Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: wt, 08 paź 2019 18:32:22 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 08 paź 2019 18:11:26
Posty: 11
Hej, mam w tym momencie zainstalowanego, Proxmox na nim wirtualke Ubuntu z Graylogiem i tam zbieram logi (maszyna 2 rdzenie, 2 wątki 20GB ram) zapchana w całości ucina trochę bo nie jest w stanie zebrać wszystkiego... zbieram tcp i udp wychodzi jakieś 30GB dziennie.
Kiedyś korzystałem z funkcji zbieranie logów na NAS Synology, tylko same tcp fajnie to działało, szybko można było wyfiltrować potrzebne dane ale niestety sam z siebie potrafił się zawieszać był tam procek intel atom i 2GB ram.
Pytanie do was na czym wy zbieracie logi ? (urządzenia jaka wydajność) z jakiego oprogramowania korzystacie, co myślicie o zbieraniu na NAS może jakiś mocny QNAP ? , i czy zbieracie jako ISP zarówno tcp jak i udp ??? i jeśli udp to wszystko jak leci czy macie na Mietkach jakąś regułkę która je jakoś losowo wycina.


Na górę
Post: wt, 08 paź 2019 19:48:39 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 482
Trzeba logować każdy protokół. Nie tylko tcp i udp.
U mnie Cisco zbierające netflow
MT zbierające po protokole syslog na Debianie uruchomiony syslog-ng który pakuje pliki codziennie.


Na górę
Post: wt, 08 paź 2019 19:52:20 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent
Awatar użytkownika

Rejestracja: pn, 11 sty 2010 14:39:39
Posty: 371
LANowiec pisze:
Hej, mam w tym momencie zainstalowanego, Proxmox na nim wirtualke Ubuntu z Graylogiem i tam zbieram logi (maszyna 2 rdzenie, 2 wątki 20GB ram) zapchana w całości ucina trochę bo nie jest w stanie zebrać wszystkiego... zbieram tcp i udp wychodzi jakieś 30GB dziennie.
Kiedyś korzystałem z funkcji zbieranie logów na NAS Synology, tylko same tcp fajnie to działało, szybko można było wyfiltrować potrzebne dane ale niestety sam z siebie potrafił się zawieszać był tam procek intel atom i 2GB ram.
Pytanie do was na czym wy zbieracie logi ? (urządzenia jaka wydajność) z jakiego oprogramowania korzystacie, co myślicie o zbieraniu na NAS może jakiś mocny QNAP ? , i czy zbieracie jako ISP zarówno tcp jak i udp ??? i jeśli udp to wszystko jak leci czy macie na Mietkach jakąś regułkę która je jakoś losowo wycina.



Synology ma fajną opcje zbierania logów


Na górę
Post: wt, 08 paź 2019 20:09:59 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 08 paź 2019 18:11:26
Posty: 11
syslog-ng u mnie odpada, ze względu na zmianę IP z miejsca którego ma logować (długi temat po prostu nie będzie działał) , najbardziej bym się skłaniał do powrotu do Synology tylko jaki "udzwignie" taką ilość skoro serwer (2 rdzeinie 2 wątki) i 20gb ram wymięka ? (no chyba że synology w taki sposób zbiera te logi że jest bardziej wydajny i wykorzystuje mniejsze zasoby)

i temat co powinniśmy zbierać według ustawy (ewentualne wydanie logów policji, prokuraturze etc) , TCP, UDP - obowiązkowe ? + co jeszcze?


Na górę
Post: wt, 08 paź 2019 22:23:15 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 482
Tak jak już wyżej pisałem - nie tylko TCP i UDP. Wszystkie możliwe protokoły.
Syslog-ng i zmienny IP to nie jest problem. Możesz zrobić dowolny filtr.


Na górę
Post: śr, 09 paź 2019 14:19:19 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 456
Wiesz, ze graylog nie tylko zbiera logi? Dlatego Ci to nie wyrabia. Jesli będziesz tylko zbierał to co dostajesz to wymagan co do maszyny praktycznie nia ma.


