Monitoring Tools?

  • Hallo zusammen.


    Ich denke, mein vServer ist nun einigermaßen gut abgesichert.

    Allerdings würde ich trotzdem weiterhin gerne die sicherheitsrelevanten Logfiles ein wenig im Auge behalten.

    Gibt es da empfehlenswerte Tools, die einem das Monitoring ein wenig erleichtern?

    Evtl. sogar welche, die bei (konfigurierbaren?) Auffälligkeiten Meldung per eMail machen?

    Oder ist sowas eurer Meinung nach bei einem gut abgesicherten Server überflüssig?

  • Oder ist sowas eurer Meinung nach bei einem gut abgesicherten Server überflüssig?

    Meiner Meinung nach nein.

    Evtl. sogar welche, die bei (konfigurierbaren?) Auffälligkeiten Meldung per eMail machen?

    Da gibt es einiges. Z.B. Apticron zur Information, wenn Updates verfügbar sind, Rkhunter kann auch per Mail Informationen verschicken, Fail2Ban (Aber die Logs werden irgendwann nerven und man schaut sich diese nicht mehr an)

    Gibt es da empfehlenswerte Tools, die einem das Monitoring ein wenig erleichtern?

    Es kommt immer drauf an, was gemonitort werden soll.

  • "Es kommt immer drauf an, was gemonitort werden soll."

    In erster Linie möchte ich die Zugriffe von außen über ssh und http/https im Auge behalten.

    Also z.B. auth.log und apache2/access.log


    "...Fail2Ban (Aber die Logs werden irgendwann nerven und man schaut sich diese nicht mehr an)"

    fail2ban ist installiert aber komplett arbeitslos, seit ich den ssh-Port geändert und ufw aktiviert habe

  • Für den Webserver eignet sich evtl. GoAccess. Benutze ich und finde ich ganz gut. ;)

    Sieht wirklich nicht schlecht aus. Gibt es bei GoAccess die Möglichkeit Server übergreifend die logs zu analysieren oder müsste ich die logs aller Webserver sammeln und auf dem Host auf dem GoAccess läuft ablegen? Auf der Website bzw. im Manual konnte ich hierzu so nicht finden.

  • Sieht wirklich nicht schlecht aus. Gibt es bei GoAccess die Möglichkeit Server übergreifend die logs zu analysieren oder müsste ich die logs aller Webserver sammeln und auf dem Host auf dem GoAccess läuft ablegen? Auf der Website bzw. im Manual konnte ich hierzu so nicht finden.

    Jain, tendenziell eher nein. Du hast die Wahl zwischen einer GoAccess Instanz pro Server oder Logs zusammensammeln.


    Ich habe einen zentralen nginx der als reverse Proxy arbeitet. Da läuft also zentral jeder Request durch und so habe ich die Logs auch zentral.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Dann werfe ich auch noch lnav in den Raum.

    Kurzanleitung zum Beispiel: https://infosec-handbook.eu/blog/wss8-log-file-analysis/


    Das Problem ist, dass es sowas wie Sand am Meer gibt und man seinen eigenen Favoriten rausssuchen muss. Am Anfang lohnt es sich, die Logfiles mal alle von Hand durchzuschauen. Dann versteht man auch, was die Tools machen und welche Meldungen wichtig sind.

    Logwatch habe ich auch, die Standardkonfiguration ging mir nach einiger Zeit aber gehörig auf die Nüsse. Dann investiert man relativ viel Zeit in Anpassungen und es stellt sich die Frage, wann sich das amortisiert und man effektiv Zeit gespart hat ;) Ich vermute, bei mir dauert das noch ein bisschen...