On Thu, 2003-09-11 at 14:03, narancs wrote:
Sziasztok!
a dilemma a következő:
tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre.
Lehetőségek:
- syslog-ng van a tűzfalon és abban állítok be egy szabályt Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága
elony: kaphat csomagot UDP-n es kuldheti tcp-n, stunnelen vagy ssh portforwardon
Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális loggolás is elpusztulhat.
nem biztos, csinalhatsz chroot-ot is a tavoli loggolast nativ proxyzo syslog-ng-nek!
- zorp udp-plug Előny: nem kockáztatom a tűzfal logrendszerét Hátrány : nincs adatelemzés.
az udp plug sajnos performancia okokat okozhat, ha nem megfeleloen meretezed a vasat. A baj az, hogy ha mar nem birja a gep, akkor csomagokat fog eldobni ami nagyon nem szerencses.
Kérdés:
1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként?
Bazsi?
2. vagy tervezitek-e natív syslog proxy megírását a zorpba?
hat syslog proxy nem valoszuni, hogy lesz, mert nincs nagyon mit elemezni rajta sajnos... HOLTZL Peter