Sophos UTM 9.5 Firewall Log-File durchsuchen
Hallo zusammen,
weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann?
Es gibt ja die Möglichkeit über Search Log Files einen term einzugeben, z.B. die IP. Nun möchte ich aber auch noch den Port mit dazu filtern.
Habt ihr irgendeinen Tipp für mich, wie ich hier besser Suchen kann?
Vielen Dank im Vorraus"
weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann?
Es gibt ja die Möglichkeit über Search Log Files einen term einzugeben, z.B. die IP. Nun möchte ich aber auch noch den Port mit dazu filtern.
Habt ihr irgendeinen Tipp für mich, wie ich hier besser Suchen kann?
Vielen Dank im Vorraus"
Please also mark the comments that contributed to the solution of the article
Content-Key: 392920
Url: https://administrator.de/contentid/392920
Printed on: April 25, 2024 at 11:04 o'clock
18 Comments
Latest comment
Hey,
1) Splunk installieren - Normales Windows-Programm mit Dienst im Hintergrund
2) Data Input anlegen - UDP/Syslog
3) Splunk-Server als Syslog-Server in der UTM hinterlegen - Protokolle > Protokolleinstellungen > Remote-Syslog
4) Dataset in Splunk anlegen zum Felder auswerten der Sophos-spezifischen Logfiles, oder direkt über die Suche auswerten - siehe Splunk Doku
Alles in allem vielleicht 1-2 Stunden Aufwand - Splunk ist sehr gut dokumentiert, und wie du schon gesehen hast 500MB/Tag kostenlos!
Eine kostenfreie Alternative für höhere Log-Volumina wäre noch Graylog aus dem OpenSource-Bereich.
Gruß
1) Splunk installieren - Normales Windows-Programm mit Dienst im Hintergrund
2) Data Input anlegen - UDP/Syslog
3) Splunk-Server als Syslog-Server in der UTM hinterlegen - Protokolle > Protokolleinstellungen > Remote-Syslog
4) Dataset in Splunk anlegen zum Felder auswerten der Sophos-spezifischen Logfiles, oder direkt über die Suche auswerten - siehe Splunk Doku
Alles in allem vielleicht 1-2 Stunden Aufwand - Splunk ist sehr gut dokumentiert, und wie du schon gesehen hast 500MB/Tag kostenlos!
Eine kostenfreie Alternative für höhere Log-Volumina wäre noch Graylog aus dem OpenSource-Bereich.
Gruß
Wie schon erwähnt, nicht über die WebGUI, aber...
du kannst per SSH direkt auf den Sophos schauen bzw es von dort abholen und das Logfile mit mehreren terms durchsuchen.
https://community.sophos.com/products/unified-threat-management/f/manage ...
Es ist im Beispiel eine ODER Verknüpfung. Du kannst auch UND verknüpfen usw.
du kannst per SSH direkt auf den Sophos schauen bzw es von dort abholen und das Logfile mit mehreren terms durchsuchen.
https://community.sophos.com/products/unified-threat-management/f/manage ...
Es ist im Beispiel eine ODER Verknüpfung. Du kannst auch UND verknüpfen usw.
Zitat von @Leo-le:
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Hast du noch ein paar sinnvolle Bereichtsideen für die Sophos über Splunk? Das würde ich , wenn sinnvoll, auch noch mit konfigurieren.
Hey, leider nicht habe nur eine Standard-Suche nach Firewall-Logs definiert - reicht für uns aus!
Gruß
Reicht die Splunk Free Version dafür?
Danke Dir...