob der auch die Hälfte "vergisst"? Wie könnte man das testen bzw. kontrollieren?
Zweite Frage: Ich mache das ja nur für den Ernstfall. D. h. wenn ich beweisen muss, welcher meiner User hier wann was gemacht hat - bzw. wer denn der "Böse" war, wenn es mal Ärger mit der Staatsanwaltschaft und Co. geben sollte. Aber, ist das dann auch Beweis genug? Wird ein SysLog-File denn im Zweifelsfall als Nachweis anerkannt? Hat da schon jemand von euch Erfahrungen?
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
longobardi
- Beiträge: 64
- Registriert: 30 Okt 2006, 21:52
Hallo Stefan,
Zu eins:
Das Feststellen einer Überlast ist glaube nur möglich wenn du ein externes Messgerät an den 1811 anschaltest und dann prüfst, ob in deinem Log alle Infos drin sind. Aber das sind alles nur Momentaufnahmen.
Die Packete kommen per udp, also ungesichert. Wenn da ein Datenpakete verloren geht bekommst die Anwendung erstmal nicht mit, ausser die Anwendung prüft so etwas explizit.
Das ist aber unwahrscheinlich, würde die Belastung von Sender und Empfänger weiter erhöhen.
Gruesse Mario
Zu eins:
Das Feststellen einer Überlast ist glaube nur möglich wenn du ein externes Messgerät an den 1811 anschaltest und dann prüfst, ob in deinem Log alle Infos drin sind. Aber das sind alles nur Momentaufnahmen.
Die Packete kommen per udp, also ungesichert. Wenn da ein Datenpakete verloren geht bekommst die Anwendung erstmal nicht mit, ausser die Anwendung prüft so etwas explizit.
Das ist aber unwahrscheinlich, würde die Belastung von Sender und Empfänger weiter erhöhen.
Gruesse Mario