Unter Logging versteht man die Protokollierung von Ereignismeldungen z. B. über vorgenommene Einstellungen, über Greifen von Firewall-Regeln, über Fehler usw.
Log-Einträge werden unter verschiedenen Kategorien erfasst und können nach Kategorie sortiert angezeigt werden (siehe „Logging >> Logs ansehen“ auf Seite 338).
Alle Log-Einträge finden standardmäßig im Arbeitsspeicher des mGuards statt. Ist der maximale Speicherplatz für diese Protokollierungen erschöpft, werden automatisch die ältesten Log-Einträge durch neue überschrieben. Zudem werden beim Ausschalten des mGuards alle Log-Einträge gelöscht.
Um das zu verhindern, ist es möglich, die Log-Einträge auf einen externen Rechner (Remote-Server) zu übertragen. Das liegt auch dann nahe, sollte eine zentrale Verwaltung der Protokollierungen mehrerer mGuards erfolgen.
Remote Logging |
Über die Funktion Remote Logging können die Log-Einträge zu einem externen Log-Server (Syslog-Server) übertragen werden. Um auf dem externen Log-Server zu prüfen, ob regelmäßig Log-Einträge übertragen werden, wird ca. alle 30 Minuten ein Log-Eintrag „UPTIME“ erstellt und an den Syslog-Server gesendet. Der Log-Eintrag zeigt die jeweils aktuelle Uptime des mGuard-Gerätes. Beispiel: 2024-12-25_08:20:00.90770 uptime-audit: -------- UPTIME: 29 min -------- |
|
|
Aktiviere Remote UDP- Logging |
Sollen alle Log-Einträge zum externen (unten angegebenen) Log-Server übertragen werden, aktivieren Sie die Funktion.
|
|
Log-Server-IP-Adresse |
Geben Sie die IP-Adresse des Log-Servers an, zu dem die Log-Einträge per UDP übertragen werden sollen. Sie müssen eine IP-Adresse angeben, keinen Hostnamen! Hier wird eine Namensauflösung nicht unterstützt, weil sonst bei Ausfall eines DNS-Servers unter Umständen nicht protokolliert werden könnte. |
|
Log-Server-Port |
Geben Sie den Port des Log-Servers an, zu dem die Log-Einträge per UDP übertragen werden sollen. Standard: 514 |
|
|
|
|
–Wenn dabei die Option „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“, Lokal auf 1:1-NAT gestellt (siehe Seite 277), gilt Folgendes: Die interne IP-Adresse muss sich in dem angegebenen lokalen Netzwerk befinden. –Wenn dabei die Option „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“, Gegenstelle auf 1:1-NAT gestellt (siehe Seite 278), gilt Folgendes: Die IP-Adresse des Remote-Log-Servers muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbindung als Gegenstelle angegeben ist. |
|
Datenschutz |
Log-Einträge können personenbezogene Daten beinhalten. Um grundsätzliche Anforderungen an den Datenschutz zu beachten, ist es möglich, Log-Einträge nur für einen begrenzten Zeitraum auf dem Gerät zu speichern. Nach Ablauf einer konfigurierbaren Speicherfrist werden Log-Einträge auf dem Gerät automatisch gelöscht. 
Log-Einträge, die zusätzlich auf einen externen Log-Server (Syslog-Server) übertragen werden, werden nach Ablauf der Speicherfrist nur lokal auf dem Gerät gelöscht. Die datenschutzkonforme Aufbewahrung der übertragenen Log-Einträge muss daher zusätzlich auf dem externen Log-Server sichergestellt werden. |
|
|
Maximale Aufbewahrungsfrist für Log-Einträge (0 = unlimitiert) |
Standard: 0 (kein Limit) Gibt an, nach wie vielen Tagen ein lokal gespeicherter Log-Eintrag auf dem Gerät spätestens gelöscht wird. Der Wert 0 (Werkseinstellung) bedeutet, dass keine maximale Aufbewahrungsfrist für die Löschung von Log-Einträgen besteht. 
Maximale Aufbewahrungsfrist: 365 Tage |
mGuard-Geräte verfügen je nach Modell über unterschiedliche Funktionen. Entsprechend der jeweils verfügbaren Funktionen können die Log-Einträge nach Kategorien gefiltert werden, sodass nur die gewünschten Log-Einträge im WBM sichtbar sind.
Damit eine oder mehrerer Kategorien angezeigt werden, aktivieren Sie das/die Kontrollkästchen der gewünschten Kategorie(n). Die Log-Einträge werden entsprechend der Auswahl fortlaufend aktualisiert.
Um die fortlaufende Aktualisierung der Log-Einträge
zu unterbrechen bzw. fortzusetzen, klicken Sie auf die Schaltfläche 
Pause bzw.
Weiter.
Zugriff auf Log-Einträge
Der Zugriff auf die Log-Einträge kann auf unterschiedlichen Wegen erfolgen
mGuard |
UDP |
Web-Oberfläche (Web UI) |
|---|---|---|
/var/log/dhclient |
Nein |
Allgemein |
/var/log/dhcp-ext |
Nein |
DHCP Server/Relay |
/var/log/dhcp-int |
Nein |
DHCP Server/Relay |
/var/log/dhcp-dmz |
Nein |
DHCP Server/Relay |
/var/log/dnscache |
Nein |
Nein |
/var/log/dynrouting |
socklog |
Dynamisches Routing |
/var/log/firestarter |
svlogd |
IPsec VPN |
/var/log/firewall |
svlogd |
Netzwerksicherheit |
/var/log/fwrulesetd |
socklog |
Netzwerksicherheit |
/var/log/https |
Nein |
Nein |
/var/log/ipsec |
socklog |
IPsec VPN |
/var/log/l2tp |
Nein |
IPsec VPN |
/var/log/lldpd |
Nein |
SNMP/LLDP |
/var/log/maid |
Nein |
Allgemein |
/var/log/main |
socklog |
Allgemein |
/var/log/maitrigger |
Nein |
Nein |
/var/log/openvpn |
socklog |
OpenVPN Client |
/var/log/pluto |
svlogd |
IPsec VPN |
/var/log/psm-sanitize |
Nein |
Allgemein |
/var/log/pullconfig |
socklog |
Allgemein |
/var/log/redundancy |
socklog |
Allgemein |
/var/log/snmp |
Nein |
SNMP/LLDP |
/var/log/tinydns |
Nein |
Allgemein |
/var/log/userfwd |
socklog |
Netzwerksicherheit |
.
11.2.1Kategorien der Log-Einträge
Logging >> Logs ansehen >> Kategorien |
||
|---|---|---|
Allgemein |
Log-Einträge, die den anderen Kategorien nicht zugeordnet werden können. Beispiele (ohne Zeitstempel): HTTPS (Login/Logout) –Webinterface: Failed login for '*******' role '*******' from 192.168.1.55 by Web –Webinterface: Accepted login for 'user1' role 'admin' from 192.168.1.55 by Web –Webinterface: Logout for 'user1' role 'admin' from 192.168.1.55 by timeout SSH (Login) –sshd[28296]: Accepted password for admin from 192.168.1.55 port 49248 ssh2 –inno-sshlimitd: accepting new connection at fd 6 –inno-sshlimitd: allow session 1 of maximum 4 for role admin (class 1) at fd 6 –ssh[28472]: session start for user 'admin' Aktion –maid[12138]:
User 'user1' performed a configuration change with role 'admin':
|
|
Netzwerksicherheit / Firewall |
Ist bei Festlegung von Firewall-Regeln das Protokollieren von Ereignissen festgelegt (Log = aktiviert), dann können Sie hier das Log aller protokollierten Ereignisse einsehen. Log-ID und Nummer zum Auffinden von Fehlerquellen Log-Einträge, die sich auf die nachfolgend aufgelisteten Firewall-Regeln beziehen, haben eine Log-ID und eine Nummer. Anhand dieser Log-ID und Nr. ist es möglich, die Firewall-Regel ausfindig zu machen, auf die sich der betreffende Log-Eintrag bezieht und die zum entsprechenden Ereignis geführt hat. Firewall-Regeln und ihre Log-ID –Paketfilter: Menü „Netzwerksicherheit >> Paketfilter >> Eingangsregeln“ Menü „Netzwerksicherheit >> Paketfilter >> Ausgangsregeln“ Log-ID: fw-incoming bzw. fw-outgoing –Firewall-Regeln bei VPN-Verbindungen: Menü „IPsec VPN >> Verbindungen >> Editieren >> Firewall“, eingehend / ausgehend Log-ID: fw-vpn-in bzw. fw-vpn-out |
|
|
–Firewall-Regeln bei OpenVPN-Verbindungen: Menü „OpenVPN-Client >> Verbindungen >> Editieren >> Firewall“, eingehend / ausgehend Log-ID: fw-openvpn-in bzw. fw-openvpn-out Menü „OpenVPN-Client >> Verbindungen >> Editieren >> NAT“ Log-ID: fw-openvpn-portfw –Firewall-Regeln bei Web-Zugriff auf den mGuard über HTTPS: Menü Verwaltung >> Web-Einstellungen >> „Zugriff“ Log-ID: fw-https-access |
|
|
–Firewall-Regeln bei Zugriff auf den mGuard über SNMP: Menü Verwaltung >> SNMP >> „Abfrage“ Log-ID: fw-snmp-access –Firewall-Regeln bei SSH-Fernzugriff auf den mGuard: Menü Verwaltung >> Systemeinstellungen >> „Shell-Zugang“ Log-ID: fw-ssh-access –Firewall-Regeln bei Zugriff auf den mGuard über NTP: Menü Verwaltung >> Systemeinstellung >> „Zeit und Datum“ Log-ID: fw-ntp-access |
|
|
–Firewall-Regeln der Benutzerfirewall: Menü „Netzwerksicherheit >> Benutzerfirewall“, Firewall-Regeln Log-ID: ufw- –Regeln für NAT, Port-Weiterleitung Menü „Netzwerk >> NAT >> IP- und Port-Weiterleitung“ Log-ID: fw-portforwarding |
|
|
Suche nach Firewall-Regel auf Grundlage eines Netzwerksicherheits-Logs Firewall-Log-Einträge sind in der Liste blau markiert und mit einem Hyperlink hinterlegt. Ein Klick auf den Firewall-Log-Eintrag, z. B. fw-https-access-1-1ec2c133-dca1-1231-bfa5-000cbe01010a öffnet die Konfigurationsseite (Menü >> Untermenü >> Registerkarte) mit der Firewall-Regel, die den Log-Eintrag verursacht hat. |
|
IPsec VPN |
Listet alle VPN-Ereignisse auf. Das Format entspricht dem unter Linux gebräuchlichen Format. Es gibt spezielle Auswertungsprogramme, die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format präsentieren. |
|
OpenVPN |
Listet alle OpenVPN-Ereignisse auf. |
|
DHCP-Server/Relay |
Meldungen der unter „Netzwerk >> DHCP“ konfigurierbaren Dienste.
|
|
SNMP/LLDP |
Meldungen der unter „Verwaltung >> SNMP“ konfigurierbaren Dienste. |
|
Dynamisches Routing |
Listet alle Ereignisse auf, die durch dynamisches Routing erzeugt werden. |
|