Ich betreue in einem Architekturbüro ein Netz dass an einem Lancom 1811 hängt. Mehrere Personen haben nun den Verdacht geäußert dass sich nachts jemand an Ihrem PC zu schaffen macht (Wachdienst ?)
Ich möchte dem nun nachgehen und denke dass es am einfachsten wäre wenn man über den 1811 feststellen könnte dass ein Client eingeschaltet wurde. Ich würde mir dass so vorstellen dass ich einmalig eine Email erhalte sobald ein PC sich vom LC eine IP-Adresse holt mit Angabe von Datum und Uhrzeit.
Wäre das machbar und wenn ja wie ?
Vielen Dank für die Hilfe,
Michael
Kann man über LC feststellen wann Client eingeschaltet wird?
Moderator: Lancom-Systems Moderatoren
Hi,
wieso so kompliziert und was hat das LANCOM damit zu tun? Ich wuesste nicht wie man das realisieren soll, da der DHCP Server keine Emails senden kann.
Lass doch den PC direkt selbst eine EMail schicken, wenn er eingeschaltet wird, das sollte doch ueber den Scheduler moeglich sein.
Ciao
LoUiS
wieso so kompliziert und was hat das LANCOM damit zu tun? Ich wuesste nicht wie man das realisieren soll, da der DHCP Server keine Emails senden kann.
Lass doch den PC direkt selbst eine EMail schicken, wenn er eingeschaltet wird, das sollte doch ueber den Scheduler moeglich sein.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo Michael,
ich meine Möglichkeiten gibt es viele ... auch auf dem LANCOM.
Ein Beispiel wäre Syslog. Wird sowas vielleicht schon genutzt? Man könnte auch einen externen Syslog-Server angeben (wenn er denn eine feste IP hat). Man kann aber auch den LANCOM selber angeben (127.0.0.1). Dann stehen allerdings nur die letzten 100 Meldungen zur Verfügung. Das ist unter Umständen nicht viel, d. h. man müßte dann gleich morgens ein Blick auf den LANCOM werfen. Local1-Hinweis liefert zum Beispiel die Accounting-Daten in halbstündigem Abstand. Da sieht man eindeutig, welcher PC an war und welcher nicht...
Ein weiteres Beispiel wären Firewall-Regeln, die E-Mails erzeugen, wenn die Regel zutrifft. Dies könnte man in Verbindung mit der Cron-Tabelle auch nur auf die Nachtzeiten wirken lassen. (Vorsicht, bei entsprechender Konfiguration hagelt es evt. viele E-Mails.)
Man könnte auch nach Dienstschluss die DNS-Hitliste auf null setzen (z. B. per Cron) und dann morgens auslesen, dann siehst Du sogar auf welchen Seiten evt. gesurft wurde.
Also sowas kann gar nicht spurlos im LANCOM vorbeigehen. Es gibt viele verschiedene Möglichkeiten, fang doch mal mit Syslog an (nur Accounting und Prio Information auswählen, dann werden nicht so viele Meldungen erzeugt).
Viele Grüße,
Jirka
ich meine Möglichkeiten gibt es viele ... auch auf dem LANCOM.
Ein Beispiel wäre Syslog. Wird sowas vielleicht schon genutzt? Man könnte auch einen externen Syslog-Server angeben (wenn er denn eine feste IP hat). Man kann aber auch den LANCOM selber angeben (127.0.0.1). Dann stehen allerdings nur die letzten 100 Meldungen zur Verfügung. Das ist unter Umständen nicht viel, d. h. man müßte dann gleich morgens ein Blick auf den LANCOM werfen. Local1-Hinweis liefert zum Beispiel die Accounting-Daten in halbstündigem Abstand. Da sieht man eindeutig, welcher PC an war und welcher nicht...
Ein weiteres Beispiel wären Firewall-Regeln, die E-Mails erzeugen, wenn die Regel zutrifft. Dies könnte man in Verbindung mit der Cron-Tabelle auch nur auf die Nachtzeiten wirken lassen. (Vorsicht, bei entsprechender Konfiguration hagelt es evt. viele E-Mails.)
Man könnte auch nach Dienstschluss die DNS-Hitliste auf null setzen (z. B. per Cron) und dann morgens auslesen, dann siehst Du sogar auf welchen Seiten evt. gesurft wurde.
Also sowas kann gar nicht spurlos im LANCOM vorbeigehen. Es gibt viele verschiedene Möglichkeiten, fang doch mal mit Syslog an (nur Accounting und Prio Information auswählen, dann werden nicht so viele Meldungen erzeugt).
Viele Grüße,
Jirka
Ja mir ist bewusst dass es mit dem Lancom mehrere Möglichkeiten geben sollte, ich weiss derzeit nur nicht konkret was am schnellsten zu realisieren ist.
Aber ich werde den Anregungen folgen und sehen was ich zustande bringe. Problem ist dass ich nicht häufig vor Ort bin und es deshalb am besten wäre wenn das LC mir "etwas" per Email zukommen lassen könnte.
Aus diesem Grund möchte ich auch nichts mit den Clients machen sofern sich das umgehen lässt. Es würde ja schon genügen wenn man einen Syslog-Eintrag mit Datum und Uhrzeit hätte sobald der DHCP Server eine IP vergibt.
Viele Grüße,
Michael
Aber ich werde den Anregungen folgen und sehen was ich zustande bringe. Problem ist dass ich nicht häufig vor Ort bin und es deshalb am besten wäre wenn das LC mir "etwas" per Email zukommen lassen könnte.
Aus diesem Grund möchte ich auch nichts mit den Clients machen sofern sich das umgehen lässt. Es würde ja schon genügen wenn man einen Syslog-Eintrag mit Datum und Uhrzeit hätte sobald der DHCP Server eine IP vergibt.
Viele Grüße,
Michael
Hallo Michael,
Mach das mit dem Syslog, wie ich beschrieben habe und dann schaust Du erstmal...
Viele Grüße,
Jirka
Du willst mir doch nicht sagen, dass Du nicht in der Lage bist, Dich remote auf den LANCOM-Router einzuloggen, oder?Problem ist, dass ich nicht häufig vor Ort bin und es deshalb am besten wäre wenn das LC mir "etwas" per Email zukommen lassen könnte.
Trenne Dich mal von dem DHCP-Gedanken. Erstens werden damit, wie LoUiS schon schrieb, weder Syslog- noch E-Mail-Nachrichten erzeugt und außerdem gibt es ja vielleicht auch Rechner die eine feste IP haben.Es würde ja schon genügen wenn man einen Syslog-Eintrag mit Datum und Uhrzeit hätte sobald der DHCP Server eine IP vergibt.
Mach das mit dem Syslog, wie ich beschrieben habe und dann schaust Du erstmal...
Viele Grüße,
Jirka
Tach,
also eigentlich haben moderne Betriebssysteme Logfiles wo sowas drinnen steht. Und eigentlich kann die nur der Admin löschen. Und sollte etwa jeder User Adminrechte haben auf dem PC, dann habt ihr ganz andere Probleme...
Wieso man mit dem Router kontrollieren will ob jemand einen PC einschaltet ist mir wirklich unklar - loggen moderne Festplatten nicht übrigens ihre Betriebsstunden und Einschalt-/Ausschaltvorgänge und wie präzise kann man sowas auslesen?
Gruß
COMCARGRU
also eigentlich haben moderne Betriebssysteme Logfiles wo sowas drinnen steht. Und eigentlich kann die nur der Admin löschen. Und sollte etwa jeder User Adminrechte haben auf dem PC, dann habt ihr ganz andere Probleme...
Wieso man mit dem Router kontrollieren will ob jemand einen PC einschaltet ist mir wirklich unklar - loggen moderne Festplatten nicht übrigens ihre Betriebsstunden und Einschalt-/Ausschaltvorgänge und wie präzise kann man sowas auslesen?
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Ja sicher kann ich mich remote einloggen. Habe das mit dem Syslog auch schon am laufen und funktioniert auch.
Problem ist nur die Beschränkung auf 100 Meldungen. Morgens zwischen 06:30 Uhr und 7 Uhr geht der Betrieb los und dann läuft der Log schnell über. Somit müsste ich mich immer gegen 6 einloggen und den Syslog auslesen.
Es wäre jetzt nicht schlecht wenn ich einfach den Syslog per Email erhalten könnte, um ihn einfach im Laufe des Tages auswerten und vor allem archivieren zu können. Geht das ?
Gruß, Michael
Problem ist nur die Beschränkung auf 100 Meldungen. Morgens zwischen 06:30 Uhr und 7 Uhr geht der Betrieb los und dann läuft der Log schnell über. Somit müsste ich mich immer gegen 6 einloggen und den Syslog auslesen.
Es wäre jetzt nicht schlecht wenn ich einfach den Syslog per Email erhalten könnte, um ihn einfach im Laufe des Tages auswerten und vor allem archivieren zu können. Geht das ?
Gruß, Michael
Akzeptier einfach mal dass das so ist. Erstens komme ich an die PCs nicht ran ohne 270 KM auf der Autobahn zurückzulegen und zweitens bootet der Angreifer die PCs nicht mit dem WXP auf der Platte sondern mit einem externen Bootmedium.COMCARGRU hat geschrieben:Tach,
also eigentlich haben moderne Betriebssysteme Logfiles wo sowas drinnen steht. Und eigentlich kann die nur der Admin löschen. Und sollte etwa jeder User Adminrechte haben auf dem PC, dann habt ihr ganz andere Probleme...
Wieso man mit dem Router kontrollieren will ob jemand einen PC einschaltet ist mir wirklich unklar - loggen moderne Festplatten nicht übrigens ihre Betriebsstunden und Einschalt-/Ausschaltvorgänge und wie präzise kann man sowas auslesen?
Gruß
COMCARGRU
Und bevor mir jetzt jemand mitteilt dass man dass ja abschalten kann, geht in diesem Fall nicht da die Architekten diese Option häufig benötigen.
Gruß, Michael
Tach,
aha und die Festplatte wird beim booten von einem externen Medium etwa auch abgeklemmt damit sie das nicht mitbekommt?
Aber was sag ich, da ich mehr als genug Architekten und Ingenieure bzw. auch deren Büros bzw. die Einstellung zur EDV kenne sollte ich ja wissen was da abläuft.
Gruß
COMCARGRU
aha und die Festplatte wird beim booten von einem externen Medium etwa auch abgeklemmt damit sie das nicht mitbekommt?
Aber was sag ich, da ich mehr als genug Architekten und Ingenieure bzw. auch deren Büros bzw. die Einstellung zur EDV kenne sollte ich ja wissen was da abläuft.
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???