Na górę
Post: śr, 09 paź 2019 21:16:13 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 08 paź 2019 18:11:26
Posty: 11
W mietku mam dwie regułki dla TCP i UDP, w graylogu mam ustawione aby odbierał z mietka wszystko co idzie po tcp i udp (z tego co widze w logach to raczej zbiera poprawnie) ale faktycznie też mam mieszane uczucia co do niego. Jednym słowem 2 tysiące userów około 30 GB dziennie logów (tak jest na greylogu) jaki sprzęt i oprogramowanie polecacie aby zbierać te logi ?? i czy jakiś NAS do 2 tyś sobie poradzi ?


Na górę
Post: śr, 09 paź 2019 21:32:07 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 482
Tak jak już wcześniej pisałem.
Logujesz wszystko, nie tylko tcp i udp :)
Kod:
/ip fir fil
add action=log chain=forward comment="LOGOWANIE RUCHU" connection-state=new log-prefix="netlog ->" out-interface=br_WAN1


Ponad 1k klientów na jednym z routerów, obecnie (od północy) plik nieskompresowany ma 7GB. Dzienne skompresowane około 500MB.

Może logujesz też połączenia już zestawione, a nie tylko nowe? (connection-state=new)

Logowanie mam na QNAP TS-453A, na nim wirtualka z Debianem 9 (1vCPU, 256MB RAM) uruchomiony syslog-ng.

Możesz to nawet uruchomić na raspberry-pi, byleby Ci miejsca starczyło. Wymagania zerowe.


Na górę
Post: czw, 10 paź 2019 0:15:57 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 08 paź 2019 18:11:26
Posty: 11
Mam tak
action=log chain=forward disabled=no protocol=tcp tcp-flags=syn
action=log chain=forward disabled=no protocol=tcp tcp-flags=fin

oraz dla udp
action=log chain=forward disabled=no protocol=udp
Connection state =new


Na górę
Post: czw, 17 paź 2019 0:02:11 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: pt, 14 sty 2011 0:36:15
Posty: 1400
Lokalizacja: Jaworzno
Po co się męczycie z syslogiem i zbieraniem logów z firewalla jeżeli można wygodniej robić to za pomocą traffic flow? Do tego nfsen i macie narzędzie z gui do wygodnego przeglądania danych z ruchu w dowolnym kierunku:

https://www.dropbox.com/s/d2sfy9pfxcn4i ... 6.png?dl=0

_________________
netmon.pl


Na górę
Post: czw, 17 paź 2019 7:19:38 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3595
Lokalizacja: Mazury
loockas pisze:
Po co się męczycie z syslogiem i zbieraniem logów z firewalla jeżeli można wygodniej robić to za pomocą traffic flow? Do tego nfsen i macie narzędzie z gui do wygodnego przeglądania danych z ruchu w dowolnym kierunku:

https://www.dropbox.com/s/d2sfy9pfxcn4i ... 6.png?dl=0

A kompresuje teź logi?

_________________
# http://kazuko.pl ☚☜☚☜ automagiczna kopia zapasowa, aktualizacja i zmiana ustawień


Na górę
Post: czw, 17 paź 2019 12:26:47 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: pt, 14 sty 2011 0:36:15
Posty: 1400
Lokalizacja: Jaworzno
Tak, domyślnie nfdump ma włączoną kompresję. Nie kompresuje się to tak dobrze jak pliki tekstowe, bo zajętość miejsca wzrosła o ok 20% w stosunku do sysloga, ale komfort w wyszukiwaniu i przeglądaniu to rekompensuje :) Poza tym jest to bardziej uniwersalne bo flowy obsługuje prawie każdy sprzęt sieciowy, np z Cisco w inny sposób zrzutów z ruchu nie zrobisz.

_________________
netmon.pl


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot], Google [Bot] i 15 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest śr, 23 paź 2019 23:02:35

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl