Hallo Leute,
bis gestern war ich immernoch den guten alten Manager treu, aber ich wollte nun doch mal das SOC auf unserem Server installieren, damit wir in der EDV immer den gleichen "Datenbestand" haben. Allerdings bekomm ich es nicht hin, das weder Daten im Log Center noch im Monitoring Center angezeigt werden.
Folgendes wurde gemacht:
Auf dem Server (2K8 R2) wurde alles Installiert, bis auf das SOC selber. Also alle Dienste inklusive Daten Provider. Auf dem Client wurde nur das SOC selber installiert.
Also als erstes gleich ein Feature Request ... wenn bei der Installation der Haken für Firewall Regeln erstellen aktiviert bleib, werden zwar Regeln erstellt, aber die nicht funktionieren. Die Regeln werden auf die .exe Dateien erstellt mit Protokoll und Port beliebig, das scheint aber nicht zu funktionieren, zumindest konnte ich vom Client den Daten Provider auf dem Server nicht erreichen.
Also habe ich eigene Regeln erstellt mit den Ports 9999 TCP und 6178 TCP. Da konnte ich zumindest dann mit dem SOC vom Client aus den Server erreichen.
Okay also ich habe testweise mal 2 Firewalls angelegt im SOC. In den Firewalls habe ich als Syslog Server den Server angegeben. Da kommen aber irgendwie 0 Daten an. Auch wenn ich Live Log starten mache, passiert irgendwie nichts. Muss ich noch irgendwas dazu weiter konfigurieren?!?!?! Ich habe auch mit Rechtsklick auf die Firewall > Log Center die IP des Server eingetragen, passiert nichts. Dann habe ich noch auf der Windows Firewall vom Server den Port 514 UDP freigegeben (was ja Syslog wäre), passiert leider auch nichts. Wer kann mir da helfen?
Nächstes Problem im Monitor Center. Wenn ich da auf alle Anzeigen gehe steht immer nur da "Keine UTM/VPN Gateways vorhanden". Wenn ich dann die Einstellungen dort aufrufe, steht auch nie was unter "Letzter Lauf" drin, ich denke das ist das Problem, aber warum? :-(
Vielen Dank für die Hilfe
bin ja noch SOC-Neuling :-)
Logging und Überwachung
Moderator: Securepoint
-
Oliver Dehnbostel
- Securepoint
- Beiträge: 60
- Registriert: So 25.07.2010, 00:25
Hallo,
die Regeln werden in der nächsten Version auch für den Port erstellt, da einige Windows-Systeme die Regeln ignorieren.
Zur Überwachung:
- Es werden erst nach einem Lauf die Daten im Monitoring Center angezeigt. Bitte kontrollieren Sie, ob in den Firewall-Einstellungen[Gateway -> rechte Maustaste -> Eigenschaften] die Option Überwachung auf Immer bzw. Status gesetzt ist.
Zusätzlich kontrolieren Sie bitte, ob der Monitoring-Dienst eine Verbindung zum Dataprovider bekommt. Diese Information finden Sie unter "Operation Center -> Dienststatus" im Bereich Dienste wird Ihnen der Name und die letzte Verbindung mit dem Dataprovider angezeigt. Diese sollte sofern kein Lauf durchgeführt wird, zeitnah sein.
Zum Logserver:
Schalten Sie bitte die Option Debug in den Einstellungen an. Danach finden Sie im Installationsverzeichnis einen Ordner "debug". In der Datei "appliance.txt" werden die erlaubten IP-Adressen protokoliert.
Zusätzlich finden Sie in der Datei UdpSocket.txt die Information, ob Daten am Socket ankommen.
Die Debug-Option sollte nicht dauerhaft aktiviert sein, da hohe Datenmengen anfallen können.
Mit freundlichen Grüßen,
Oliver Dehnbostel
die Regeln werden in der nächsten Version auch für den Port erstellt, da einige Windows-Systeme die Regeln ignorieren.
Zur Überwachung:
- Es werden erst nach einem Lauf die Daten im Monitoring Center angezeigt. Bitte kontrollieren Sie, ob in den Firewall-Einstellungen[Gateway -> rechte Maustaste -> Eigenschaften] die Option Überwachung auf Immer bzw. Status gesetzt ist.
Zusätzlich kontrolieren Sie bitte, ob der Monitoring-Dienst eine Verbindung zum Dataprovider bekommt. Diese Information finden Sie unter "Operation Center -> Dienststatus" im Bereich Dienste wird Ihnen der Name und die letzte Verbindung mit dem Dataprovider angezeigt. Diese sollte sofern kein Lauf durchgeführt wird, zeitnah sein.
Zum Logserver:
Schalten Sie bitte die Option Debug in den Einstellungen an. Danach finden Sie im Installationsverzeichnis einen Ordner "debug". In der Datei "appliance.txt" werden die erlaubten IP-Adressen protokoliert.
