Unter Logging versteht man die Protokollierung von Ereignismeldungen z. B. über vorgenommene Einstellungen, über Greifen von Firewall-Regeln, über Fehler usw.
Log-Einträge werden unter verschiedenen Kategorien erfasst und können nach Kategorie sortiert angezeigt werden (siehe „Logging >> Logs ansehen“ auf Seite 311).
Alle Log-Einträge finden standardmäßig im Arbeitsspeicher des mGuards statt. Ist der maximale Speicherplatz für diese Protokollierungen erschöpft, werden automatisch die ältesten Log-Einträge durch neue überschrieben. Zudem werden beim Ausschalten des mGuards alle Log-Einträge gelöscht.
Um das zu verhindern, ist es möglich, die Log-Einträge auf einen externen Rechner (Remote-Server) zu übertragen. Das liegt auch dann nahe, sollte eine zentrale Verwaltung der Protokollierungen mehrerer mGuards erfolgen.
Remote Logging |
Über die Funktion Remote Logging können die Log-Einträge zu einem externen Log-Server (Syslog-Server) übertragen werden. Um auf dem externen Log-Server zu prüfen, ob regelmäßig Log-Einträge übertragen werden, wird ca. alle 30 Minuten ein Log-Eintrag „Uptime“ erstellt und an den Syslog-Server gesendet. Der Log-Eintrag zeigt die jeweils aktuelle Uptime des mGuard-Gerätes. |
|
|
Aktiviere Remote UDP- Logging |
Sollen alle Log-Einträge zum externen (unten angegebenen) Log-Server übertragen werden, aktivieren Sie die Funktion.
|
|
Log-Server-IP-Adresse |
Geben Sie die IP-Adresse des Log-Servers an, zu dem die Log-Einträge per UDP übertragen werden sollen. Sie müssen eine IP-Adresse angeben, keinen Hostnamen! Hier wird eine Namensauflösung nicht unterstützt, weil sonst bei Ausfall eines DNS-Servers unter Umständen nicht protokolliert werden könnte. |
|
Log-Server-Port |
Geben Sie den Port des Log-Servers an, zu dem die Log-Einträge per UDP übertragen werden sollen. Standard: 514 |
|
|
|
|
–Wenn dabei die Option „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“, Lokal auf 1:1-NAT gestellt (siehe Seite 252), gilt Folgendes: Die interne IP-Adresse muss sich in dem angegebenen lokalen Netzwerk befinden. –Wenn dabei die Option „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“, Gegenstelle auf 1:1-NAT gestellt (siehe Seite 253), gilt Folgendes: Die IP-Adresse des Remote-Log-Servers muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbindung als Gegenstelle angegeben ist. |
|
Je nachdem, welche Funktionen des mGuards aktiv gewesen sind, werden unterhalb der Log-Einträge entsprechende Kontrollkästchen zum Filtern der Einträge nach Kategorien angezeigt.
Damit eine oder mehrerer Kategorien angezeigt werden, aktivieren Sie das/die Kontrollkästchen der gewünschten Kategorie(n). Die Logeinträge werden entsprechend der Auswahl fortlaufend aktualisiert.
Um die fortlaufende Aktualisierung der Log-Einträge zu unterbrechen bzw. fortzusetzen, klicken Sie auf die Schaltfläche
Pause bzw.
Weiter.
Zugriff auf Log-Einträge
Der Zugriff auf die Log-Einträge kann auf unterschiedlichen Wegen erfolgen
mGuard |
UDP |
Web-Oberfläche (Web UI) |
|---|---|---|
/var/log/dhclient |
Nein |
Allgemein |
/var/log/dhcp-ext |
Nein |
DHCP Server/Relay |
/var/log/dhcp-int |
Nein |
DHCP Server/Relay |
/var/log/dhcp-dmz |
Nein |
DHCP Server/Relay |
/var/log/dnscache |
Nein |
Nein |
/var/log/dynrouting |
socklog |
Dynamisches Routing |
/var/log/firestarter |
svlogd |
IPsec VPN |
/var/log/firewall |
svlogd |
Netzwerksicherheit |
/var/log/fwrulesetd |
socklog |
Netzwerksicherheit |
/var/log/https |
Nein |
Nein |
/var/log/ipsec |
socklog |
IPsec VPN |
/var/log/l2tp |
Nein |
IPsec VPN |
/var/log/lldpd |
Nein |
SNMP/LLDP |
/var/log/maid |
Nein |
Nein |
/var/log/main |
socklog |
Allgemein |
/var/log/maitrigger |
Nein |
Nein |
/var/log/openvpn |
socklog |
OpenVPN Client |
/var/log/pluto |
svlogd |
IPsec VPN |
/var/log/psm-sanitize |
Nein |
Allgemein |
/var/log/psm-update |
Nein |
Allgemein |
/var/log/pullconfig |
socklog |
Allgemein |
/var/log/redundancy |
socklog |
Allgemein |
/var/log/snmp |
Nein |
SNMP/LLDP |
/var/log/tinydns |
Nein |
Allgemein |
/var/log/userfwd |
socklog |
Netzwerksicherheit |
.
11.2.1Kategorien der Log-Einträge
Logging >> Logs ansehen >> Kategorien |
|
|---|---|
Allgemein |
Log-Einträge, die den anderen Kategorien nicht zugeordnet werden können. |
Netzwerksicherheit |
Ist bei Festlegung von Firewall-Regeln das Protokollieren von Ereignissen festgelegt (Log = aktiviert), dann können Sie hier das Log aller protokollierten Ereignisse einsehen. Log-ID und Nummer zum Auffinden von Fehlerquellen Log-Einträge, die sich auf die nachfolgend aufgelisteten Firewall-Regeln beziehen, haben eine Log-ID und eine Nummer. Anhand dieser Log-ID und Nr. ist es möglich, die Firewall-Regel ausfindig zu machen, auf die sich der betreffende Log-Eintrag bezieht und die zum entsprechenden Ereignis geführt hat. Firewall-Regeln und ihre Log-ID –Paketfilter: Menü „Netzwerksicherheit >> Paketfilter >> Eingangsregeln“ Menü „Netzwerksicherheit >> Paketfilter >> Ausgangsregeln“ Log-ID: fw-incoming bzw. fw-outgoing –Firewall-Regeln bei VPN-Verbindungen: Menü „IPsec VPN >> Verbindungen >> Editieren >> Firewall“, eingehend / ausgehend Log-ID: fw-vpn-in bzw. fw-vpn-out |
|
–Firewall-Regeln bei OpenVPN-Verbindungen: Menü „OpenVPN-Client >> Verbindungen >> Editieren >> Firewall“, eingehend / ausgehend Log-ID: fw-openvpn-in bzw. fw-openvpn-out Menü „OpenVPN-Client >> Verbindungen >> Editieren >> NAT“ Log-ID: fw-openvpn-portfw –Firewall-Regeln bei Web-Zugriff auf den mGuard über HTTPS: Menü Verwaltung >> Web-Einstellungen >> „Zugriff“ Log-ID: fw-https-access |
|
–Firewall-Regeln bei Zugriff auf den mGuard über SNMP: Menü Verwaltung >> SNMP >> „Abfrage“ Log-ID: fw-snmp-access –Firewall-Regeln bei SSH-Fernzugriff auf den mGuard: Menü Verwaltung >> Systemeinstellungen >> „Shell-Zugang“ Log-ID: fw-ssh-access –Firewall-Regeln bei Zugriff auf den mGuard über NTP: Menü Verwaltung >> Systemeinstellung >> „Zeit und Datum“ Log-ID: fw-ntp-access |
|
–Firewall-Regeln der Benutzerfirewall: Menü „Netzwerksicherheit >> Benutzerfirewall“, Firewall-Regeln Log-ID: ufw- –Regeln für NAT, Port-Weiterleitung Menü „Netzwerk >> NAT >> IP- und Port-Weiterleitung“ Log-ID: fw-portforwarding |
|
Suche nach Firewall-Regel auf Grundlage eines Netzwerksicherheits-Logs Firewall-Log-Einträge sind in der Liste blau markiert und mit einem Hyperlink hinterlegt. Ein Klick auf den Firewall-Log-Eintrag, z. B. fw-https-access-1-1ec2c133-dca1-1231-bfa5-000cbe01010a öffnet die Konfigurationsseite (Menü >> Untermenü >> Registerkarte) mit der Firewall-Regel, die den Log-Eintrag verursacht hat. |
IPsec VPN |
Listet alle VPN-Ereignisse auf. Das Format entspricht dem unter Linux gebräuchlichen Format. Es gibt spezielle Auswertungsprogramme, die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format präsentieren. |
OpenVPN |
Listet alle OpenVPN-Ereignisse auf. |
DHCP-Server/Relay |
Meldungen der unter „Netzwerk >> DHCP“ konfigurierbaren Dienste.
|
SNMP/LLDP |
Meldungen der unter „Verwaltung >> SNMP“ konfigurierbaren Dienste. |
Dynamisches Routing |
Listet alle Ereignisse auf, die durch dynamisches Routing erzeugt werden. |