Securepoint Support Forum

Das Operation Center ist neu installiert auf einem Server 2003.
Es kann remote von meinem Win7-Client verwaltet werden.
Auf der RC300 habe ich unter Servereigenschaften -> Sylog die IP des Servers mit dem Operation-Center eingetragen.
Im Operation-Center habe ich die Firewall per IP manuell hinzugefügt und kann sie auch verwalten.
Verbinde ich mich jedoch mit dem Logserver über das SOC, so werden mir keine Logs angezeigt.
Welche Einträge müssen in den Eigenschaften zu Log-Server noch vorgenommen werden, denn beispielsweise der DB-Pfad ist noch leer.
Livelogs müßte ich doch aber trotzdem sehen können, oder?

Hallo,

auf dem Logserver selber muss es der entsprechenden Firewall erlaubt sein zum Logserver Daten zu schicken. Im SOC auf die entsprechende Firewall gehen (rechte Maustaste) und dort den Punkt Logserver auswählen. Dort muss die IP des Logservers stehen. Der Logserver holt sich in gewiesen Zeitabständen diese Daten vom Datenprovider des SOC und schaltet die Firewall dann frei. Sie sollten dann im Logclient des Logservers unter "Verfügbarer Firewalls" ihre Appliance sehen. Nach 24 Stunden werden dort dann auch die ersten Berichte erstellt werden. Falls das nicht zum Erfolg führt, prüfen Sie die Firewall Einstellungen Ihres Windows Servers zu dem geloggt werden soll.

Hallo,

habe diese Einstellungen im SOC hinterlegt, aber es tut sich überhaupt nichts. Live Log läuft, in den historischen Daten steht nichts! In Firewall ist die IP des Logserver hinterlegt. Im Logclient unter Firewalls steht aber nur Start!? Wo liegt denn jetzt hier evtl. der Fehler?
Wenn ich den alten Logserver wieder ans Laufen bringe bekomme ich weiterhin meinen täglichen Bericht, nur über das SOC nicht.

Hat da jemand einen Tip!?

Same problem here, I do see the socdp.db file growing, so there is some logging somewhere.

Ah, a reboot fixed it for me, could be because I uninstalled the old log server and installed the new 2.0 beta SOC.

Werde dann mal die SP und die Maschine wo das SOC läuft rebooten und mal schauen was da dann passiert. Ist es eigentich richtig, das die SOC Version 1.9.1 beta lautet und überall von der Version 2.0.0 beta geredet wird?

Ja, das ist korrekt. Diese Beta wird die zukünftige 2er Version des SOC.

Guten Morgen,

leider hat das Rebooten der SP und des SOC-Rechners keinen Erfolg gebracht. Hat evtl. jemand noch einen Tip oder alternativ kann man ja vielleicht eine Netviewer-Sitzung mit dem Support durchführen. Ich gehe mal davon aus das das Problem nichts wildes sein dürfte?!

Ich hatte letztens einen Windows-Server, der die Firewall-Regeln nicht geschrieben hat... Gleiche Regel nochmal angelegt -> funktioniert.

In dem Fall schlug zwar schon die Anmeldung am Logserver fehl, aber vielleicht hilft es hier ja auch.

Hallo,

wächst denn die Datenbank? Hat die Firewall eine feste IP?

Ist die IP der UTM die im Logserver angegeben ist, im gleichen Netzwerksegment
in dem der Logserver steht?

Beispiel:

Nehmen wir an die Firewall hat auf eth1 die IP 192.168.1.1 und auf eth2 die
IP 192.168.2.1 und der Logserver die IP 192.168.2.10. Dann darf im Logserver
nicht die 192.168.1.1 angeben sein, weil die Firewall die Daten über die 192.168.2.1
verschickt.

Beste Grüße

Hallo Herr Hausmann,

wenn es sich bei der Datenbank um die socdp.db handelt dann ist diese von gestern auf Heute um 1-2 KB angewachsen. Was ja nicht wirklich viel ist.

Ja die Firewall hat eine feste IP.

Und so wie es scheint stehen UTM und Logserver im gleichen Netzwerksegment.

Gruß
S. Trimborn

Hallo,

die socdp.db ist die Datenbank des DataProviders.
Die Datenbank für den Logserver ist die logserver.sqlite.

Wenn diese Datenbank nicht wächst, nimmt der Logserver keine Daten entgegen.

Dieses kann zwei Gründe haben:

1. Windows-Firewall
2. Die IP der Firewall wurde nicht richtig übernommen. Dieses kann in der config.db mit einem Sqlite3-Manager kontrolliert werden. Die Firewall IP sollte in der Tabelle sysloghosts aufgeführt sein.

Mit freundlichen Grüßen,
Oliver Dehnbostel

Hallo Zusammen,

nachdem ich das SOC deinstalliert und dann wieder neu installiert, alle Daten neu erfasst habe, steht jetzt im LogClient die IP der SP und die Datei logserver.sqlite bewegt sich jetzt und nimmt zu.
Dann warte ich jetzt mal das WE, werde dann am Montag berichten.

Gruß und ein schönes WE

S. Trimborn

Guten Morgen,

das Logging funktioniert jetzt. Was eine Neuinstallation so alles bringt.

Gruß
S. Trimborn