FAQ/Logprotokolle

Aus IpcopWiki

< FAQ
Wechseln zu: Navigation, Suche

Der Inhalt dieser Seite ist veraltet! Bitte helfen Sie mit, den Inhalt zu erneuern und entfernen Sie dann diesen Baustein. Der Grund für den Baustein finden Sie auf der Diskussionsseite.


Inhaltsverzeichnis

Ich habe Einträge in meinen Logs: Bedeutet das, daß ich gehackt wurde?

Nicht notwendigerweise.

Es gibt zwei Orte, die sicherheitsrelevante Logs beinhalten.

Logs > Firewall beinhaltet die Firewall-Logs. Hier werden Verbindungsversuche von außen, die abgewiesen wurden. Dies ist von Interesse, weil Sie hier erfahren, auf welchen Ports Angriffe erfolgten. Alles in diesem Log hat es NICHT in Ihr Netzwerk geschafft. Nicht jeder Logeintrag bedeutet einen feindlichen Einbruchsversuch in Ihr Netzwerk. Ein Eintrag kann auch aufgrund eines Fehlers (jemand vertippte sich beim Eingeben einer IP-Adresse und verband sich dadurch versehentlich mit Ihrem Netzwerk), ein falsch konfiguriertes Gerät, usw. Zum größten Teil sind die Firewall-Logs nützlich um zu sehen, was vorgeht, wenn Sie z.B. herausfinden müssen, warum etwas, das durchgehen sollte, dies nicht tut.

Logs > IDS (Einbruchsdetektierung) beinhaltet die IDS-Logs. Was Sie hier sehen sind Verbindungen zu Ihrem Netzwerk, die es, je nach Regeln, in Ihr Netzwerk geschafft haben und nach einem Angriff aussehen. Noch einmal, das bedeutet nicht notwendigerweise, daß jemand versucht in Ihr Netzwerk einzubrechen. Einige der Regeln, die das IDS aktivieren, können auch durch normalen Datenverkehr ausgelöst werden. Wenn Sie sich sicher sind, daß das IDS von erlaubtem Datenverkehr ausgelöst wurde, sollten Sie in Erwägung ziehen, die entsprechende Regel auszuschalten (siehe auch "Wie kann ich das IDS davon abbringen, Dinge zu loggen, die ich nicht geloggt haben will?"). Es ist immer klug, herauszufinden, was einen IDS-Eintrag ausgelöst hat. Es könnte sein, daß Sie angegriffen wurden.
zum Seitenanfang
zum Inhaltsverzeichnis


Welche Logs werden von IPCop geführt?

Linux logging befindet sich in "/var/log", dies ist das Log des Systems.

Andere interessante Logs in diesem Verzeichnis sind:

dmesg: Informationen zur Hardware, die während des Bootvorganges gesammelt wird secure: Das Log zu Sicherheitsfragen und Zugriffen cron: Das Log der laufenden Cronjobs

Apache-Logs befinden sich in "/var/log/httpd" und bestehen aus access_log, error_log, ssl_request_log und ssl_engine_log.

Snort-Logs befinden sich in "/var/log/snort" und bestehen aus alert und portscan.log

Squid-Logs befinden sich in "/var/log/squid" und bestehen aus access.log, cache.log und store.log
zum Seitenanfang
zum Inhaltsverzeichnis


Wie bekomme ich die Logs weg vom IPCop?

Sie können SCP oder WinSCP benutzen, um die Logs auf einen anderen Computer zu kopieren. Sie müssen SSH über die Web-Oberfläche aktivieren. Wenn Sie aus der Ferne auf IPCop zugreifen, müssen Sie Port 222 der ROTEN Schnittstelle öffnen. Denken Sie daran, daß IPCop SSH auf Port 222 lauscht und nicht auf Port 22!
zum Seitenanfang
zum Inhaltsverzeichnis


Wie kann ich einen anderen PC für die Logdateien benutzen?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.
zum Seitenanfang
zum Inhaltsverzeichnis


Kann ich einstellen, daß die Logdateien automatisch gepackt werden?

Viele der Logdateien werden bereits rotierend komprimiert. Aktive Logs werden nicht komprimiert, damit sie auf der Administrationsseite angezeigt werden können.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie lange werden die Logs aufbewahrt?

IPCop Version 1.2 und älter: Logs in "/var/log" werden wöchentlich rotiert und für 8 Zyklen aufbewahrt.

Logs in "/var/log/squid" werden wöchentlich rotiert und für 5 Zyklen aufbewahrt.

Logs in "/var/log/snort" werden wöchentlich rotiert und für 5 Zyklen aufbewahrt.

IPCop Version 1.3: Logs in "/var/log" werden wöchentlich rotiert und für 52 Zyklen aufbewahrt.

Logs in "/var/log/squid" werden wöchentlich rotiert und für 52 Zyklen aufbewahrt.

Logs in "/var/log/snort" werden wöchentlich rotiert und für 52 Zyklen aufbewahrt.

Die Logs werden am frühen Sonntag Morgen automatisch rotiert und gepackt, wenn Sie also nach Informationen der Vorwoche suchen, scheinen diese verschwunden zu sein. Die Informationen sind noch da, Sie müssen die entsprechende Datei lediglich entpacken. Schauen Sie im Verzeichnis "/var/log" nach.

Um einen Zyklus zu erzwingen, melden Sie sich als root an und führen Sie den Befehl:

/usr/sbin/logrotate -f /etc/logrotate.conf 

aus.
zum Seitenanfang
zum Inhaltsverzeichnis


Können die Logs an eine Datenbank gesendet werden?

Dies ist eine Basis-Linux-Distribution, also kann alles mit entsprechendem "Hacking-Aufwand" angepasst werden. Es laufen keine Datenbank-Manager auf dem IPCop (bzw. es sind keine installiert).
zum Seitenanfang
zum Inhaltsverzeichnis


Was kann ich zur Auswertung der Logdateien benutzen?

Es gibt sehr viele Tools, um Linux-Logdateien zu analysieren. Es gibt auch Tools um "Snort" und "Squid" Logs auszuwerten. Schauen Sie bitte unter den entsprechenden Projektseiten für weitere Informationen nach.
zum Seitenanfang
zum Inhaltsverzeichnis


Mein Provider füllt meine Logs mit IGMP oder PIM Paketen. Wie kann ich das unterbinden?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.
zum Seitenanfang
zum Inhaltsverzeichnis


Mein Log füllt sich mit Net-BIOS (137) Paketen. Wie kann ich das unterbinden?

Schauen Sie dafür unter der Rubrik Add-Ons / Hacks nach. Bitte lesen Sie zuerst die Warnungen.
zum Seitenanfang
zum Inhaltsverzeichnis


Persönliche Werkzeuge