Zusätzlich finden Sie in der Datei UdpSocket.txt die Information, ob Daten am Socket ankommen.
Die Debug-Option sollte nicht dauerhaft aktiviert sein, da hohe Datenmengen anfallen können.
Mit freundlichen Grüßen,
Oliver Dehnbostel
Hallo.
Danke erstmal für die Antwort. Also die Option Überwachugn ist auf "Immer" gesetzt. Allerdings zeigts mir im Operation Center > Dienssstatus bei Sicherung / Überwachung und Aufgaben nur n/a an.
Die andere Sache wegen Logserver prüf ich mal
Danke erstmal für die Antwort. Also die Option Überwachugn ist auf "Immer" gesetzt. Allerdings zeigts mir im Operation Center > Dienssstatus bei Sicherung / Überwachung und Aufgaben nur n/a an.
Die andere Sache wegen Logserver prüf ich mal
Also in der appliance.txt stehen die entsprechenden Firewalls drin.
Die UdpSocket.txt zeigt das Sie Daten empfängt und ist schon ordentlich angewachsen.
Okay Logging funktioniert jetzt, aber erst seit ich die Firewall mit der internen IP im SOC als IP1 angelegt habe.
Die UdpSocket.txt zeigt das Sie Daten empfängt und ist schon ordentlich angewachsen.
Okay Logging funktioniert jetzt, aber erst seit ich die Firewall mit der internen IP im SOC als IP1 angelegt habe.
-
Oliver Dehnbostel
- Securepoint
- Beiträge: 60
- Registriert: So 25.07.2010, 00:25
Hallo,
ist der Monitoring-Dienst freigegeben?
Unter dem Punkt "Service Center", können Sie Dienste freigeben und einstellen, mit welchem Benutzer[muss ein Administrator] sich der Dienst an dem Dataprovider anmeldet.
Solange der Dienst keine Freigabe hat, wird dieser auch nicht unter dem Dienststatus angezeigt.
Mit freundlichen Grüßen,
Oliver Dehnbostel
ist der Monitoring-Dienst freigegeben?
Unter dem Punkt "Service Center", können Sie Dienste freigeben und einstellen, mit welchem Benutzer[muss ein Administrator] sich der Dienst an dem Dataprovider anmeldet.
Solange der Dienst keine Freigabe hat, wird dieser auch nicht unter dem Dienststatus angezeigt.
Mit freundlichen Grüßen,
Oliver Dehnbostel
-
Thomas Hofmann
- Beiträge: 60
- Registriert: Do 11.09.2008, 13:25
- Wohnort: München
- Kontaktdaten:
Hallo Zusammen,
ich beobachte das gleiche Phänomen. Ich habe nun mehrere Installationen, sowohl unter Windows Server 2008 R2, als auch Windows 2003 R2 hinter mir.
Meiner Erfahrung nach ist der Log Dienst ein wenig sensibel ;-)
Bei mir führt folgendes Szenario zum Ziel:
- Lösche aus der FW unter Netzwerk / Firewall im Register Syslog den vorhandenen Eintrag
- Übertrage den SYSLOG Server neu: Rechtsklick auf die UTM/Firewall Option LogCenter
- übertrage den Logserver auf die Firewall
- starte den LOG Server Dienst unter Windows neu
bei mir funktioniert das in der Regel. Und: Geduld ist mein 2. Vorname! warte ein wenig ab, gib der Sache kurz Zeit.
Es wäre schön, wenn das nicht so kompliziert laufen würde. Also ich sehe das als klaren Fehler an, der in der nächsten Version bereinigt werden sollte.
Vielleicht hilft Dir die Beschreibung zumindest bis dahin.
Viele Grüße
ich beobachte das gleiche Phänomen. Ich habe nun mehrere Installationen, sowohl unter Windows Server 2008 R2, als auch Windows 2003 R2 hinter mir.
Meiner Erfahrung nach ist der Log Dienst ein wenig sensibel ;-)
Bei mir führt folgendes Szenario zum Ziel:
- Lösche aus der FW unter Netzwerk / Firewall im Register Syslog den vorhandenen Eintrag
- Übertrage den SYSLOG Server neu: Rechtsklick auf die UTM/Firewall Option LogCenter
- übertrage den Logserver auf die Firewall
- starte den LOG Server Dienst unter Windows neu
bei mir funktioniert das in der Regel. Und: Geduld ist mein 2. Vorname! warte ein wenig ab, gib der Sache kurz Zeit.
Es wäre schön, wenn das nicht so kompliziert laufen würde. Also ich sehe das als klaren Fehler an, der in der nächsten Version bereinigt werden sollte.
Vielleicht hilft Dir die Beschreibung zumindest bis dahin.
Viele Grüße
Thomas Hofmann
Hofmann PC-Systeme
Hofmann PC-Systeme