SysLog Prioritäten

SNMP, Telnet, Syslog, Statustools, RTools, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon MrFixIT » Di 29.07.2003 - 13:07

Der SysLog-Dienst des Vigor-Router ist eine feine Sache und funktioniert auch bestens. Allerdings hätte ich gerne eine Aufstellung darüber, wie der Router die Prioritäten setzt.

Ich logge mittels des SysLog-Daemon nur alles über der Info (also unter Syslog-Prio 6 :) ) mit. Bei meinen letzten Tests war ich enttäuscht, dass ein durchgeführter Portscan nur als Prio 6 (Information) und nicht als Warning oder Alert (Prio 4 / 1) aufgeführt wurde.

Alle Attacken auf den Router waren eine Info. Ist für ihn alles nur Info? Ansonsten loggt er den Bereich (local0-5) ordentlich mit.

Hat jemand eine Aufstellung zu dem Thema oder weiß jemand wo man in der Firmware mit einem Hex-Editor die Prio für SYN-Floods ändern kann?
MrFixIT
Grünschnabel
 
Beiträge: 3
Registriert: Di 29.07.2003 - 12:46

Beitragvon Gargamel » Mi 30.07.2003 - 00:38

Aloha!
Ist für ihn alles nur Info?

...ich fürchte schon - ich habe jedenfalls meinem 2600W mit FW 2.3.6 bisher nichts anderes entlocken können: egal ob Attacke, Firewall-Block-Flag oder banales ISDN-D-Protokoll: alles nur Priorität Info...

Dafür splittet er die Facilities wenigstens wie folgt:

- local0: Firewall-Log
- local1: VPN-Log
- local2: User-Access-Log
- local3: Call-Log
- local4: WAN-Log
- local5: ADSL Status & Traffic Statistik

Naja, die nächste Firmware kommt bestimmt - und wenn die DoS-Funktionen erstmal stabil laufen senden sie vielleicht auch ALERT...

Hab Spass,
Garga
Benutzeravatar
Gargamel
Power-User
 
Beiträge: 112
Registriert: So 29.04.2001 - 23:59

Beitragvon MrFixIT » Mi 30.07.2003 - 11:04

Hi!

Na, dann bin ich mal gespannt, ob sich da in der Firmware was ändert. Wäre wünschenswert.

Einzige Möglichkeit die ich gefunden habe eine Alarmierung hinzubekommen, ist nur Nachrichten der Firewall (local0) zu loggen und melden. Zur Not hilft dann auch ein Script.

Gruß MrFixIT
MrFixIT
Grünschnabel
 
Beiträge: 3
Registriert: Di 29.07.2003 - 12:46

Beitragvon kdd » Do 07.08.2003 - 16:46

Hi,
vielleicht geht SYSLOG in der nächsten FW auch nicht mehr ( wie SNMP) weil das PROM zu klein ist!

Attacken können keine hohen Prios haben, weil sie keine Systeminformation darstellen.
Ich denke wenn jemand das Kerlchen flasht wird er auch in der Prio höher gehen.
Je näher am Herz, so bedrohlicher und so höher die Prio.
Was ist da schon los, wenn man einen Angriff entdeckt? Reine Routine infomational also.
Wenn Draytek die SYSLOG Funktionalität ähnlich mies ausbaut wie SNMP, dann bracht man eigentlich keins davon.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg


Zurück zu Tools und Fernwartung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron