NAS Systeme erfreuen sich mitlerweile einer hohen Verbreitung. Diese Systeme sind recht multifunktionell einsetzbar. So auch als Syslog Server. Am Beispiel einer Synology NAS Station möchte ich hier mal aufzeigen welche Möglichkeiten sich damit stellen.Doch zuerst einmal etwas Theorie und grundsätzlichen Hintergrund zum Thema Syslog.
Ein Syslog Server ist ein System, welches von anderen Geräten über das Netzwerk Loginformationen über Ereignisse an einem zentralen Ort speichert. Man muss sich das so vorstellen, der Syslogserver ist wie ein "Radiohöhrer" der einfach alles mitschneidet, was auf bestimmten Sendern im Netzwerk geschickt wird. Radiohöher deswegen, weil er dem Sender kein Feedback gibt. Das bedeut, Es gibt von dem Syslog Server kein Feedback an den Absender, das seine Bootschaft angekommen ist.
Warum sollte es dann Sinn machen so etwas zu installieren? Als so eine Art Frühwarnsystem aber auch im Bereich der IT-Sicherheit. Die Speicherung und Konsolidierung solcher Ereignisse an einem zentralen Ort macht Sinn um daraus Aktionen zu generieren. Folgendes Beispiel macht es deutlich.
Sie haben einen oder mehere PCs auf dem Sie wichtige Daten gespeichert haben. Dieser PC hat eine Festplatte welche SMART unterstützt. SMART kann vorhersehen ob eine Festplatte Defekte hat und welche Kritikalität diese Defekte haben. ( Es gibt Defekte die kann eine Festplatte selbst korrigieren, bis zu einem gewissen Grad ) Diese Informationen schreibt SMART in das System Logfile Ihres PCs.
Hand aufs Herz, wie häufig lesen Sie diese Logfiles? Aha – nie!
Würde dieser Eintrag jetzt an den SYSLOG Server gesendet werden, kann dieser daraus eine EMAIL machen und dann lesen Sie diese – hoffentlich. Jetzt tauschen Sie die Festplatte gegen eine neue Festplatte und haben sich das Thema mit dem Datenverlust erspart.
Auf die gleiche Art und Weise sind unterschiedliche andere Situationen denkbar – bis hin zu fehlerhaften Anmeldungen die auf einen Einbruch über das Internet hindeuten können. Also wichtig ist:

  • Zentrale Speicherung von Ereignissen ( Die zentrale Speicherung hat im Bereich der IT-Security noch eine besondere Bedeutung )
  • Konsolidierung und Möglichkeiten Berichte zu erstellen
  • Aktive Benachrichtigung bei Ereignissen mit Filterung auf Kritikalität und Stichworten

Zurück zum Syslog Server selbst. Technisch lauscht so ein Syslog Server auf UDP 514. Das ist die Standardkonfiguration. Damit haben wir auch schon ein Teil der notwendigen Konfiguration für unsere Sender, also die Geräte welche an den Syslog Server Ereignisse/ Meldungen senden sollen. ( UDP 514 ). Der jetzt noch fehlende Teil ist die TCP/IP Adresse des Syslog Servers. Das ist die Adresse der SYNOLOGY NAS Station. Die könnte beispielsweise 192.168.8.49 sein.
Damit ist der generelle Teil abgeschlossen und unser Syslog Server steht auf Empfang. Im Teil 2 schauen wir uns an wie die Sender unterschiedlicher Betriebssysteme konfiguriert werden.

Links:


imported from www2.georg-keller.eu