TwoCom Online-Forum

Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.

Zum Inhalt

SysLog Prioritäten

SNMP, Telnet, Syslog, Statustools, RTools, ...

Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody

Antwort erstellen

Beitragvon MrFixIT » Di 29.07.2003 - 13:07

Der SysLog-Dienst des Vigor-Router ist eine feine Sache und funktioniert auch bestens. Allerdings hätte ich gerne eine Aufstellung darüber, wie der Router die Prioritäten setzt.

Ich logge mittels des SysLog-Daemon nur alles über der Info (also unter Syslog-Prio 6 :) ) mit. Bei meinen letzten Tests war ich enttäuscht, dass ein durchgeführter Portscan nur als Prio 6 (Information) und nicht als Warning oder Alert (Prio 4 / 1) aufgeführt wurde.

Alle Attacken auf den Router waren eine Info. Ist für ihn alles nur Info? Ansonsten loggt er den Bereich (local0-5) ordentlich mit.

Hat jemand eine Aufstellung zu dem Thema oder weiß jemand wo man in der Firmware mit einem Hex-Editor die Prio für SYN-Floods ändern kann?
MrFixIT
Grünschnabel
 
Beiträge: 3
Registriert: Di 29.07.2003 - 12:46
Nach oben

Beitragvon Gargamel » Mi 30.07.2003 - 00:38

Aloha!
Ist für ihn alles nur Info?

...ich fürchte schon - ich habe jedenfalls meinem 2600W mit FW 2.3.6 bisher nichts anderes entlocken können: egal ob Attacke, Firewall-Block-Flag oder banales ISDN-D-Protokoll: alles nur Priorität Info...

Dafür splittet er die Facilities wenigstens wie folgt:

- local0: Firewall-Log
- local1: VPN-Log
- local2: User-Access-Log
- local3: Call-Log
- local4: WAN-Log
- local5: ADSL Status & Traffic Statistik

Naja, die nächste Firmware kommt bestimmt - und wenn die DoS-Funktionen erstmal stabil laufen senden sie vielleicht auch ALERT...

Hab Spass,
Garga
Benutzeravatar
Gargamel
Power-User
 
Beiträge: 112
Registriert: So 29.04.2001 - 23:59
Nach oben

Beitragvon MrFixIT » Mi 30.07.2003 - 11:04

Hi!

Na, dann bin ich mal gespannt, ob sich da in der Firmware was ändert. Wäre wünschenswert.

Einzige Möglichkeit die ich gefunden habe eine Alarmierung hinzubekommen, ist nur Nachrichten der Firewall (local0) zu loggen und melden. Zur Not hilft dann auch ein Script.

Gruß MrFixIT
MrFixIT
Grünschnabel
 
Beiträge: 3
Registriert: Di 29.07.2003 - 12:46
Nach oben

Beitragvon kdd » Do 07.08.2003 - 16:46

Hi,
vielleicht geht SYSLOG in der nächsten FW auch nicht mehr ( wie SNMP) weil das PROM zu klein ist!

Attacken können keine hohen Prios haben, weil sie keine Systeminformation darstellen.
Ich denke wenn jemand das Kerlchen flasht wird er auch in der Prio höher gehen.
Je näher am Herz, so bedrohlicher und so höher die Prio.
Was ist da schon los, wenn man einen Angriff entdeckt? Reine Routine infomational also.
Wenn Draytek die SYSLOG Funktionalität ähnlich mies ausbaut wie SNMP, dann bracht man eigentlich keins davon.
TelAs: T-ISDN Call Plus
DSLAs: 1&13DSL; dn/up = 3130/406
VoIP HW: leicht modifiz. FBF 7170 mit LCR; FW29.04.29
als DSL Router ohne einen Vigor
Router: FBF only
mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg
Nach oben
Antwort erstellen

Zurück zu Tools und Fernwartung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Dieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO